(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. Harta artikli 8 lõikes 2 on sätestatud, et selliseid andmeid tuleb töödelda asjakohaselt ning kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel. [ME 1]

(2)

Isikuandmete töötlemine on mõeldud teenima inimkonda ning üksikisikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks füüsiliste isikute rahvusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Isikuandmete töötlemine peaks kaasa aitama vabadusel, turvalisusel ja õigusel rajaneva ala arendamisele.

(3)

Kiire tehnoloogiline areng ja üleilmastumine tekitavad isikuandmete kaitsel uusi probleeme. Andmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab pädevatel asutustel kasutada isikuandmeid oma eesmärkide saavutamiseks enneolematus ulatuses.

(4)

See nõuab , kui see on vajalik ja proportsionaalne, ELi pädevate asutuste vahelise andmete liikumise ning nende kolmandatele riikidele ja rahvusvahelisele organisatsioonile edastamise hõlbustamist, tagades isikuandmete kõrgetasemelise kaitse. Need muudatused nõuavad ELi isikuandmete kaitse raamistiku tugevdamist ja ühtlustamist ning selle täitmise parandamist. [ME 2]

(5)

Kõikide isikuandmete töötlemise toimingute suhtes liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (3). Seda ei kohaldata isikuandmete töötlemise suhtes, kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks tegevused kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

(6)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas töödeldavate isikuandmete suhtes kohaldatakse nõukogu raamotsust 2008/977/JSK (4). Käesoleva raamotsuse reguleerimisala on piiratud liikmesriikide vahel edastatud ja kättesaadavaks tehtud isikuandmete töötlemisega.

(7)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tulemuslikkuse huvides on eriti oluline tagada üksikisikute isikuandmete kõrgetasemelise kaitse ja lihtsustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks tuleb liikmesriikides ühtlustada üksikisikute õiguste ja vabaduste kaitse taset isikuandmete töötlemisel kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine terves ELis. Tõhusaks isikuandmete kaitseks terves ELis tuleks tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel. [ME 3]

(8)

Euroopa Liidu toimimise lepingu artikli 16 lõikega 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju üksikisikute kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba liikumise eeskirju. [ME 4]

(9)

Sellest lähtudes on Euroopa Parlamendi ja nõukogu määruses (EL) nr …/2014 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) sätestatud üldeeskirjad füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise soodustamiseks liidus.

(10)

Lissaboni lepingu vastuvõtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava politsei- ja õigusalase koostöö laadi tõttu on arvatavasti vaja vastu võtta Euroopa Liidu toimimise lepingu artiklil 16 põhinevad erieeskirjad neis valdkondades töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta.

(11)

Seetõttu tuleks vastu võtta nende valdkondade eripära arvestav konkreetne direktiiv ning sätestada eeskirjad, mis käsitlevad üksikisikute kaitset seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil. [ME 5]

(12)

Selleks et tagada terves liidus ühesugune üksikisikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks käesolevas direktiivis sätestada ühtsed eeskirjad kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö raames töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta.

(13)

Käesoleva direktiivi põhimõtete kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet.

(14)

Käesoleva direktiiviga pakutav kaitse peaks laienema füüsiliste isikute isikuandmete töötlemisele, olenemata asjaomase isiku kodakondsusest või elukohast.

(15)

Üksikisikute kaitse peaks olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud vahenditest, vastasel juhul tekib märkimisväärne oht, et eeskirjade täitmisest hoitakse kõrvale. Üksikisikuid tuleks kaitsta isikuandmete automatiseeritud töötlemisel ning isikuandmete automatiseerimata töötlemisel, kui andmed sisalduvad toimikusüsteemis või kui nad hiljem kantakse toimikusüsteemi. Käesoleva direktiivi reguleerimisalasse ei peaks kuuluma toimikud, toimikute kogumid ega nende esilehed, mis ei ole teatavate kriteeriumide kohaselt korrastatud. Käesolevat direktiivi ei tuleks kohaldada, isikuandmete töötlemise suhtes muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega, ega nende töötlemise suhtes liidu institutsioonides, organites ja asutustes nagu Europol ja Eurojust. Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001  (5) ning liidu ametite, organite ja asutuste suhtes kohaldatavad õigusaktid tuleks käesoleva direktiiviga kooskõlla viia ning neid tuleks kohaldada käesoleva direktiivi kohaselt. [ME 6]

(16)

Kaitsepõhimõtteid tuleks kohaldada igasuguse teabe suhtes, mis käsitleb tuvastatud või tuvastatavat füüsilist isikut. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib üksikisiku tuvastamiseks või eristamiseks tõenäoliselt kasutada. Isikuandmete kaitse põhimõtteid ei tuleks kohaldada teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada. Käesolevat direktiivi ei tohiks kohaldada anonüümsete andmete suhtes, mida ei saa seostada otseselt ega kaudselt, eraldi ega seonduvate andmetega kombineeritult füüsilise isikuga. Arvestades seda, kui olulised on infoühiskonnas toimuvad arengud, tehnoloogiad, mida kasutatakse, et koguda, edastada, töödelda, salvestada, säilitada või vahendada füüsiliste isikutega seotud asukohaandmeid, mida võidakse kasutada erinevatel eesmärkidel, sealhulgas järelevalve või profiilide loomine, peaks käesolev direktiiv olema kohaldatav andmetöötluse suhtes, mis hõlmab selliseid isikuandmeid. [ME 7]

(16a)

Isikuandmete igasugune töötlemine peab olema seaduslik, andmesubjektide suhtes õiglane ja läbipaistev. Eelkõige peaksid olema selged ja õiguspärased andmete töötlemise konkreetsed eesmärgid, mis tuleb kindlaks määrata isikuandmete kogumise ajal. Isikuandmed peaksid olema asjakohased, piisavad ja piirduma töötlemise otstarbe seisukohalt minimaalselt vajalikuga. See nõuab eelkõige kogutavate andmete ja perioodi, mille vältel andmeid säilitatakse, piiramist rangelt minimaalsena. Isikuandmeid tuleks töödelda ainult siis, kui nende töötlemise eesmärki ei ole võimalik saavutada muude vahendite abil. Selleks et tagada, et ebatäpsed andmed parandatakse või kustutatakse, tuleks võtta kõik mõistlikud meetmed. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peab vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks. [ME 8]

(17)

Terviseandmete hulka kuuluvad eelkõige kõik andmesubjekti tervislikku seisundit käsitlevad andmed; teave üksikisiku registreerimise kohta temale tervishoiuteenuste osutamise eesmärgil; üksikisikuga seonduv teave tervishoiuteenuse eest tasumise või tema õiguse kohta saada tervishoiuteenuseid; number, tähis või eritunnus, mis on üksikisikule määratud tema tuvastamiseks tervishoiuga seotud eesmärkidel; mis tahes teave üksikisiku kohta, mida on kogutud temale tervishoiuteenuste osutamise käigus; teave, mida on saadud mingi kehaosa või kehast pärineva aine, sealhulgas bioloogiliste proovide kontrollimise või uurimise tulemusena; teave isikule tervishoiuteenuse osutaja kohta; ning igasugune teave näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi ja andmesubjekti tegeliku füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata selle allikast (näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in vitro diagnostika).

(18)

Isikuandmete töötlemine peab olema andmesubjektide suhtes õiglane ja seaduslik. Eelkõige peaks andmete töötlemisel olema selgelt sõnastatud konkreetsed eesmärgid. [ME 9]

(19)

Kuritegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise käigus kogutud isikuandmeid säilitama ja töötlema muuks otstarbeks, et oleks võimalik mõista kuritegevuse ilminguid ja suundumusi, koguda teavet organiseeritud kuritegelike võrgustike kohta ning erinevaid kuritegusid omavahel seostada. [ME 10]

(20)

Isikuandmeid ei tohiks töödelda eesmärkidel, mis on vastuolus andmete kogumise eesmärkidega. Isikuandmed peaksid olema piisavad ja asjakohased ning mitte ületama selle otstarbe piire, mille tarvis neid töödeldakse. Selleks et tagada, et ebatäpsed andmed kustutatakse või parandatakse, tuleks võtta kõik mõistlikud meetmed. [ME 11]

(20a)

Tõsiasjast, et mõlemad kaks eesmärki on seotud kuritegude ennetamise, uurimise, avastamise, kuritegude eest vastutusele võtmise ja kriminaalkaristuste täideviimisega, ei tulene tingimata, et need on omavahel kooskõlas. Esineb siiski juhtumeid, kus edasine töötlemine vastuolulistel eesmärkidel peaks olema võimalik, kui seda on vaja vastutava töötleja seadusjärgse kohustuse täitmiseks, andmesubjekti või teise isiku eluliste huvide kaitsmiseks või avalikku korda ähvardava vahetu ja tõsise ohu tõkestamiseks. Liikmesriikidel peaks olema seetõttu võimalik vastu võtta siseriiklikke õigusnorme, mis sätestavad kõnealused erandid rangelt vajalikus ulatuses. Sellised siseriiklikud õigusnormid peaksid hõlmama piisavaid kaitsemeetmeid. [ME 12]

(21)

Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleks kohaldada andmete täpsuse põhimõtet. Eelkõige kohtumenetluses antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad isikute subjektiivsel ettekujutusel toimunust ning mida alati ei saa kontrollida. Seetõttu ei tohiks täpsuse nõue puudutada tunnistuse täpsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud.

(22)

Tõlgendades ja kohaldades üldpõhimõtteid, millel põhineb üksikisikute kaitse isikuandmete töötlemisel pädevate asutuste poolt kuritegude tõkestamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks, tuleks arvesse võtta valdkonna eripära, sealhulgas taotletavaid eesmärke. [ME 13]

(23)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö käigus töödeldakse väga erinevatesse kategooriatesse kuuluvate andmesubjektide isikuandmeid. Seetõttu tuleks võimalust mööda selgelt eristada selliste andesubjektikategooriate isikuandmeid nagu kahtlusalused, kuriteos süüdi mõistetud isikud ja kuriteo ohvrid ning kolmandad isikud, nagu tunnistajad ja asjakohast teavet omavad isikud ning kahtlusaluste ja süüdi mõistetud kurjategijate kontaktisikud ja kaasosalised. Liikmesriigid peaksid kehtestama selle kategooriatesse liigitamise tagajärgede kohta erieeskirjad, võttes arvesse andmete kogumise eri eesmärke ja sätestades konkreetsed kaitsemeetmed isikutele, kes ei ole kahtlustatavad ja keda ei ole kuriteos süüdi mõistetud. [ME 14]

(24)

Võimaluse korral tuleks eristada isikuandmeid nende täpsuse ja usaldusväärsuse alusel. Et tagada üksikisikute kaitse ning pädevate asutuste töödeldava teabe kvaliteet ja usaldatavus, tuleks fakte eristada hinnangutest.

(25)

Selleks et isikuandmete töötlemine oleks seaduslik, peab peaks see olema lubatud ainult siis, kui see on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks või toimuma pädeva asutuse seadusliku ja avalikes huvides oleva ülesande täitmiseks, andmesubjekti või teise isiku eluliste huvide kaitsmiseks või avalikku korda ähvardava tõsise ja vahetu ohu ennetamiseks liidu või liikmesriigi õiguse alusel , mis peaks sisaldama sõnaselgeid ja üksikasjalikke sätteid vähemalt eesmärkide, isikuandmete, konkreetsete eesmärkide ja vahendite kohta, määrama või lubada määrata vastutav töötleja, menetlused, mida tuleb järgida, igale pädevatele asutustele seoses andmetöötlemisega antud kaalutlusõiguse kasutamise ja ulatuse piirangud . [ME 15]

(25a)

Isikuandmeid ei tohiks töödelda eesmärgil, mis on vastuolus eesmärgiga, milleks andmeid koguti. Edasist pädevate asutuste poolset töötlemist eesmärgil, mis kuulub käesoleva direktiivi reguleerimisalasse ning mis ei ole kooskõlas esialgse eesmärgiga, tuleks lubada ainult erijuhtudel, kui selline töötlemine on vajalik õigusliku kohustuse järgimiseks liidu või liikmesriigi õiguse alusel, mida kohaldatakse vastutava töötleja suhtes, või selleks, et kaitsta andmesubjekti või muu isiku elulisi huve või et vältida vahetut ja tõsist ohtu avalikule korrale. Tõsiasjast, et andmeid töödeldakse õiguskaitse otstarbel, ei tulene tingimata, et see otstarve on esialgse otstarbega kooskõlas. Kooskõlas kasutamise mõistet tuleb tõlgendada kitsalt. [ME 16]

(25b)

Isikuandmeid, mida on töödeldud käesoleva direktiivi kohaselt vastu võetud siseriiklikke õigusnorme rikkudes, ei tohi enam töödelda. [ME 17]

(26)

Erilist kaitset vajavad sellist laadi isikuandmed, mis on Oma loomult põhiõiguste ja eraelu puutumatuse seisukohast eriti tundlikud, nagu geneetilised andmed ja haavatavad isikuandmed vajavad erilist kaitset . Selliseid andmeid ei tohiks töödelda muidu, kui ainult juhul, kui töötlemine on iseäranis lubatud seadusega vajalik avalikes huvides teostatava ülesande täitmiseks eesmärgil , mis on sätestatud liidu või liikmesriigi õiguse alusel, milles nähakse ette sobivad meetmed andmesubjekti põhiõiguste ja õiguspäraste huvide kaitsmiseks, või kui töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks või kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. Tundlikke isikuandmeid tuleks töödelda ainult juhul, kui need täiendavad õiguskaitse eesmärgil juba töödeldud muid isikuandmeid. Erandite tegemist tundlike andmete töötlemise keelust tuleks tõlgendada kitsalt ning sellega ei tohiks kaasneda tundlike isikuandmete sagedast, ulatuslikku või struktuurset töötlemist. [ME 18]

(26a)

Geneetiliste andmete töötlemist võib lubada ainult juhul, kui on olemas geneetiline seos, mis ilmneb kriminaaluurimise või kohtumenetluse käigus. Geneetilisi andmeid tuleks säilitada ainult niikaua, kui on rangelt vajalik selliste uurimiste ja menetluste otstarbel, samal ajal võivad liikmesriigid kehtestada pikema säilitamise tähtaja käesolevas direktiivis sätestatud tingimuste alusel. [ME 19]

(27)

Igal füüsilisel isikul peaks olema õigus sellele , et tema suhtes ei võeta üksnes automaattöötlusel kohaldata osaliselt või täielikult automatiseeritud töötlemise teel tehtaval profiilianalüüsil põhinevat ja talle kahjulike õiguslike tagajärgedega meedet . Selline töötlemine , mis põhjustab õiguslikke tagajärgi sellele isikule või mõjutab teda oluliselt, tuleb keelata, välja arvatud juhul, kui seda võimaldab õigus ning ühtlasi on kehtestatud piisavad meetmed , et kaitsta andmesubjekti põhiõigusi ja õigustatud huvide kaitsmiseks huve, sealhulgas õigust saada sisulist teavet profiilianalüüsi aluseks olnud põhimõtete kohta . Selline töötlemine ei tohiks mingil juhul sisaldada andmete säilitamist, genereerimist ega diskrimineerimist andmete erikategooriate alusel. [ME 20]

(28)

Selleks et andmesubjekt saaks oma õigusi kasutada, peaks temale esitatav teave olema lihtsalt kättesaadav, arusaadav ning selgelt ja arusaadavalt sõnastatud. Kõnealust teavet tuleks kohandada andmesubjekti vajadustega, eelkõige kui teave on spetsiaalselt lapsele suunatud. [ME 21]

(29)

Tuleks ette näha kord, millega lihtsustatakse käesoleva direktiivi alusel andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil saab tasuta taotleda eelkõige juurdepääsu andmetele ning õigust andmeid parandada ja kustutada. Vastutav töötleja peaks olema kohustatud andmesubjekti taotlustele vastama põhjendamatu viivituseta ja ühe kuu jooksul alates taotluse saamise kuupäevast . Isikuandmete automatiseeritud töötlemisel peaks vastutav töötleja tegema kättesaadavaks vahendid, millega saab taotluse esitada elektrooniliselt. [ME 22]

(30)

Õiglase ja läbipaistva töötlemise põhimõtte kohaselt tuleks andmesubjekti teavitada eelkõige töötlemistoimingu tegemisest ja selle eesmärkidest, selle õiguslikust alusest, andmete säilitamise tähtajast, õigusest andmetega tutvuda ja neid muuta või kustutada ning õigusest esitada kaebus. Lisaks tuleks andmesubjekti teavitada profiilianalüüsi tegemisest ja selle kavandatavatest tagajärgedest. Kui andmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid esitama, ja andmete esitamata jätmise tagajärgedest. [ME 23]

(31)

Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle asjaoludest olenevalt kas kogumise ajal või kui andmeid ei saada andmesubjektilt, siis töötlemise konkreetseid asjaolusid arvestades andmete salvestamise ajal või mõistliku ajavahemiku jooksul pärast nende kogumist.

(32)

Selleks et töötlemisest teada ja kontrollida selle seaduslikkust, peaks igaühel olema õigus tutvuda tema kohta kogutud andmetega ja õigus selle õiguse lihtsale kasutamisele. Seetõttu peaks igal andmesubjektil olema õigus teada eelkõige andmete töötlemise eesmärke, õiguslikku alust, ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet ja arusaadavat infot mis tahes automatiseeritud töötlemises aluseks olnud põhimõtete ning sellise töötlemise oluliste kavandatavate tagajärgede kohta, samuti õiguse kohta esitada kaebus järelevalveasutusele ja saada järelevalveasutuse kontaktandmed . Andmesubjektil peaks olema võimalik saada koopia teda käsitlevatest töödeldavatest isikuandmetest. [ME 24]

(33)

Liikmesriigil tuleks asjaomase isiku põhiõigusi ja õigustatud huvisid nõuetekohaselt arvestades lubada võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede teenistuslike või õiguslike uurimiste, juurdluste või menetluste takistamise vältimiseks, kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramisele kahjustamise vältimiseks ning riigi julgeoleku või andmesubjekti kaitseks või teiste isikute õiguste ja vabaduste kaitseks. Vastutav töötleja peaks iga konkreetse juhtumi puhul eraldi ja individuaalse uurimise käigus hindama, kas tuleks kohaldada osalist või täielikku andmetega tutvumise õiguse piirangut. [ME 25]

(34)

Andmesubjekti teavitatakse kirjalikult juurdepääsu keelamisest või piiramisest ning sellise otsuse faktilistest ja õiguslikest põhjustest.

(34a)

Andmesubjekti õiguste igasugune piiramine peab olema kooskõlas Euroopa Liidu põhiõiguste harta ning Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga, nagu on selgitatud Euroopa Liidu Kohtu ja Euroopa Inimõiguste Kohtu kohtupraktikas, ning eelkõige tuleb seejuures austada õiguste ja vabaduste põhiolemust. [ME 26]

(35)

Juhul kui liikmesriik on võtnud seadusandlikke meetmeid andmesubjekti juurdepääsuõiguse täielikuks või osaliseks piiramiseks, peaks andmesubjektil olema õigus taotleda riigi pädevalt järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks sellest õigusest teavitada. Kui järelevalveasutus kasutab juurdepääsuõigust andmesubjekti nimel, peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli, ning seda, millisele järeldusele ta jõudis kõnealuse töötlemise seaduslikkuse küsimuses. Järelevalveasutus peaks ühtlasi teavitama andmesubjekti õigusest kasutada õiguskaitsevahendit. [ME 27]

(36)

Igal isikul peaks olema õigus tema isikuandmete parandamisele, kui need ei ole korrektsed või kui neid on töödeldud ebaseaduslikult ja isikuandmete kustutamisele, kui andmete töötlemine ei ole kooskõlas käesolevas direktiivis sätestatud peamiste põhimõtetega käesoleva direktiivi sätetega . Andmete parandamisest, täiendamisest või kustutamisest tuleks teavitada vastuvõtjaid, kellele andmed on avaldatud, ning kolmandaid isikuid, kellelt ebatäpsed pärinevad. Samuti peaksid vastutavad töötlejad hoiduma selliste andmete edasisest levitamisest. Isikuandmete töötlemise suhtes kriminaalasja kohtueelses ja kohtulikus menetluses võib teabe ja juurdepääsu ning isikuandmete kustutamise ja nende töötlemise piiramise õigust teostada vastavalt kohtumenetlust käsitlevatele siseriiklikele õigusnormidele. [ME 28]

(37)

Tuleks kehtestada vastutava töötleja laialdane vastutus temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Vastutav töötleja peaks eelkõige tagama, et ta töötleb isikuandmeid vastavalt käesoleva direktiivi alusel vastuvõetud õigusnormidele , ning talle tuleks kehtestada kohustus seda tõendada . [ME 29]

(38)

Andmesubjektide õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva direktiivi nõuete täitmine. Käesoleva direktiivi alusel kehtestatud õigusnormide täitmise tagamiseks peaks vastutav töötleja võtma vastu eeskirjad ja rakendama asjakohaseid meetmeid vastavalt eelkõige isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele.

(39)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutuse tagamiseks tuleb käesoleva direktiiviga selgelt kindlaks määrata vastutuse jaotus, sealhulgas juhtudel, kui isikuandmete töötlemise eesmärgid, tingimused ja vahendid määrab kindlaks vastutav töötleja koos teiste vastutavate töötlejatega ning kui töötlemistoimingut teostatakse vastutava töötleja nimel. Andmesubjektil peab olema õigus kasutada oma käesoleva direktiivi kohaseid õigusi iga kaasvastutava töötleja suhtes või tema vastu. [ME 30]

(40)

Vastutav töötleja ja volitatud töötleja peaksid töötlemistoimingud dokumenteerima, et võimaldada jälgida käesoleva direktiivi täitmist. Vastutavad töötlejad ja volitatud töötlejad peaksid olema kohustatud tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse korral kättesaadavaks, et neid saaks kasutada nimetatud töötlemistoimingute kontrollimiseks.

(40a)

Iga isikuandmete töötlemistoiming tuleb registreerida, et võimaldada kontrollida andmetöötlemise seaduslikkust, sisekontrolli ning tagada andmete nõuetekohane terviklikkus ja turvalisus. Kõnealune registreerimine tuleb taotluse korral teha järelevalveasutusele kättesaadavaks, et teostada järelevalvet käesolevas direktiivis sätestatud eeskirjadele vastavuse üle. [ME 31]

(40b)

Kui on tõenäoline, et töötlemistoimingud kujutavad endast konkreetseid ohte andmesubjektide õigustele ja vabadustele nende laadi, ulatuse või eesmärkide tõttu, peavad vastutav töötleja või volitatud töötleja teostama andmekaitse mõjuhinnangu, mis peaks konkreetsemalt sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme, et tagada isikuandmete kaitse ja tõendada vastavust käesolevale direktiivile. Mõjuhinnangud peavad hõlmama isikuandmete töötlemistoimingute asjaomaseid süsteeme ja menetlusi, kuid mitte üksikuid juhtumeid. [ME 32]

(41)

Selleks et ennetavate meetmetega tagada andmesubjekti õiguste kaitse, peaks vastutav töötleja või volitatud töötleja teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima järelevalveasutusega. Lisaks peab juhul, kui andmekaitse mõjuhinnang osutab, et on tõenäoline, et töötlemistoimingud kujutavad konkreetseid suuri ohte andmesubjektide õigustele ja vabadustele, järelevalveasutus suutma vältida enne toimingute alustamist riskantset töötlemist, mis ei vasta käesolevale direktiivile, ja teha ettepanekuid sellise olukorra parandamiseks. Selline konsulteerimine võib toimuda ka siis, kui valmistatakse ette kas liikmesriigi parlamendi meedet või sellisel õigusaktil põhinevat meedet, millega määratakse kindlaks töötlemise laad ja nähakse ette vajalikud kaitsemeetmed. [ME 33]

(41a)

Turvalisuse tagamiseks ja käesoleva direktiivi vastase töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohte ja rakendama meetmeid asjaomaste riskide leevendamiseks. Võttes arvesse tehnika taset ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Kui kehtestatakse tehnilisi standardeid ja organisatsioonilisi meetmeid andmetöötluse turvalisuse tagamiseks, tuleks edendada tehnoloogilise neutraalsuse põhimõtet. [ME 34]

(42)

Isikuandmetega seotud rikkumine rikkumisega võib asjaomasele üksikisikule kaasneda oluline majanduslik ja sotsiaalne kahju , sealhulgas identiteedipettus, kui sellega piisavalt ja õigeaegselt ei tegeleta, võib asjaomasele üksikisikule põhjustada olulist majanduslikku ja sotsiaalset kahju ning rikkuda tema mainet tegelda . Seetõttu peaks vastutav töötleja teatama sellisest rikkumisest riigi pädevale asutusele niipea, kui ta sellest teada saab. Üksikisikut, kelle isikuandmeid või eraelu võib rikkumine kahjustada, tuleks põhjendamatu viivituseta viivitamata teavitada, et ta saaks võtta tarvitusele vajalikke ettevaatusabinõusid. Andmesubjekti isikuandmeid ja eraelu puutumatust kahjustavaks rikkumiseks tuleks pidada sellist rikkumist, mille tulemuseks võib olla identiteedivargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine seoses isikuandmete töötlemisega. Teatis peaks sisaldama teavet meetmete kohta, mida teenuseosutaja võtab seoses rikkumisega, ja soovitusi abonendile või asjaomasele üksikisikule. Teatised tuleks edastada andmesubjektile nii kiiresti kui võimalik ja tihedas koostöös järelevalveasutusega ning austades suuniseid, mida see asutus on väljastanud. [ME 35]

(43)

Isikuandmetega seotud rikkumisest teatamise vormide ja korra kohta üksikasjalike eeskirjade koostamisel tuleks arvesse võtta rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid kaitstud asjakohaste tehniliste kaitsemeetmetega, et tõhusalt vähendada väärkasutuse tõenäosust. Lisaks tuleks sellistes eeskirjades ja sellises korras võtta arvesse pädevate asutuste õigustatud huvi juhtudel, kui varajane avalikustamine võib tarbetult takistada rikkumise asjaolude uurimist.

(44)

Vastutav töötleja või volitatud töötleja peaks määrama isiku, kes abistab teda käesoleva direktiivi alusel kehtestatud õigusnormide täitmise kontrollimisel ja tõendamisel . Pädeva Kui keskse asutuse mitme üksuse jaoks võib määrata ühe järelevalve all tegutseb mitu pädevat asutust, peab vähemalt see keskne asutus määrama sellise andmekaitseametniku. Andmekaitseametnikel peab olema võimalik täita oma ülesandeid sõltumatult ja tulemuslikult , eelkõige koostades eeskirjad, millega välditakse huvide konflikti teiste ülesannetega, mida täidab andmekaitseametnik . [ME 36]

(45)

Liikmesriigid peaksid tagama, et isikuandmeid edastatakse kolmandale riigile ainult juhul, kui see konkreetne edastamine on vajalik kuritegude tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks ning kui kolmanda riigi vastutav töötleja või rahvusvaheline organisatsioon on käesoleva direktiivi tähenduses pädev avaliku sektori asutus. Isikuandmeid võib edastada, kui komisjon on teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, või kui on kehtestatud piisavad kaitsemeetmed või kui on kehtestatud piisavad kaitsemeetmed õiguslikult siduva vahendi abil . Kolmanda riigi pädevatele avaliku sektori asutustele edastatud andmeid ei tohiks hiljem töödelda eesmärkidel, mis erinevad nende andmete edastamise eesmärkidest. [ME 37]

(45a)

Andmete vahendatud edastamine kolmandate riikide pädevate asutuste või rahvusvaheliste organisatsioonide poolt, kellele on isikuandmed edastatud, peaks olema lubatud üksnes juhul, kui andmete vahendatud edastamine on vajalik samal erieesmärgil nagu algne edastamine ning teine andmete vastuvõtja on samuti pädev avaliku sektori asutus. Hiliseimaid vahendatud edastamisi ei tohiks lubada üldistel õiguskaitse põhjustel. Algse edastamise teostanud pädev asutus peaks vahendatud edastamiseks nõusoleku andma.

(46)

Komisjon võib teha terves ELis kohaldatava otsuse, et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel, tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava taseme. Sellisel juhul võib isikuandmeid kõnealustesse riikidesse edastada ilma täiendava loata. [ME 38]

(47)

Kooskõlas põhiväärtustega, millele EL on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon arvesse võtma seda, kuidas asjaomane kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest.

(48)

Komisjonil peaks olema võimalus tunnistada, et kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse tase ei ole piisav. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile keelata, välja arvatud juhul, kui isikuandmeid edastatakse vastavalt rahvusvahelisele lepingule või piisavate kaitsemeetmete kehtestamisel või erandina. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni vahelise konsulteerimise kord. Komisjoni sellist otsust kohaldatakse, ilma et see piiraks võimalust isikuandmeid edastada pärast asjakohaseid õiguslikult siduvate vahendite abil asjakohaste kaitsemeetmete võtmist või käesolevas direktiivis sätestatud erandina. [ME 39]

(49)

Isikuandmete edastamine ilma piisava kaitse otsuseta peaks olema lubatud ainult juhul, kui õiguslikult siduvas dokumendis on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav töötleja või volitatud töötleja, olles hinnanud kõiki andmete edastamisega seotud asjaolusid, leiab, et isikuandmete kaitseks vajalikud kaitsemeetmed on võetud. Juhtumite puhul, mil isikuandmete edastamiseks puudub alus, tuleks lubada teha erandeid, kui edastamine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks ja andmesubjekti õigustatud huvi kaitsmiseks vastavalt andmeid edastava liikmesriigi õigusele, kui andmete edastamine on vajalik liikmesriigi või kolmanda riigi avalikku korda ähvardava vahetu ja tõsise ohu vältimiseks või kui edastamine on vajalik konkreetsete kuritegude tõkestamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks ning konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. [ME 40]

(49a)

Juhtudel, kui puudub alus, mis lubaks andmete edastamist, tuleks vajaduse korral lubada erandeid, et kaitsta andmesubjekti või muu isiku elulisi huvisid või tagada andmesubjekti õiguspärased huvid, kui isikuandmeid edastava liikmesriigi õiguses on nii sätestatud või kui see on oluline, et vältida vahetut ja tõsist ohtu liikmesriigi või kolmanda riigi avalikule korrale, või üksikutel juhtudel kuritegude ennetamiseks, uurimiseks, avastamiseks või menetlemiseks või kriminaalkaristuste täitmisele pööramiseks või üksikutel juhtudel õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Selliseid erandeid tuleb tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete sagedast, ulatuslikku ja struktuurset edastamist ega andmete täielikku edastamist, vaid peaks piirduma rangelt vajalike andmetega. Lisaks peab otsuse edastamise kohta tegema nõuetekohaselt volitatud isik ja kõnealune edastamine tuleb dokumenteerida ning teha järelevalveasutusele taotluse korral kättesaadavaks, et jälgida edastamise seaduslikkust. [ME 41]

(50)

Isikuandmete liikumine üle piiride võib raskendada üksikisikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end andmete ebaseadusliku kasutamise ja avalikustamise eest. Järelevalveasutusel aga võib osutuda võimatuks käsitleda kaebusi ja teostada uurimist muus riigis tehtud tegude suhtes. Nende piiriülese koostöö püüdlusi võivad takistada ka tõkestamiseks ja kaitsemeetmete võtmiseks ebapiisavad volitused ning ebaühtlane õiguskord. Seepärast on vaja tihendada isikuandmete kaitse järelevalve asutuste koostööd, et nad saaksid vahetada teavet teiste riikide järelevalveasutustega.

(51)

Liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline, et kaitsta üksikisikuid seoses isikuandmete töötlemisega. Järelevalveasutused peaksid jälgima käesoleva direktiivi kohaldamist ja aitama kaasa selle ühtsele kohaldamisele terves ELis, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Selleks peaksid järelevalveasutused üksteisega koostööd tegema koostööd üksteise ja komisjoniga. [ME 42]

(52)

Liikmesriigid võiksid lubada määruse (EL) nr …/2014 kohaselt liikmesriikides juba loodud järelevalveasutustel täita käesoleva direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid.

(53)

Liikmesriikidel peaks olema õigus luua mitu järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja haldusstruktuurile. Igale järelevalveasutusele tuleks anda piisavad rahalised ja inimressursid, hooned ja infrastruktuur, sealhulgas tagada tehniline suutlikkus, kogemused ja oskused, mis on vajalikud nende ülesannete, sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. [ME 43]

(54)

Järelevalveasutuse liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis seadusega, milles on eelkõige ette nähtud, et liikmed nimetab ametisse kas liikmesriigi parlament või valitsus parlamendiga konsulteerimise alusel , ning sätestatud liikmete isikliku kvalifikatsiooni ja ametiseisundi nõuded. [ME 44]

(55)

Kuigi käesolevat määrust kohaldatakse ka liikmesriikide kohtute tegevuse suhtes, ei tohiks järelevalveasutuste pädevus hõlmata isikuandmete töötlemist kohtutes, kes tegutsevad oma õigusliku pädevuse piires, et kaitsta kohtunike sõltumatust nende ülesannete täitmisel. Kõnealune erand peaks siiski piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt siseriiklikele õigusaktidele.

(56)

Selleks et tagada kogu liidus ühtlane järelevalve käesoleva direktiivi üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja volitused, sealhulgas uurimis- tõhusad uurimisvolitused , volitused pääseda juurde kõigile isikuandmetele ja kogu teabele, mida on vaja iga järelevalveülesande täitmiseks, volitused pääseda kõikidesse andmete vastutava töötleja või volitatud töötleja hoonetesse, sealhulgas seoses andmetöötlemisvahenditele, ning õiguslikult siduva sekkumise, otsuste tegemise ja sanktsioonide kehtestamise volitused, eelkõige üksikisikute esitatud kaebuste puhul, ning volitused osaleda kohtumenetlustes. [ME 45]

(57)

Järelevalveasutus peaks andmesubjekti esitatud kaebuse vastu võtma ja küsimust uurima. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile.

(58)

Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva direktiivi alusel vastuvõetud õigusnormide järjekindel kohaldamine ja täitmine. Kõik järelevalveasutused peaksid olema valmis osalema ühistoimingutes. Taotluse saanud järelevalveasutus peaks olema kohustatud taotlusele vastama kindlaksmääratud ajavahemiku jooksul. [ME 46]

(59)

Määrusega (EL) nr …/2012 2014 asutatud Euroopa Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi ühtsele kohaldamine terves ELis, sealhulgas nõustades komisjoni liidu institutsioone ja edendades järelevalveasutuste koostööd terves ELis , ning esitama komisjonile oma arvamuse käesoleval direktiivil põhinevate delegeeritud õigusaktide ja rakendusaktide ettevalmistamisel . [ME 47]

(60)

Igal andmesubjektil peaks olema õigus esitada kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus õiguskaitsevahendile, kui ta on seisukohal, et tema käesolevast direktiivist tulenevaid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks.

(61)

Mis tahes asutusel, organisatsioonil ja ühingul, mille eesmärk on kaitsta andmesubjekti andmete kaitsega seonduvaid õigusi mis tegutseb avalikes huvides ja huve ja mis on loodud liikmesriigi õiguse kohaselt, peaks olema õigus esitada järelevalveasutusele kaebus või kasutada andmesubjekti nõuetekohase volituse alusel andmesubjekti nimel õigust õiguskaitsevahendile või esitada andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et on toimunud isikuandmetega seotud rikkumine. [ME 48]

(62)

Kui järelevalveasutus teeb otsuse füüsilise või juriidilisel isiku kohta, peaks isikul olema õigus õiguskaitsevahendile sellise otsuse suhtes. Hagi järelevalveasutuse vastu tuleks esitada selle liikmesriigi kohtutele, kus järelevalveasutus asub.

(63)

Kohtumenetluste tulemuslikkuse tagamiseks peaksid liikmesriigid tagama, et käesoleva direktiivi rikkumise heastamise või ärahoidmise meetmeid saaks võtta kiiresti.

(64)

Kahju, sealhulgas mittevaraline kahju, mida üksikisikule võib põhjustada ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud töötleja, kes siiski võidakse sellest kohustusest vabastada, eelkõige kui ta tõestab, et kahju ei ole põhjustanud tema, vaid andmesubjekt ise või vääramatu jõud. [ME 49]

(65)

Igale füüsilisele isikule ja eraõiguslikule või avalik-õiguslikule juriidilisele isikule, kes ei järgi käesolevat direktiivi, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja hoiatavad ning võtma kõik meetmed karistuste täitmisele pööramiseks.

(65a)

Liidus on isikuandmete edastamine teistele asutustele või eraõiguslikele isikutele keelatud, välja arvatud juhul, kui edastamine on õigusega kooskõlas ja vastuvõtja on asutatud liikmesriigis ja edastamist ei takista andmesubjekti õiguspärased konkreetsed huvid ning edastamine on vajalik andmeid edastava vastutava töötleja jaoks temale seaduslikult määratud ülesande täitmiseks või avaliku korra jaoks vahetu ja tõsise ohu vältimiseks või üksikisikute õigustele tõsise kahju vältimiseks. Vastutav töötleja peab teavitama vastuvõtjat töötlemise eesmärgist ja järelevalveasutust andmete edastamisest. Samuti tuleb vastuvõtjat teavitada töötlemispiirangutest ja tagada, et neid piiranguid täidetakse. [ME 50]

(66)

Selleks et täita käesoleva direktiivi eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada ELis isikuandmete vaba vahetamine pädevate asutuste vahel, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Delegeeritud õigusaktidega tuleks eelkõige reguleerida järelevalveasutuse teavitamist täpsustada andmekaitsealast mõjuhinnangut nõudva töötlemise kriteeriume ja tingimusi ning isikuandmetega seotud rikkumistest rikkumiste ja kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisava taseme kriteeriume ja tingimusi . On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil ja eriti Euroopa Andmekaitsenõukoguga . Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal ettevalmistamisel ja koostamisel tagama asjakohaste asjaomaste dokumentide sama- ja õigeaegse ning asjakohase samaaegse, õigeaegse ja kohase edastamise Euroopa Parlamendile ja nõukogule. [ME 51]

(67)

Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks komisjonile anda rakendusvolitused järgnevates valdkondades: vastutava töötleja ja volitatud töötleja poolne dokumenteerimine, töötlemise turvalisus ja eelkõige krüpteerimisstandardid, ja järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest ning kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisava taseme kindlakstegemine. Kõnealuseid volitusi tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrusele (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes  (6). [ME 52]

(68)

Vastutava töötleja ja volitatud töötleja poolse dokumenteerimise, Töötlemise turvalisuse ja isikuandmetega seotud rikkumisest järelevalveasutusele teatamise, kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisava taseme alaste üldist laadi meetmete vastuvõtmiseks tuleks kasutada kontrollimenetlust. [ME 53]

(69)

Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni ebapiisava isikuandmete kaitse tasemega, peaks komisjon olukorra tungiva kiireloomulisuse korral vastu võtma viivitamata kohaldatavad rakendusaktid. [ME 54]

(70)

Kuna käesoleva direktiivi eesmärki, nimelt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste vahel, ei suuda liikmesriigid üksi piisavalt saavutada ning selle ulatuse ja toime tõttu on eesmärki parem saavutada ELi tasandil, võib EL võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv kaugemale, kui on vajalik kõnealuste eesmärkide saavutamiseks. Liikmesriigid võivad kehtestada käesolevas direktiivis kehtestatust rangemaid standardeid. [ME 55]

(71)

Raamotsus 2008/977/JSK tuleks käesoleva direktiiviga tunnistada kehtetuks.

(72)

Käesolev direktiiv ei tohiks mõjutada pädevate asutuste poolset isikuandmete töötlemist kuritegude tõkestamiseks, uurimiseks ja avastamiseks ning kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele pööramiseks käsitlevaid erisätteid, mis on ette nähtud enne käesoleva direktiivi jõustumise kuupäeva vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele. Kuna harta artiklist 8 ja ELi toimimise lepingu artiklist 16 tuleneb, et põhiõigust isikuandmete kaitsmisele tuleks tagada järjekindlal ja ühtsel viisil kogu liidus, peaks komisjon peaks kahe aasta jooksul pärast käesoleva direktiivi jõustumist hindama olukorda, mis tuleneb seosest käesoleva direktiivi ja enne käesoleva direktiivi jõustumise kuupäeva vastuvõetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute aluslepingute kohaselt loodud infosüsteemidele ja peaks esitama asjakohased ettepanekud eesmärgiga tagada järjekindlad ja ühtsed õiguslikud eeskirjad, mis käsitlevad andmete töötlemist pädevate asutuste poolt või liikmesriikide määratud asutuste juurdepääsu infosüsteemidele, mis on loodud aluslepingute alusel, ja isikuandmete töötlemist liidu institutsioonide, asutuste, ametite ja agentuuride poolt kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil käesoleva direktiivi reguleerimisala raames . [ME 56]

(73)

Selleks et tagada isikuandmete igakülgne ja järjekindel kaitsmine terves liidus, tuleks kooskõlas käesoleva direktiiviga muuta rahvusvahelisi lepinguid, mille liit või liikmesriigid on sõlminud enne käesoleva direktiivi jõustumist. [ME 57]

(74)

Käesolev direktiiv ei piira laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastase võitluse eeskirju, mis on kehtestatud Euroopa Parlamendi ja nõukogu direktiiviga 2011/93/EL (7).

(75)

Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei kohaldata Ühendkuningriigi ega Iirimaa suhtes käesoleva direktiiviga kehtestatud eeskirju, kui Ühendkuningriigi ja Iirimaa suhtes ei kohaldata eeskirju, mis käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb järgida Euroopa Liidu toimimise lepingu artikli 16 alusel kehtestatud sätteid.

(76)

Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud Taani seisukohta käsitleva protokolli nr 22 artiklite 2 ja 2a kohaselt ei ole käesolev direktiiv Taani suhtes siduv ega kohaldatav. Arvestades, et käesolev direktiiv põhineb Euroopa Liidu toimimise lepingu kolmanda osa V jaotise alusel Schengeni acquis ’l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses. [ME 58]

(77)

Islandi ja Norra puhul kujutab käesolev direktiiv endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (viimase kahe riigi osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja edasiarendamises) (8) tähenduses.

(78)

Šveitsi puhul kujutab käesolev direktiiv endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) (9) tähenduses.

(79)

Liechtensteini puhul kujutab käesolev direktiiv endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahel allakirjutatud protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) (10) tähenduses.

(80)

Käesolevas direktiivis peetakse kinni aluslepingus sätestatud ja hartaga tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu ja isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nende õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks.

(81)

Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise avaldusega (11) selgitavate dokumentide kohta kohustuvad liikmesriigid lisama põhjendatud juhtudel ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi komponentide ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud.

(82)

Käesolev direktiiv ei tohiks takistada liikmesriikidel rakendada kriminaalmenetlust käsitlevates siseriiklikes õigusnormides andmesubjektide õigust saada teavet, õigust andmetega tutvuda, kriminaalmenetluse käigus töödeldavaid isikuandmeid parandada ja kustutada ning nende töötlemist piirata ega kehtestada nende õiguste piiranguid,

a)

kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust oma isikuandmete kaitsele ja eraelu puutumatusele , ning

b)

tagavad, et pädevate ametiasutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel.

a)

isikuandmeid töödeldakse muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega;

b)

isikuandmeid töötlevad liidu institutsioonid, organid ja asutused. [ME 60]

(1)

„andmesubjekt“ – füüsiline isik, kelle isikusamasus on tuvastatud või otseselt või kaudselt tuvastatav vahenditega, mida vastutav töötleja või mis tahes muu füüsiline või juriidiline isik tavaliselt kasutavad, nagu isikukood, asukohaandmed ja veebiidentifikaator, samuti üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;

(2)

„isikuandmed“ – igasugune teave andmesubjekti tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta; tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige tunnuse põhjal, nagu nimi, isikukood, elukohaandmed või ainulaadne tunnus, või ühe või mitme selle isiku füüsilisele, füsioloogilisele, geneetilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele või soolisele identiteedile omase teguri põhjal;

(2a)

„muudetud nimega andmed“ – isikuandmed, mida ei saa lisateavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist lisateavet hoitakse eraldi ja seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

(3)

„töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine, üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või ühendamine, piiramine, kustutamine ja hävitamine;

(3a)

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine eesmärgiga hinnata füüsilise isiku teatavaid personaalseid tahke või analüüsida või prognoosida eeskätt selle füüsilise isiku töötulemusi, majanduslikku olukorda, asukohta, tervist, isiklikke eelistusi, käitumist või usaldusväärsust;

(4)

„töötlemise piiramine“ – salvestatud isikuandmete markeerimine eesmärgiga piirata nende edaspidist töötlemist;

(5)

„toimikusüsteem“ – isikuandmete korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsel või geograafilisel põhimõttel hajutatud;

(6)

„vastutav töötleja“ – pädev avaliku sektori asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid; kui töötlemise eesmärgid, tingimused ja vahendid on kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

(7)

„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid vastutava töötleja nimel;

(8)

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse;

(9)

„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamise avalikustamine või juurdepääs neile juurdepääsu;

(10)

„geneetilised andmed“ – mis tahes liiki andmed isiku pärilike ja varajasel sünnieelsel arenguetapil kujunenud omaduste kohta;

(11)

„biomeetrilised andmed“ – andmed isikuandmed isiku tuvastamist võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, näiteks näokujutis ja sõrmejäljeandmed;

(12)

„terviseandmed“ – teave igasugused isikuandmed , mis käsitleb käsitlevad isiku füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist;

(13)

„laps“ – alla 18aastane isik;

(14)

„pädev ametiasutus“ – avaliku sektori asutus, kelle ülesanne on kuritegude tõkestamine, uurimine, avastamine, kuritegude eest vastutusele võtmine ja kriminaalkaristuste täitmisele pööramine.

(15)

„järelevalveasutus“ – liikmesriigis vastavalt artiklile 39 asutatud avaliku sektori asutus. [ME 61]

a)

isikuandmeid töödeldakse seaduslikult, õiglaselt ning andmesubjekti suhtes läbipaistval ja seaduslikult kontrollitaval viisil ;

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus;

c)

isikuandmed on asjakohased, piisavad ja piiratud vajaliku miinimumiga ega ületa selle otstarbe piire, mille tarvis neid töödeldakse; neid töödeldakse ainult juhul ja seni, kuni otstarvet ei saa täita, töödeldes teavet, mis ei hõlma isikuandmeid;

d)

isikuandmed on täpsed ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata;

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;

f)

isikuandmeid töödeldakse vastutava töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab ja on suuteline tõendama , et töötlemine vastab käesolevale direktiivile;

fa)

isikuandmeid töödeldakse sellisel viisil, et see võimaldab andmesubjektil tõhusalt teostada oma artiklites 10–17 kirjeldatud õigusi;

fb)

isikuandmeid töödeldakse viisil, millega kaitstakse loata ja ebaseadusliku töötlemise ning juhusliku kaotuse, hävimise või kahjustumise vastu, kasutades asjakohaseid tehnilisi ja korralduslikke meetmeid;

fc)

isikuandmeid töötlevad ainult need pädevate asutuste nõuetekohaselt volitatud töötajad, kes peavad isikuandmeid töötlema oma ülesannete täitmiseks. [ME 62]

a)

juurdepääsu lubavad ainult nõuetekohaselt volitatud töötajad oma ülesannete täitmisel, juhul kui konkreetsel juhtumil annavad mõistlikud põhjused alust arvata, et isikuandmete töötlemine aitab oluliselt kaasa kuritegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele või kriminaalkaristuste täitmisele pööramisele;

b)

juurdepääsutaotlused on kirjalikud ja osutavad taotluse õiguslikule põhjusele;

c)

kirjalik taotlus peab olema dokumenteeritud ning

d)

rakendatakse asjakohaseid kaitsemeetmeid, et tagada põhiõiguste ja -vabaduste kaitsmine seoses isikuandmete töötlemisega. Kõnealused kaitsemeetmed ei tohi piirata isikuandmetele juurdepääsu eritingimusi, nagu kohtulik volitamine kooskõlas liikmesriigi õigusega, ning peavad neid täiendama.

a)

isikud, kelle puhul on piisavalt alust arvata, et nad on toime pannud või võivad toime panna kurteo kuriteo ;

b)

isikud, kes on kuriteos süüdi mõistetud;

c)

kuriteoohvrid ja isikud, kelle puhul annavad asjaolud alust arvata, et nad langenud kuriteo ohvriks; ning

d)

kuriteoga seotud kolmandad isikud, näiteks isikud, keda kuriteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet kuriteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja nendega seotud isikud ning

e)

isikud, kes ei kuulu ühtegi eespool nimetatud kategooriasse.

a)

nii kaua kui on vajalik konkreetse kuriteo uurimiseks või selle eest vastutusele võtmiseks, et hinnata andmete asjakohasust lõikes 1 osutatud ühe kategooria lõikes, või

b)

kui selline töötlemine on hädavajalik konkreetsel ennetaval eesmärgil või kriminaaluurimise teostamiseks, juhul kui ja nii kaua kui eesmärk on seaduslik, selgelt piiritletud ja konkreetne ning töötlemine piirdub rangelt andmete asjakohasuse hindamisega lõikes 1 osutatud ühe kategooria puhul. Seda kontrollitakse regulaarselt vähemalt iga kuue kuu tagant. Isikuandmete igasugune muu kasutus on keelatud.

a)

pädeva astutuse seadusjärgse, artikli 1 lõike 1 kohase ülesande täitmiseks või

b)

vastutava töötleja seadusjärgse kohustuse täitmiseks või

c)

andmesubjekti või teise isiku eluliste huvide kaitsmiseks või

d)

avalikku korda ähvardava tõsise ja vahetu ohu tõkestamiseks.

a)

töötlemise eesmärgid;

b)

töödeldavad isikuandmed;

c)

töötlemise konkreetsed eesmärgid ja vahendid;

d)

vastutava töötleja ametisse nimetamine või vastutava töötleja ametisse nimetamise erikriteeriumid;

e)

need pädevate asutuste töötajate kategooriad, keda on nõuetekohaselt volitatud isikuandmeid töötlema;

f)

töötlemisel järgitav menetlus;

g)

omandatud isikuandmete kasutamise viis;

h)

pädevatele asutustele seoses töötlemistoimingutega antud kaalutlusõiguse ulatuse piirangud. [ME 67]

a)

eesmärk on demokraatlikus ühiskonnas tingimata vajalik ja proportsionaalne ning on õiguspärase, selgelt määratletud ja konkreetse eesmärgina sätestatud liidu või liikmesriigi õiguses;

b)

töötlemisel on rangelt piiratud tähtaeg, mis ei ületa konkreetse andmetöötlustoimingu tegemiseks kuluvat aega;

c)

keelatud on igasugune edasine kasutamine teistel eesmärkidel.

a)

selle teatud töötlemise konkreetsed eesmärgid ja vahendid;

b)

juurdepääsu lubavad ainult nõuetekohaselt volitatud töötajad oma ülesannete täitmisel, juhul kui konkreetsel juhtumil annavad mõistlikud põhjused alust arvata, et isikuandmete töötlemine aitab oluliselt kaasa kuritegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele või kriminaalkaristuste täitmisele pööramisele, ning

c)

loodud on asjakohased kaitsemeetmed, et tagada põhiõiguste ja -vabaduste kaitsmine seoses isikuandmete töötlemisega.

a)

töötlemine on lubatud õigusaktiga, milles tingimata vajalik ja proportsionaalne, et täita ülesannet, mida teostavad pädevad eesmärgil, mis on sätestatud artikli 1 lõikes 1 liidu või liikmesriigi õiguse alusel, mis sätestab konkreetsed ja piisavad kaitsemeetmed meetmed , et kaitsta andmesubjekti õiguspäraseid huve, sealhulgas konkreetne volitamine kohtuasutuse poolt, kui seda nõuab liikmesriigi õigus, või

b)

töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks või

c)

töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud , tingimusel et need on asjakohased ja igal konkreetsel juhul asjaomase eesmärgi saavutamiseks tingimata vajalikud . [ME 69]

a)

vastutava töötleja ja andmekaitseametniku nimi ja kontaktandmed;

b)

isikuandmete töötlemise õiguslik alus ja eesmärk,;

c)

isikuandmete säilitamise tähtaeg;

d)

andmesubjekti õigus taotleda vastutavalt töötlejalt juurdepääsu oma isikuandmetele ning oma isikuandmete parandamist, kustutamist ja nende töötlemise piiramist;

e)

andmesubjekti õigus esitada kaebus artiklis 39 osutatud järelevalveasutusele ning järelevalveasutuse kontaktandmed;

f)

isikuandmete vastuvõtjad või vastuvõtjate kategooriad, sealhulgas kolmandad riigid ja või rahvusvahelised organisatsioonid , ja teave isikute kohta, kellel on kõnealuse kolmanda riigi õiguse või rahvusvahelise organisatsiooni eeskirjade alusel isikuandmetele juurdepääsu õigus, komisjoni tehtud piisava või ebapiisava kaitse otsus või artiklis 35 või 36 osutatud isikuandmete edastamise juhtudel edastamisel kasutatud asjakohaste kaitsemeetmete koopia saamise vahendid ;

fa)

kui vastutav töötleja töötleb isikuandmeid artikli 9 lõikes 1 kirjeldatud viisil, teave artikli 9 lõikes 1 osutatud meetme võtmise eesmärgil töödeldavate andmete kohta ja sellise töötlemise kavandatud mõju andmesubjektile, profiilianalüüsi aluseks olnud põhimõtted ja isikliku kontrolli õigus;

fb)

teave isikuandmete kaitsmiseks võetud turvameetmete kohta;

g)

muu teave määral, mis on vajalik andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse isikuandmete töötlemise konkreetset olukorda.

a)

andmesubjektilt andmete saamise ajal või

b)

juhul kui isikuandmed ei ole kogutud andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul pärast nende kogumist, võttes arvesse andmete töötlemise konkreetset olukorda.

a)

teenistuslike või õiguslike uurimiste, juurdluste või menetluste takistamise vältimiseks;

b)

kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

-a)

teave töödeldavate isikuandmete kohta ja olemasolev teave andmete allika kohta ja vajaduse korral arusaadav teave põhimõtete kohta, mida hõlmab mis tahes automaattöötlemine;

-aa)

vähemalt artiklis 9 osutatud meetmete puhul töötlemise tähtsus ja ettenähtavad tagajärjed;

a)

töötlemise eesmärk, ja õiguslik alus;

b)

töödeldavate isikuandmete liigid;

c)

millistele või mis liiki vastuvõtjatele isikuandmeid on avalikustatud, eelkõige teave kolmandates riikides olevate vastuvõtjate kohta;

d)

isikuandmete säilitamise tähtaeg;

e)

andmesubjekti õigus taotleda vastutavalt töötlejalt oma isikuandmete parandamist, kustutamist ja nende töötlemise piiramist;

f)

andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

g)

teave töödeldavate isikuandmete kohta ja olemasoleva teave andmete allika kohta.

a)

teenistuslike või õiguslike uurimiste, juurdluste või menetluste takistamise vältimiseks;

b)

kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

a)

andmesubjekt seab kahtluse alla nende täpsuse; täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja on kontrollinud nende täpsust;

b)

isikuandmeid tuleb säilitada tõendamiseks; või andmesubjekti või teise isiku eluliste huvide kaitsmiseks.

c)

andmesubjekt ei taotle nende kustutamist, vaid nende kasutamise piiramist.

a)

dokumenteerimine vastavalt artiklile 23;

aa)

andmekaitse mõjuhinnangu teostamine artikli 25a kohaselt;

b)

artikli 26 kohase eelneva konsulteerimise nõude täitmine;

c)

artiklis 27 sätestatud andmeturbenõuete rakendamine;

d)

andmekaitseametniku määramine vastavalt artiklile 30;

da)

lastega seotud isikuandmete töötlemise jaoks konkreetsete kaitsemeetmete arendamine ja rakendamine, kui see on asjakohane.

a)

tegutseb ainult vastavalt vastutava töötleja juhtnööridele;

b)

kasutab ainult töötajaid, kes on nõus olema seotud konfidentsiaalsuse kohustusega või järgima seadusest tulenevat konfidentsiaalsuse kohustust;

c)

võtab kõik vajalikud meetmed vastavalt artiklile 27;

d)

kaasab teise volitatud töötleja ainult vastutava töötleja loal ja teavitab seega vastutavat töötlejat kavatsusest kaasata teine volitatud töötleja ajavahemiku jooksul, mil vastutaval töötlejal on võimalik vastuväiteid esitada;

e)

võtab kokkuleppel vastutava töötlejaga võimaluse piires ja vastavalt töötlemise laadile vastu vajalikud tehnilised ja korralduslikud nõuded, mille kohaselt täidetakse vastutava töötleja kohustust vastata III peatükis sätestatud taotlustele andmesubjekti õiguste teostamiseks;

f)

aitab vastutaval töötlejal täita artiklites 25a – 29 sätestatud kohustusi;

g)

tagastab andmetöötluse lõppedes vastutavale töötlejale kõik tulemused ega töötle isikuandmeid muul viisil ning kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriikide õiguses nõutakse andmete säilitamist;

h)

teeb vastutavale töötlejale ja järelevalveasutusele kättesaadavaks kogu vajaliku teabe, mille alusel saab kontrollida käesolevas artiklis sätestatud kohustuste täitmist;

i)

võtab arvesse lõimitult ja vaikimisi andmekaitse põhimõtet.

a)

vastutava töötleja ning vajaduse korral kaasvastutava töötleja või volitatud töötleja nimi ja kontaktandmed;

aa)

kaasvastutavate töötlejate puhul õiguslikult siduv kokkulepe; volitatud töötlejate ja volituse alusel tehtavate toimingute loetelu;

b)

töötlemise eesmärk,

ba)

vastutava töötleja või volitatud töötleja organisatsiooni osade näitamine, millele on usaldatud isikuandmete töötlemine teatud eesmärgil;

bb)

andmesubjektide kategooria või kategooriate ja nendega seotud andmete liigi või liikide kirjeldus;

c)

isikuandmete vastuvõtjad või vastuvõtjate liigid;

ca)

asjakohasel juhul teave profiilianalüüsi olemasolu, profiilianalüüsil põhinevate meetmete ja profiilianalüüsile vastuväidete esitamise mehhanismide kohta;

cb)

arusaadav teave loogika kohta, mida hõlmab mis tahes automatiseeritud töötlemine;

d)

teave andmete edastamise kohta kolmandatele riikidele ja rahvusvahelistele organisatsioonidele koos asjaomase riigi või rahvusvahelise organisatsiooni nimega , viidates andmeedastuse õiguslikele alustele; põhjalik selgitus esitatakse juhul, kui edastamine põhineb käesoleva direktiivi artiklitel 35 või 36;

da)

eri andmeliikide kustutamise tähtaeg;

db)

artikli 18 lõikes 1 osutatud meetmete kontrollimise tulemused;

dc)

andmete töötlemise eesmärgi õigusliku aluse osutamine.

a)

isikuandmete töötlemine suuremahulistes toimikusüsteemides kuritegude tõkestamise, avastamise, uurimise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil;

b)

isikuandmete eriliikide töötlemine artikli 8 kohaselt, lastega seotud isikuandmete, biomeetriliste andmete ja asukohaandmete töötlemine kuritegude tõkestamise, avastamise, uurimise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil;

c)

füüsilise isiku isikuomaduste hindamine või eelkõige füüsilise isiku käitumise analüüs või selle prognoosimine, mis põhineb automaattöötlemisel ja mille tulemuseks on tõenäoliselt meetmed, millel on õiguslik mõju üksikisikule või mis avaldavad talle märkimisväärset mõju;

d)

avalike alade jälgimine eeskätt elektrooniliste optikaseadmetega (videojärelevalveseadmetega) või

e)

muud töötlemistoimingud, mille puhul tuleb nõu pidada järelevalveasutusega vastavalt artikli 26 lõikele 1.

a)

kavandatud töötlemistoimingute süstemaatiline kirjeldus;

b)

hinnang selle kohta, kas töötlemistoimingud on eesmärke arvestades vajalikud ja proportsionaalsed;

c)

hinnang selle kohta, millised on ohud andmesubjektide õigustele ja vabadustele, ning kavandatud meetmed selliste ohtudega tegelemiseks ning isikuandmete töötlemise mahu vähendamiseks;

d)

turvameetmed ning isikuandmete kaitset ja käesoleva direktiivi kohaselt vastuvõetud sätete järgimise tõendamist tagavad mehhanismid, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õiguspäraseid huve;

e)

üldist teavet eri andmeliikide kustutamise tähtaja kohta;

f)

vajaduse korral loetelu andmete kavandatavatest edastamistest kolmandale riigile või rahvusvahelisele organisatsioonile koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega ning artikli 36 lõikes 2 osutatud edastamise korral kaitsemeetmete kohta koostatud dokumentide loendit;

a)

töödeldakse artiklis 8 osutatud andmete eriliike; artiklis 25a sätestatud isikuandmete kaitse mõjuhinnangu kohaselt kujutavad töötlemistoimingud oma laadi, ulatuse ja/või eesmärkide tõttu tõenäoliselt endast konkreetset ja märkimisväärset ohtu või

b)

vastasel juhul toob töötlemise laad, eelkõige uute tehnoloogiate, mehhanismide või menetluste kasutamine endaga kaasa konkreetse ohu andmesubjekti põhiõigustele ja -vabadustele, eelkõige tema isikuandmete kaitsele järelevalveasutus peab vajalikuks eelnevalt konsulteerida täpsustatud töötlemistoimingute küsimustes, mis oma laadi, ulatuse ja/või eesmärgi tõttu kujutavad tõenäoliselt konkreetseid ohte andmesubjektide õigustele ja vabadustele .

a)

keelata kõrvaliste isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll);

b)

hoida ära andmekandjate lugemine, kopeerimine, muutmine või kõrvaldamine vastava loata isikute poolt (andmekandjate kontroll);

c)

hoida ära andmete sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine ilma vastava loata (säilitamise kontroll);

d)

hoida ära automatiseeritud andmetöötlussüsteemi kasutamine andmesidevahendite abil isikute poolt, kellel puudub selleks luba (kasutajate kontroll);

e)

tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs ainult nendele andmetele, mida hõlmab nende juurdepääsuluba (juurdepääsukontroll);

f)

tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud, millistele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll);

g)

tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll);

h)

hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll);

i)

tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine);

j)

tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks andmete moonutamist (terviklus).

ja)

tagada, et tundlike isikuandmete töötlemise korral vastavalt artiklile 8 on kasutusele võetud lisaturvameetmed, et tagada ülevaade olukorra ohtudest ja võime võtta peaaegu reaalajas ennetus-, parandus- ja leevendusmeetmeid tuvastatud puuduste või vahejuhtumite puhul, mis võiksid endast andmetele ohtu kujutada.

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv ning isikuandmete liigid ja arv;

b)

teatada artiklis 30 osutatud andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)

kirjeldada soovitatavaid meetmeid, mis võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset mõju;

d)

kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

e)

kirjeldada vastutava töötleja kavandatud või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks ja selle tagajärgede leevendamiseks .

a)

suurendada teadlikkust, teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat seoses nende kohustustega, mis tulenevad käesoleva direktiivi alusel vastuvõetud õigusaktidest, eelkõige seoses tehniliste ja organisatsiooniliste meetmete ja menetlustega, ning oma tegevus ja saadud vastused dokumenteerida;

b)

jälgida isikuandmete kaitse põhimõtete rakendamist ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises osaleva personali koolitamist ja nendega seotud auditeerimist;

c)

jälgida käesoleva direktiivi alusel vastuvõetud õigusnormide rakendamist ja kohaldamist, eelkõige isikuandmete lõimitud ja vaikimisi kaitset, andmeturvet, andmesubjektide teavitamist ning käesoleva direktiivi alusel vastuvõetud normidest tulenevate õiguste kasutamiseks andmesubjektide poolt esitatavaid taotlusi käsitlevate normide rakendamist ja kohaldamist;

d)

tagada artiklis 23 osutatud dokumenteerimine;

e)

jälgida isikuandmetega seotud rikkumiste dokumenteerimist ning neist teavitamist vastavalt artiklitele 28 ja 29;

f)

jälgida vajaduse korral vastavalt artiklile 26 artikli 26 lõikele 1 andmekaitse mõjuhinnangu tegemist vastutava töötleja või volitatud töötleja poolt ja järelevalveasutusega toimuva eelneva konsulteerimise kohaldamist;

g)

jälgida järelevalveasutuse taotlustele vastamist ja oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse taotlusele või omal algatusel;

h)

tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida järelevalveasutusega andmekaitseametniku omal algatusel. [ME 95]

a)

kui see konkreetne edastamine on vajalik kuritegude tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks ning

aa)

kui andmeid edastatakse vastutavale töötlejale kolmandas riigis või rahvusvahelises organisatsioonis, mis on pädev avaliku sektori asutus artikli 1 lõikes 1 osutatud eesmärgil, ning

ab)

kui vastutav töötleja ja volitatud töötleja on täitnud käesolevas peatükis sätestatud tingimused, sealhulgas juhul kui kolmandad riigid või rahvusvahelised organisatsioonid edastavad isikuandmed muule kolmandale riigile või rahvusvahelisele organisatsioonile, ning

b)

vastutav töötleja ja volitatud töötleja täidavad käesolevas peatükis sätestatud tingimused. muud vastavalt käesolevale direktiivile vastu võetud õigusnormid ning

ba)

ei ohustata üksikisikutele käesoleva direktiiviga liidus tagatud isikuandmete kaitsmist ning

bb)

kui komisjon on otsustanud artiklis 34 osutatud tingimuste ja menetluse alusel, et kõnealune kolmas riik või rahvusvaheline organisatsioon tagab piisava kaitse, või

bc)

kui isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on sätestatud õiguslikult siduvas dokumendis, nagu on osutatud artiklis 35.

a)

on vahendatud edastamine vajalik samal konkreetsel eesmärgil kui algne edastamine ning

b)

pädev asutus, kes teostas algse edastamise, on andnud vahendatud edastamiseks loa. [ME 96]

a)

õigusriigi põhimõte, nii üldised kui ka konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku julgeoleku, riigikaitse, riigi julgeoleku ja kriminaalõigusega seotud õigusaktid ning nende rakendamine , kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad turvameetmed ning , kohtupraktikast tulenevad nõuded, samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse;

b)

kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete kaitse eeskirjade järgimise eest, sealhulgas piisavad sanktsioonide kehtestamise volitused, ning andmesubjekti abistamise ja nõustamise eest tema õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c)

kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused , eelkõige mis tahes õiguslikult siduvad konventsioonid või õigusaktid isikuandmete kaitse valdkonnas .

a)

isikuandmete kaitseks võetavad kaitsemeetmed on sätestatud õiguslikult siduvas dokumendis või

b)

vastutav töötleja või volitatud töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et kehtestatud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed.

a)

edastamine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks või

b)

edastamine on vajalik andmesubjekti õigustatud huvi kaitsmiseks vastavalt andmeid edastava liikmesriigi õigusele või

c)

edastamine on äärmiselt vajalik liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu vältimiseks või

d)

edastamine on vajalik konkreetsete kuritegude tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks või

e)

edastamine on vajalik konkreetsete kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramisega seotud konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

a)

töötada välja tõhusad rahvusvahelised koostöömehhanismid, et hõlbustada tagada isikuandmete kaitset käsitlevate õigusaktide täitmise tagamist täitmine ; [ME 101]

b)

osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse abil, mille suhtes kohaldatakse asjaomaseid isikuandmete kaitsemeetmeid ja teisi põhiõigusi ning vabadusi;

c)

kaasata asjaomaseid sidusrühmi arutellu ja tegevusse, mis on suunatud rahvusvahelise koostöö edendamisele isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)

edendada isikuandmete kaitset käsitlevate õigusaktide ja tava vahetamist ja dokumenteerimist.

da)

selgitada ja arutada lahkarvamusi kohtualluvuse osas kolmandate riikidega. [ME 102]

6.

Liikmesriigid tagavad, et järelevalveasutusel peab olema oma personal, kelle nimetab ametisse järelevalveasutuse juht, kellele personal allub.

a)

järelevalveasutuse loomise ja staatuse artiklite 39 ja 40 kohaselt;

b)

järelevalveasutuse liikmete ülesannete täitmiseks vajaliku kvalifikatsiooni, kogemuse ja oskused;

c)

järelevalveasutuse liikme ametisse nimetamise eeskirjad ja korra ning ametiülesannetega sobimatuid tegusid ja ametikohti käsitlevad eeskirjad;

d)

järelevalveasutuse liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud esimest korda ametisse nimetamisel pärast käesoleva direktiivi jõustumist, kui osa liikmete ametiaeg võib kesta lühemat aega;

e)

selle, kas järelevalveasutuse liikmeid saab ametisse uuesti tagasi nimetada;

f)

järelevalveasutuse liikmete ja personali ülesandeid reguleerivad eeskirjad ja üldtingimused;

g)

järelevalveasutuse liikmete ülesannete täitmise lõpetamise eeskirjad ja korra, sealhulgas juhul, kui liikmed ei vasta enam oma ülesannete täitmiseks nõutavatele tingimustele või kui nad on süüdi raskes üleastumises.

a)

jälgib ja tagab käesoleva direktiivi alusel vastuvõetud õigusnormide ja direktiivi rakendusmeetmete kohaldamist;

b)

vaatab läbi andmesubjekti või teda nõuetekohase volituse alusel esindava ühenduse artikli 50 kohaselt esitatud kaebuse, uurib juhtumit vajalikul määral ning teavitab mõistliku aja jooksul andmesubjekti või ühendust kaebuse arutamise arengust ja tulemusest, eelkõige juhul, kui osutub vajalikuks täiendav uurimine või koordineerimine teise järelevalveasutusega;

c)

kontrollib töötlemise seaduslikkust vastavalt artiklile 14 ning teavitab andmesubjekti mõistliku aja jooksul kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest;

d)

osutab teistele järelevalveasutustele abi ning tagab käesoleva direktiivi alusel vastuvõetud normide ühetaolise kohaldamise ja täitmise;

e)

korraldab omal algatusel või kaebuse või teise järelevalveasutuse taotlusel uurimisi , kontrolle ja auditeid ning kui andmesubjekt on esitanud kaebuse, teavitab teda uurimise tulemusest mõistliku aja jooksul;

f)

jälgib isikuandmete kaitsmist mõjutavaid asjaomaseid arengusuundi, eelkõige info- ja kommunikatsioonitehnoloogia arengut;

g)

osaleb aruteludes liikmesriikide asutuste ja organitega õiguslike ja haldusmeetmete üle, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset seoses isikuandmete töötlemisega;

h)

avaldab oma arvamuse töötlemistoimingute kohta artiklis 26 sätestatud konsulteerimise käigus;

i)

osaleb Euroopa Andmekaitsenõukogu tegevuses.

a)

uurimisvolitused, näiteks tutvuda töödeldavate andmetega ja koguda oma järelevalvekohustuse täitmiseks vajalikku teavet; teavitada vastutavat töötlejat või volitatud töötlejat isikuandmete töötlemist reguleerivate sätete väidetavast rikkumisest ja vajaduse korral käskida vastutaval töötlejal või volitatud töötlejal rikkumine kindlal viisil kõrvaldada, et parandada andmesubjekti kaitset;

b)

sekkumisvolitused, näiteks avaldada arvamust enne töötlemise alustamist ja tagada selliste arvamuste asjakohane avalikustamine, anda korraldus piirangu kehtestamiseks ja andmete kustutamiseks või hävitamiseks, keelata töötlemine ajutiselt või alaliselt, hoiatada vastutavat töötlejat või teha talle märkus või suunata küsimus riigi parlamenti või teistesse poliitilistesse institutsioonidesse; nõuda, et vastutav töötleja täidaks andmesubjekti taotlused kasutada oma käesoleva direktiivi kohaseid õigusi, sealhulgas neid, mis on sätestatud artiklitega 12–17, kui sellistest taotlustest on keeldutud, rikkudes nimetatud sätteid;

c)

volitus olla kohtus menetlusosaline, kui käesoleva direktiivi kohaselt vastu võetud õigusnorme on rikutud, või juhtida kõnealusele rikkumisele õigusasutuste tähelepanu. nõuda, et vastutav töötleja või volitatud töötleja pakuks teavet vastavalt artikli 10 lõigetele 1 ja 2 ning artiklitele 11, 28 ja 29;

d)

tagada kooskõla artiklis 26 osutatud eelneva konsulteerimise kohta esitatud arvamustega;

e)

hoiatada vastutavat töötlejat või volitatud töötlejat või teha talle märkus;

f)

anda käsk kõik andmed parandada, kustutada või hävitada, kui neid on töödeldud käesoleva direktiivi kohaselt vastu võetud õigusnorme rikkudes, ning teavitada nimetatud meetmetest kolmandaid isikuid, kelle andmed on avaldatud;

g)

kehtestada ajutine või tähtajatu töötlemiskeeld;

h)

peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog;

i)

teavitada küsimusest liikmesriikide parlamente, valitsust või muid avalikke institutsioone ning avalikkust.

a)

kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema järelevalvekohustuste täitmiseks;

b)

kõigile ruumidele, sealhulgas kõigile andmetöötlusseadmetele ja -vahenditele kooskõlas liikmesriigi õigusega, kui on mõistlikku alust eeldada, et käesoleva direktiivi kohaselt vastu võetud õigusnorme rikkuvat tegevust pannakse toime, ilma et see piiraks kohtulikku volitamist, kui seda nõuab liikmesriigi õigus.

a)

asutus ei ole pädev taotlusega tegelemiseks või

b)

taotluse täitmine oleks vastuolus käesoleva direktiivi kohaselt vastu võetud õigusnormidega.

a)

annab komisjonile liidu institutsioonidele nõu liidus isikuandmete kaitse küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta;

b)

vaatab komisjoni , Euroopa Parlamendi või nõukogu taotlusel või omal või oma liikme algatusel läbi käesoleva direktiivi alusel vastu võetud õigusnormide kohaldamise küsimused ning esitab järelevalveasutustele suuniseid, soovitusi ja hea tava eeskirju nende normide ühetaoliseks kohaldamiseks , sealhulgas jõustamisvolituste kasutamise kohta ;

c)

jälgib punktis b nimetatud suuniste, soovitusi ja hea tava juhiste rakendamist ning annab sellest komisjonile korrapäraselt aru;

d)

esitab komisjonile arvamuse kolmandate riikide ja rahvusvaheliste organisatsioonide isikuandmete kaitse taseme kohta;

e)

edendab järelevalveasutuste vahelist koostööd ning kahe- ja mitmepoolset teabe ja tavade vahetust , sealhulgas ühisoperatsioonide ja muude ühismeetmete kooskõlastamist, kui ta otsustab nii ühe või mitme järelevalveasutuse taotlusel ;

f)

edendab ühtsete koolitusprogrammide kasutamist ja soodustab töötajate vahetust järelevalveasutuste vahel ning vajaduse korral ka kolmandate riikide ja rahvusvaheliste organisatsioonide järelevalveasutustega;

g)

edendab isikuandmete kaitse järelevalveasutustega kogu maailmas teadmiste ja dokumentide, sealhulgas isikuandmete kaitse alaste õigusaktide ja tavade vahetamist.;

ga)

esitab komisjonile oma arvamuse käesoleva direktiivi kohaste delegeeritud õigusaktide ja rakendusaktide ettevalmistamisel.

a)

edastamine on kooskõlas liidu või liikmesriigi õigusega ning

b)

vastuvõtja asub Euroopa Liidu liikmesriigis ning

c)

andmesubjekti õiguspärased erihuvid ei takista edastamist ning

d)

edastamine on konkreetsel juhtumil vajalik vastutavale töötlejale, kes edastab isikuandmeid