52017PC0008

•Proportsionaalsus

Kooskõlas proportsionaalsuse põhimõttega ning saavutamaks põhieesmärke tagada kogu liidus seoses isikuandmete töötlemisega füüsiliste isikute kaitse võrdväärne tase ja isikuandmete vaba liikumine, on vajalik ja asjakohane kehtestada õigusnormid, mis käsitlevad isikuandmete töötlemist liidu institutsioonide, organite ja asutuste poolt. Käesolevas määruses piirdutakse sellega, mis on vajalik seatud eesmärkide saavutamiseks kooskõlas Euroopa Liidu lepingu artikli 5 lõikega 4.

•Vahendi valik

Määrust peetakse sobivaks õiguslikuks vahendiks, millega määratletakse üksikisikute kaitset seoses isikuandmete töötlemisega liidu institutsioonides, organites ja asutustes, ning selliste andmete vaba liikumist käsitlev raamistik. Määrusega nähakse füüsilistele isikutele ette kohtulikult kaitstavad õigused ning määratakse kindlaks liidu institutsioonide, organite ja asutuste vastutavate töötlejate kohustused andmete töötlemisel. Määrusega kohustatakse ka sõltumatut järelevalveasutust, Euroopa Andmekaitseinspektorit vastutama isikuandmete töötlemise jälgimise eest liidu institutsioonides, organites ja asutustes.

3.JÄRELHINDAMISTE TULEMUSED, KONSULTEERIMINE SIDUSRÜHMADEGA JA MÕJUHINNANGUD

Andmekaitse reformipaketi ettevalmistamise käigus viis komisjon 2010. ja 2011. aastal läbi sidusrühmadega konsulteerimised ja mõjuhindamise, milles antakse ülevaade määrusesse (EÜ) nr 45/2001 kavandatavatest muudatustest. Reformipaketiga seoses korraldas komisjon küsitluse ka komisjoni andmekaitsekoordinaatorite hulgas 5 .

Määruse (EÜ) nr 45/2001 praktilise kohaldamise kohta liidu institutsioonide, organite ja asutuste poolt koguti teavet Euroopa Andmekaitseinspektori, liidu teiste institutsioonide, organite ja asutuste, komisjoni teiste peadirektoraatide ning ühe välistöövõtja käest. Küsimustik saadeti andmekaitseametnike võrgustikule 6 .

Mitme liidu institutsiooni, organi ja asutuse andmekaitseametnikud korraldasid 9. juulil 2015, 22. oktoobril 2015, 19. jaanuaril 2016 ja 15. märtsil 2016 õpikojad määruse 45/2001 reformimise kohta.

Komisjon otsustas 2013. aastal teostada määruse (EÜ) nr 45/2001 senist kohaldamist käsitleva hindamisuuringu, milleks kasutati välistöövõtjat. Hindamisuuringu lõpptulemused (lõpparuanne, viis juhtuuringut ja artiklite kaupa analüüs) esitati komisjonile 8. juunil 2015 7 .

Hindamine näitas, et andmekaitseametnike ja Euroopa Andmekaitseinspektori ümber koondatud juhtimissüsteem on tõhus. Hindamine kinnitas, et volituste andmekaitseametnike ja Euroopa Andmekaitseinspektori vahel jagamine on selge ja hästi tasakaalus ning mõlemal osapoolel on piisavad volitused. Probleeme võib aga tekkida seoses volituste puudumisega, mis tuleneb juhtkonna ebapiisavast toetusest andmekaitseametnikele.

Hindamisuuring näitas, et määruse (EÜ) nr 45/2001 täitmist oleks võimalik Euroopa Andmekaitseinspektori sanktsioonide abil paremini tagada. Euroopa Andmekaitseinspektori järelevalvevolituste laialdasem kasutamine tooks kaasa andmekaitsenormide parema rakendamise. Samuti järeldati, et vastutavad töötlejad peaksid kasutusele võtma riskijuhtimisel põhineva lähenemisviisi ning teostama riskihindamisi enne andmete töötlemist, et paremini rakendada andmete säilitamise ja turvanõudeid.

Uuringust selgus ka, et määruse (EÜ) nr 45/2001 IV peatüki telekommunikatsioonisektorit käsitlevad normid on aegunud ning see peatükk tuleb eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga kooskõlla viia. Hindamisuuringu kohaselt tuleks selgemini sõnastada ka mõningad määruse (EÜ) nr 45/2001 olulised määratlused. See hõlmab vastutavate töötlejate kindlaksmääramist liidu institutsioonides, organites ja asutustes, vastuvõtja määratlust, ning konfidentsiaalsuse kohustuse laiendamist välistele andmetöötlejatele.

Hindamisuuringus juhiti ka tähelepanu vajadusele lihtsustada teavitamiskorda ja eelnevat kontrolli, et suurendada tõhusust ja vähendada halduskoormust.

Hindaja teostas veebipõhise uuringu 64 liidu institutsioonis, organis ja asutuses. Uuringu küsimustele vastas 422 vastutava töötleja ametnikku, 73 andmekaitseametnikku, 118 andmekaitsekoordinaatorit ja 109 IT-ametnikku. Hindaja korraldas ka mitu intervjuud sidusrühmadega. 26. märtsil 2015 korraldasid hindaja ja komisjon kokkuvõtva õpikoja, kus osalesid mitmed vastutavad töötlejad, andmekaitseametnikud, andmekaitsekoordinaatorid, IT-ametnikud ja Euroopa Andmekaitseinspektori esindajad.

•Eksperdiarvamuste kogumine ja kasutamine

Vt viide hindamisuuringule eelmise punkti all.

•Mõju hindamine

Käesolev ettepanek mõjutab peamiselt liidu institutsioone, organeid ja asutusi. Seda kinnitab Euroopa Andmekaitseinspektori, teiste liidu institutsioonide, organite ja asutuste, komisjoni peadirektoraatide ja välistöövõtja käest kogutud teave. Lisaks sellele hinnati käesoleva määruse koostamise käigus uute kohustuste mõju, mis tulenevad määrusest (EL) 2016/679, millega käesolev määrus vastavusse tuleb viia. Seetõttu ei ole käesoleva määruse spetsiifilise mõju hindamine vajalik.

•Õigusnormide toimivus ja lihtsustamine

Ei kohaldata

•Põhiõigused

Õigus isikuandmete kaitsele on sätestatud Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklis 8, Euroopa Liidu toimimise lepingu (edaspidi „ELi toimimise leping“) artiklis 16 ja Euroopa inimõiguste konventsiooni artiklis 8. Nagu Euroopa Liidu Kohus 8 on rõhutanud, ei ole isikuandmete kaitse õigus absoluutne õigus, vaid sellega tuleb arvestada vastavalt selle ülesandele ühiskonnas 9 . Andmekaitse on tihedalt seotud ka õigusega era- ja perekonnaelu austamisele, mis on sätestatud harta artiklis 7.

Käesoleva ettepanekuga kehtestatakse raamistik üksikisikute kaitseks seoses isikuandmete töötlemisega liidu institutsioonide, organite ja asutuste poolt ning selliste andmete vaba liikumisega.

Muud potentsiaalselt mõjutatavad hartaga kaitstud põhiõigused on järgmised: sõnavabadus (artikkel 11); õigus omandile ja eelkõige intellektuaalomandi kaitsele (artikli 17 lõige 2); diskrimineerimise keeld rassi, etnilise päritolu, geneetiliste omaduste, usutunnistuse või veendumuste, poliitiliste või muude arvamuste, puuete või seksuaalse sättumuse alusel (artikkel 21); lapse õigused (artikkel 24); õigus kõrgetasemelisele tervishoiule (artikkel 35); õigus tutvuda dokumentidega (artikkel 42); ning õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele (artikkel 47).

4.MÕJU EELARVELE

Vt lisas esitatud finantsselgitus.

5.MUUD KÜSIMUSED

•Rakenduskavad ning järelevalve-, hindamis- ja aruandluskord

Ei kohaldata

•Selgitavad dokumendid (direktiivide puhul)

Ei kohaldata

I PEATÜKK – ÜLDSÄTTED

Artiklis 1 määratakse kindlaks määruse reguleerimisese ning (nagu ka määruse (EÜ) nr 45/2001 artiklis 1) sätestatakse määruse kaks eesmärki: kaitsta põhiõigust isikuandmete kaitsele ja tagada isikuandmete vaba liikumine kogu liidus. Samuti sätestatakse Euroopa Andmekaitseinspektori peamised ülesanded.

Artiklis 2 määratakse kindlaks määruse kohaldamisala: seda kohaldatakse kõikides liidu institutsioonides ja asutustes automatiseeritult või muul viisil toimuva isikuandmete töötlemise suhtes, kui töötlemise eesmärgiks on täielikult või osaliselt liidu õigusaktidega hõlmatud toimingute teostamine. Käesoleva määruse sisuline kohaldamisala on tehnoloogiliselt neutraalne. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, kohaldatakse isikuandmete kaitset nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise suhtes.

Artiklis 3 on määratletud määruses kasutatavad mõisted. Kõik käesolevas määruses kasutatavad mõisted, välja arvatud käesolevale määrusele ainuomased mõisted nagu „liidu institutsioonid ja asutused“, „vastutav töötleja“, „kasutaja“ ja „kataloog“, on määratletud määruses (EL) 2016/679, määruses (EL) 0000/00 [uus eraelu puutumatust ja elektroonilist sidet käsitlev määrus], direktiivis 00/0000/EL [direktiiv, millega kehtestatakse Euroopa elektroonilise side seadustik] ja komisjoni direktiivis 2008/63/EÜ.

II PEATÜKK – PÕHIMÕTTED

Artiklis 4 sätestatakse isikuandmete töötlemise põhimõtted, mis vastavad määruse (EL) 2016/679 artiklis 5 sätestatule. Võrreldes määrusega (EÜ) nr 45/2001 lisanduvad uued läbipaistvuse, terviklikkuse ja konfidentsiaalsuse põhimõtted.

Artikli 5 aluseks on määruse (EL) 2016/679 artikkel 6 ning sellega kehtestatakse isikuandmete seadusliku töötlemise kriteeriumid, ainsaks erandiks on vastutava töötaja õigustatud huvi kriteerium, mida ei kohaldata avaliku sektori suhtes ning seega ei peaks seda kohaldatama liidu institutsioonide ja asutuste suhtes. Artiklis 5 jäetakse kehtima juba määruse (EÜ) nr 45/2001 artikliga 5 kehtestatud kriteeriumid.

Artiklis 6 selgitatakse andmete muul kooskõlas oleval eesmärgil töötlemise tingimusi vastavalt määruse (EL) nr 2016/679 artikli 6 lõikele 4. Võrreldes määruse (EÜ) nr 45/2001 artikliga 6 võimaldab kõnealune uus säte andmete muul kooskõlas oleval eesmärgil edasi töötlemise puhul suuremat paindlikkust ja õiguskindlust.

Artiklis 7 selgitatakse kooskõlas määruse (EL) 2016/679 artikliga 7 tingimusi, mille alusel on nõusolek kehtiv seadusliku töötlemise alusena.

Artiklis 8 sätestatakse kooskõlas määruse (EL) 2016/679 artikliga 8 laste isikuandmete töötlemise seaduslikkuse täiendavad tingimused neile otse pakutavate infoühiskonna teenuste seisukohast. Artikliga kehtestatakse kehtiva nõusoleku andmise miinimumvanuseks lapse puhul 13 aastat.

Artiklis 9 sätestatakse kooskõlas määruse (EÜ) nr 45/2001 artikliga 8 normid, millega tagatakse konkreetne kaitse tase, kui isikuandmeid edastatakse vastuvõtjatele, kes ei ole liidu institutsioonid ega asutused, kuid kes on asutatud liidus ja kelle suhtes kohaldatakse määrust (EL) 2016/679 või direktiivi (EL) 2016/680. Artiklis selgitatakse, et juhul kui edastamise algatab vastutav töötleja, peaks ta tõendama edastamise vajalikkust ja proportsionaalsust.

Artiklis 10 sätestatakse isikuandmete eriliikide töötlemise üldine keeld ning kõnealuse üldnormi erandid, tuginedes määruse (EL) 2016/679 artiklile 9 ja arendades edasi määruse (EÜ) nr 45/2001 artiklit 10.

Artiklis 11 sätestatakse kooskõlas määruse (EL) 2016/679 artikliga 10 ja vastavalt määruse (EÜ) nr 45/2001 artikli 10 lõikele 5 süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemise tingimused.

Artiklis 12 selgitatakse vastutava töötleja kohustust teavitada andmesubjekti vastavalt määruse (EL) 2016/679 artiklile 11, sätestades, et juhul kui vastutav töötleja töötleb selliseid isikuandmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei peaks ta olema kohustatud hankima andmesubjekti tuvastamiseks täiendavat teavet ainult käesoleva määruse sätete järgimiseks. Vastutav töötleja ei tohiks aga keelduda sellise täiendava teabe vastuvõtmisest, mida andmesubjekt esitab oma õiguste kasutamise toetamiseks.

Artikliga 13 kehtestatakse määruse (EL) 2016/679 artikli 89 lõikele 1 tuginedes normid, mis käsitlevad kaitsemeetmeid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.

III PEATÜKK – ANDMESUBJEKTI ÕIGUSED

1. jagu – Läbipaistvus ja sellega seotud kord

Artikliga 14 kohustatakse määruse (EL) 2016/679 artiklile 12 tuginedes vastutavaid töötlejaid pakkuma läbipaistvat, kergesti kättesaadavat ja arusaadavat teavet ning menetlusi ja mehhanisme andmesubjekti õiguste kaitsmiseks, sealhulgas vajaduse korral elektrooniliste taotluste esitamise vahendeid, kohustust vastata andmesubjekti taotlusele kindlaksmääratud tähtaja jooksul ning põhjendada taotluse rahuldamisest keeldumist. Kuna liidu institutsioonid ja asutused ei nõua mingil juhul teabe esitamise eest halduskuludega seotud tasu, siis kõnealust võimalust määrusest (EL) 2016/679 üle ei võetud.

2. jagu – Teave ja juurdepääs andmetele

Artiklis 15 täpsustatakse vastutava töötleja andmesubjekti teavitamise kohustusi, kui isikuandmeid kogutakse andesubjektilt, tuginedes määruse (EL) 2016/679 artiklile 13 ja arendades edasi määruse (EÜ) nr 45/2001 artiklit 11, hõlmates andmesubjektile teabe andmist, sealhulgas andmete säilitamise tähtaja ja kaebuse esitamise õiguse kohta ning seoses rahvusvahelise edastamisega.

Artiklis 16 sätestatakse määruse (EL) 2016/679 artiklile 14 tuginedes ja määruse (EÜ) nr 45/2001 artiklit 12 edasi arendades täpsemalt vastutava töötleja teavitamiskohustus juhul, kui isikuandmed ei ole saadud andmesubjektilt, kes esitas teabe allikale, kust andmed pärinevad. Artikliga jäetakse kehtima ka määruses (EL) 2016/679 sätestatud võimalikud erandid, st selline kohustus puudub, kui andmesubjektil on teave juba olemas, sellise teabe esitamine osutub võimatuks või see nõuaks vastutavalt töötlejalt ebaproportsionaalseid jõupingutusi, isikuandmed peavad jääma salajaseks liidu õigusega reguleeritava ametisaladuse hoidmise kohustuse tõttu või kui salvestamine või avaldamine on õigusaktides selgelt sätestatud. Seda võib kohaldada näiteks sotsiaalkindlustuse või tervishoiuküsimustes pädevate asutuste menetluste raames.

Artiklis 17 sätestatakse kooskõlas määruse (EL) 2016/679 artikliga 15 ja määruse (EÜ) nr 45/2001 artiklit 13 edasi arendades andmesubjekti õigus tutvuda oma isikuandmetega, lisades uusi elemente nagu kohustus teavitada andmesubjekti andmete säilitamise tähtajast, ning nende parandamise ja kustutamise nõudmise ning kaebuse esitamise õigusest.

3. jagu – Parandamine ja kustutamine

Artiklis 18 sätestatakse andmesubjektide õigus andmete parandamisele, tuginedes määruse (EL) 2016/679 artiklile 16 ja arendades edasi määruse (EÜ) nr 45/2001 artiklit 14.

Artiklis 19 sätestatakse kooskõlas määruse (EL) 2016/679 artikliga 17 ja määruse (EÜ) nr 45/2001 artiklit 16 edasi arendades andmesubjekti õigus olla unustatud ja õigus nõuda andmete kustutamist. Sellega sätestatakse tingimused õiguse kohta olla unustatud, sealhulgas isikuandmed avaldanud vastutava töötleja kohustus teavitada kolmandaid isikuid andmesubjekti taotlusest kustutada mis tahes lingid isikuandmetele, isikuandmete koopiad või paljundused.

Artikliga 20 kehtestatakse õigus piirata teatavatel juhtudel andmete töötlemist, vältides ebaselget terminit „andmete sulgemine”, mida kasutati määruses (EÜ) nr 45/2001 ja tagades nii järjepidevuse määruse (EL) nr 2016/679 artiklis 18 kasutatud uute terminitega.

Artiklis 21 sätestatakse kooskõlas määruse (EL) 2016/679 artikliga 19 ning määruse (EÜ) nr 45/2001 artiklit 17 edasi arendades vastutava töötleja kohustus edastada vastuvõtjatele, kellele isikuandmed on avaldatud, teave isikuandmete parandamise, kustutamise või isikuandmete töötlemise piiramise kohta, välja arvatud juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi. Vastutav töötleja teavitab ka andmesubjekti nendest vastuvõtjatest andmesubjekti enda taotlusel.

Artikliga 22 kehtestatakse kooskõlas määruse (EL) 2016/679 artikliga 20 andmesubjekti õigus andmete ülekandmisele, st õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, või nõuda, et vastutav töötleja edastab andmed otse teisele vastutavale töötlejale, kui see on tehniliselt teostatav. Eeltingimusena ja selleks, et parandada veelgi üksikisikute võimalusi tutvuda oma isikuandmetega, sätestatakse õigus saada vastutavalt töötlejalt kõnealused andmed struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul. Kõnealust õigust kohaldatakse ainult siis, kui andmeid töödeldakse andmesubjekti nõusolekul või temaga sõlmitud lepingu alusel.

4. jagu – Õigus esitada vastuväiteid ja automatiseeritud töötlusel põhinevate üksikotsuste tegemine

Artiklis 23 sätestatakse andmesubjektide õigus esitada vastuväiteid, tuginedes määruse (EL) 2016/679 artiklile 21 ja arendades edasi määruse (EÜ) nr 45/2001 artiklit 18.

Artikkel 24 käsitleb kooskõlas määruse (EL) 2016/679 artikliga 22 ja arendades edasi määruse (EÜ) nr 45/2001 artiklit 19 andmesubjektide õigust sellele, et tema suhtes ei kohaldata meedet, mille aluseks on üksnes andmete automatiseeritud töötlemine, sealhulgas profiilianalüüs.

5. jagu – Piirangud

Artikli 25 alusel on võimalik piirata artiklites 14–22 ning artiklites 34 ja 38 sätestatud andmesubjekti õigusi ning artiklis 4 kehtestatud põhimõtteid (kuivõrd selle sätted vastavad artiklites 14–22 sätestatud õigustele ja kohustustele). Sellised piirangud tuleks kehtestada aluslepingute või liidu institutsioonide ja asutuste sise-eeskirjade alusel vastu võetud õigusaktidega. Juhul kui sellise piirangu võimalust ei ole aluslepingute või liidu institutsioonide ja asutuste sise-eeskirjade alusel vastu võetud õigusaktidega ette nähtud, võiksid viimased kehtestada ajutise piirangu, kui selline piirang austab seoses konkreetse andmetöötlustoiminguga põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada ühe või enama eesmärgi saavutamine, mis võimaldab andmesubjekti õiguste piiramist. Kõnealune lähenemisviis on kooskõlas määruse (EL) 2016/679 artikliga 23. Siiski erinevalt määruse (EL) 2016/679 artiklist 23 ja kooskõlas määruse (EÜ) nr 45/2001 artikliga 20 ei sätestata artiklis võimalust piirata õigust esitada vastuväiteid ning õigust, et andmesubjekti kohta ei tehtaks otsust, mis põhineb üksnes automatiseeritud töötlusel. Piirangute nõuded on kooskõlas põhiõiguste harta ja Euroopa inimõiguste konventsiooniga, nagu neid on tõlgendanud Euroopa Liidu Kohus ja Euroopa Inimõiguste Kohus.

IV PEATÜKK – VASTUTAV JA VOLITATUD TÖÖTLEJA

1. jagu – Üldkohustused

Artikkel 26 tugineb määruse (EL) 2016/679 artiklile 24 ning sellega kehtestatakse „vastutuse põhimõte“, kirjeldades vastutava töötleja vastutuskohustust käesoleva määruse täitmisel ja täitmise tõendamisel, võttes täitmise tagamiseks muu hulgas vastu asjaomased tehnilised ja korralduslikud meetmed ning vajaduse korral sise-eeskirjad ja mehhanismid. Määruse (EL) 2016/679 artikli 24 lõige 3 jäeti kõnealusest artiklist välja, kuna liidu institutsioonid ja asutused ei peaks toimimisjuhendeid või sertifitseerimismehhanisme järgima.

Artiklis 27 sätestatakse kooskõlas määruse (EL) 2016/679 artikliga 25 vastutava töötleja kohustused, mis tulenevad lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetest.

Kaasvastutavaid töötlejaid käsitlev artikkel 28 tugineb määruse (EL) 2016/679 artiklile 26 ning selles selgitatakse kaasvastutavate töötlejate kohustusi (sõltumata sellest, kas nad on liidu institutsioonid või asutused või mitte) seoses nende sisesuhete ja suhtega andmesubjekti. Kõnealuse artikliga reguleeritakse olukorda, kus kõik kaasvastutavad töötlejad on hõlmatud sama õigusliku režiimiga (käesolev määrus), ning olukorda, kus osad neist on hõlmatud käesoleva määrusega ning teised mõne teise õigusaktiga (määrus (EL) 2016/679, direktiiv (EL) 2016/680, direktiiv (EL) 2016/681 ning teiste liidu institutsioone või asutusi käsitlevate spetsiifiliste andmekaitse režiimidega).

Artikkel 29 tugineb määruse (EL) 2016/679 artiklil 28 ning arendab edasi määruse (EÜ) nr 45/2001 artiklit 23, selgitades volitatud töötlejate ametiseisundit ja kohustusi, sealhulgas selle kindlaksmääramist, et kui volitatud töötleja rikub isikuandmete töötlemise eesmärkide ja vahendite määramisel käesoleva määruse sätteid, siis peetakse kõnealust volitatud töötlejat selle töötlemise suhtes vastutavaks töötlejaks.

Artikkel 30, mis käsitleb töötlemist vastutava töötleja ja volitatud töötleja volituse alusel, tugineb määruse (EL) nr 2016/679 artiklil 29 ning selles sätestatakse keeld, mille kohaselt volitatud töötleja või vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

Artikkel 31 tugineb määruse (EL) 2016/679 artiklile 30 ning sellega kehtestatakse vastutavate töötlejate ja volitatud töötlejate kohustus säilitada dokumendid oma vastutusala raames toimuvate töötlemistoimingute kohta, mida kohaldatakse määruse (EÜ) nr 45/2001 artiklis 25 sätestatud Euroopa Andmekaitseinspektori ja andmekaitseametnike registri eelneva teavitamise nõude asemel. Erinevalt määrusest (EL) 2016/679 ei viidata kõnealuses artiklis esindajatele, kuna liidu institutsioonidel ei ole esindajaid ja neil on alati andmekaitseametnikud. Viited andmete edastamisele erandite alusel eriolukordades nagu määruses (EL) 2016/679 jäeti määrusest välja, kuna sellist liiki andmete edastamist käesoleva määrusega ette ei nähta. Kohustus isikuandmete töötlemise toiminguid registreerida võidakse liidu institutsiooni või asutuse tasandil tsentraliseerida. Sellisel juhul on liidu institutsioonidel ja asutustel võimalus hoida töötlemistoimingute andmeid üldsusele kättesaadavas registris.

Artiklis 32 selgitatakse määruse (EL) 2016/679 artiklile 31 tuginedes liidu institutsioonide ja asutuste kohustust teha Euroopa Andmekaitseinspektoriga koostööd.

2. jagu – Isikuandmete turvalisus ja elektroonilise side konfidentsiaalsus

Artikliga 33 kohustatakse kooskõlas määruse (EL) 2016/679 artikliga 32 ja määruse (EÜ) nr 45/2001 artiklit 22 edasi arendades vastutavat töötlejat rakendama asjakohaseid meetmeid töötlemise turvalisuse tagamiseks, laiendades nimetatud kohustuse volitatud töötlejale olenemata vastutava töötlejaga sõlmitud lepingust.

Artikkel 34 tugineb määruse (EÜ) nr 45/2001 artiklile 36 ning sellega tagatakse elektroonilise side konfidentsiaalsus liidu institutsioonides ja asutustes.

Artikkel 35 tugineb kooskõlas määrusega (EL) XXXX/XX [uus eraelu puutumatust ja elektroonilist sidet käsitlev määrus], eelkõige selle artikliga 8 liidu institutsioonide ja asutuste kehtivale tavale ning selle abil kaitstakse teavet, mis on seotud lõppkasutajate lõppseadmetega, kes kasutavad avalikult kättesaadavaid veebisaite ning liidu institutsioonide ja asutuste pakutavaid mobiilseid rakendusi.

Artikkel 36 tugineb määruse (EÜ) nr 45/2001 artiklile 38 ning sellega kaitstakse liidu institutsioonide ja asutuste avalikes või kinnistes kataloogides salvestatud isikuandmeid.

Artiklitega 37 ja 38 kehtestatakse kooskõlas määruse (EL) 2016/679 artiklitega 33 ja 34 kohustus teavitada isikuandmetega seotud rikkumisest.

3. jagu – Andmekaitsealane mõjuhinnang ja eelnev konsulteerimine

Artikkel 39 tugineb määruse (EL) 2016/679 artiklike 35 ning sellega kehtestatakse vastutava töötleja ja volitatud töötleja kohustus teostada andmekaitse mõjuhinnang enne selliseid töötlemistoiminguid, mille käigus tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht. Kõnealust kohustust kohaldatakse eelkõige füüsiliste isikutega seotud isiklike aspektide süstemaatilise ja ulatusliku hindamise puhul, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, töödeldes ulatuslikult eriliikidesse kuuluvaid andmeid või jälgides süstemaatiliselt suures ulatuses avalikke alasid.

Artikkel 40 tugineb määruse (EL) 2016/679 artiklile 36 ning käsitleb juhtumeid, kus Euroopa Andmekaitseinspektorilt loa saamine ja temaga konsulteerimine on enne töötlemist kohustuslik. Artikli 40 esimeses lõigus korratakse aga määruse (EL) 2016/679 põhjendust 94 ning selle eesmärk on selgitada konsulteerimiskohustuse ulatust.

4. jagu – Teave ja seadusandlik konsulteerimine

Artiklis 41 sätestatakse liidu institutsioonide ja asutuste kohustus teavitada Euroopa Andmekaitseinspektorit isikuandmete töötlemisega seotud haldusmeetmete ja sise-eeskirjade koostamisest.

Artiklis 42 sätestatakse komisjoni kohustus konsulteerida Euroopa Andmekaitseinspektoriga seadusandliku akti ettepanekute ja nõukogu soovituste või ettepanekute vastuvõtmise järel vastavalt Euroopa Liidu toimimise lepingu artiklile 218 ning koostades delegeeritud õigusakte ja rakendusakte, mis mõjutavad üksikisikute õiguste ja vabaduste kaitset seoses isikuandmete töötlemisega. Kui sellised õigusaktid on seoses isikuandmete töötlemisega üksikisikute õiguste ja vabaduste kaitse seisukohast eriti olulised, võib komisjon konsulteerida ka Euroopa Andmekaitsenõukoguga. Sellisel juhul peaksid mõlemad osapooled oma tegevust ühisarvamuse koostamise nimel koordineerima. Eespool nimetatud juhtumite puhul on kehtestatud kaheksanädalane tähtaeg, kiireloomuliste ja muude juhtumite puhul võib võimaluse korral teha erandeid, näiteks kui komisjon koostab delegeeritud õigusakte või rakendusakte.

5. jagu – Süüdistustele vastamise kohustus

Artiklis 43 kehtestatakse vastutavate töötlejate ja volitatud töötlejate kohustus vastata süüdistustele pärast seda, kui Euroopa Andmekaitseinspektor on otsustanud küsimuse neile edasi saata.

6. jagu – Andmekaitseametnik

Artikkel 44 tugineb määruse (EL) 2016/679 artikli 37 lõike 1 punktile a ja määruse (EÜ) nr 45/2001 artiklile 24, sätestades, et liidu institutsioonidel ja asutustel peab olema andmekaitseametnik.

Artikkel 45 tugineb määruse (EL) 2016/679 artiklile 38 ja määruse (EÜ) nr 45/2001 artiklile 24, millega luuakse andmekaitseametniku ametikoht.

Artikkel 46 tugineb määruse (EL) 2016/679 artiklile 39 ja määruse (EÜ) nr 45/2001 artiklile 24 ja määruse lisa teisele ja kolmandale lõigule, millega sätestatakse andmekaitseametniku peamised ülesanded.

V PEATÜKK – ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE VÕI RAHVUSVAHELISTELE ORGANISATSIOONIDELE

Artikkel 47 tugineb määruse (EÜ) nr 45/2001 artiklile 9 ning selles kirjeldatakse kooskõlas määruse (EL) 2016/679 artikliga 44 üldpõhimõtet, et käesoleva määruse sätete ning V peatükis sätestatud tingimuste järgimine on kohustuslik kolmandatele riikidele või rahvusvahelistele organisatsioonidele mis tahes isikuandmete edastamisel, sealhulgas juhul, kui kolmas riik või rahvusvaheline organisatsioon saadab isikuandmed edasi mõnele teisele kolmandale riigile või rahvusvahelisele organisatsioonile.

Artikliga 48 sätestatakse, et isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on tulenevalt määruse (EL) 2016/679 artikli 45 lõikest 3 teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab kaitse piisava taseme, ning isikuandmeid edastatakse üksnes vastutava töötleja pädevusse kuuluvate ülesannete täitmiseks. Kõnealuse artikli lõiked 2 ja 3 võeti üle määruse (EÜ) nr 45/2001 artiklist 9, kuna need on kasulikud kolmandate riikide ja rahvusvaheliste organisatsioonide kaitsetaseme jälgimiseks.

Artikkel 49 tugineb määruse (EL) 2016/679 artiklile 46 ning sellega nõutakse andmete edastamiste korral sellistesse kolmandatesse riikidesse, mille puhul komisjon ei ole piisava kaitse otsust teinud, asjakohaste kaitsemeetmete, eelkõige isikuandmete kaitse standardklauslite ja lepingutingimuste esitamist. Kooskõlas määrusega (EL) 2016/679 võivad volitatud töötlejad, kes ei ole liidu institutsioonid ega asutused, kasutada siduvaid kontsernisiseseid eeskirju, toimimisjuhendeid või sertifitseerimismehhanisme. Selle artikli neljas lõige, mis käsitleb liidu institutsioonide ja asutuste kohustust teavitada Euroopa Andmekaitseinspektorit juhtumite liikidest, mille puhul nad on kõnealust artiklit kohaldatud, vastab määruse (EÜ) nr 45/2001 artikli 9 lõikele 8 ning jäetakse oma spetsiifilisuse tõttu kehtima. Viies lõige tugineb määruse (EL) 2016/679 artikli 46 lõikele 5, mille kohaselt kehtivad load jäävad ajutiselt kehtima.

Artiklis 50 selgitatakse kooskõlas määruse (EL) 2016/679 artikliga 48, et kolmanda riigi kohtu või haldusasutuse otsust, millega nõutakse isikuandmete edastamist või avaldamist, võib tunnustada ja selle mis tahes viisil täitmisele pöörata üksnes siis, kui kõnealune otsus põhineb nõude esitanud kolmanda riigi ja liidu vahel kehtival rahvusvahelisel lepingul, näiteks vastastikuse õigusabi lepingul, ilma et see piiraks muid käesoleva peatüki kohaseid edastamise aluseid.

Artikkel 51 tugineb määruse (EL) 2016/679 artiklile 49 ning selles kirjeldatakse ja selgitatakse andmeedastuse erandeid. Seda kohaldatakse eelkõige nende andmeedastuste suhtes, mida nõutakse ja mis on vajalikud kaalukate avalike huvide kaitseks, näiteks konkurentsi-, maksu- või tolliameteid või sotsiaalkindlustuse või kalavarude majandamise valdkonnas tegutsevaid asutusi hõlmava rahvusvahelise andmeedastuse korral. Viies lõige, mis käsitleb kohustust teavitada Euroopa Andmekaitseinspektorit juhtumite liikidest, mille puhul on andmete edastamise korral kohaldatud erandeid, vastab määruse (EÜ) nr 45/2001 artikli 9 lõikele 8.

Artikkel 52 tugineb määruse (EL) 2016/679 artiklile 50 ning selles sätestatakse sõnaselgelt rahvusvahelise koostöö mehhanismid isikuandmete kaitseks Euroopa Andmekaitseinspektori, komisjoni ja Euroopa Andmekaitsenõukogu ning kolmandate riikide järelevalveasutuste vahel.

VI PEATÜKK - EUROOPA ANDMEKAITSEINSPEKTOR

Artikkel 53 tugineb määruse (EÜ) nr 45/2001 artiklile 41 ja see käsitleb andmekaitseametniku ametikoha loomist.

Artikkel 54 tugineb määruse (EÜ) nr 45/2001 artiklile 42 ja otsuse 1247/2002/EÜ artiklile 3 ning sellega kehtestatakse Euroopa Parlamendi ja nõukogu poolt Euroopa Andmekaitseinspektori ametisse nimetamise menetlus. Artiklis täpsustatakse ka, et Euroopa andmekaitseinspektori ametiaeg on viis aastat.

Artikkel 55 tugineb määruse (EÜ) nr 45/2001 artiklile 43 ja otsuse 1247/2002/EÜ artiklile 1 ning sellega sätestatakse Euroopa Andmekaitseinspektori ja tema alluvate kohustuste täitmist reguleeriv kord ja üldtingimused ning rahalised vahendid.

Artikkel 56 tugineb määruse (EL) 2016/679 artiklile 52 ja määruse (EÜ) nr 45/2001 artiklile 44 ning selles selgitatakse Euroopa andmekaitseinspektori sõltumatuse tingimusi, võttes arvesse Euroopa Liidu Kohtu kohtupraktikat.

Artikliga 57 kehtestatakse määruse (EÜ) nr 45/2001 artikli 45 alusel Euroopa Andmekaitseinspektori kohustused ametiajal ning pärast ametist lahkumist seoses konfidentsiaalse teabega, mis neile ametikohustuste täitmisel on teatavaks saanud.

Artikkel 58 tugineb määruse (EL) 2016/679 artiklile 57 ja määruse (EÜ) nr 45/2001 artiklile 46 ning sellega määratakse kindlaks Euroopa Andmekaitseinspektori ülesanded, sealhulgas kaebuste ärakuulamine ja uurimine ning avalikkuse teadlikkuse suurendamine ohtude, õigusnormide, kaitsemeetmete ja õiguste kohta.

Artikkel 59 tugineb määruse (EL) 2016/679 artiklile 58 ja määruse (EÜ) nr 45/2001 artiklile 47 ning selles sätestatakse Euroopa Andmekaitseinspektori volitused.

Artikkel 60 tugineb määruse (EL) 2016/679 artiklile 59 ja määruse (EÜ) nr 45/2001 artiklile 48 ning selles sätestatakse Euroopa Andmekaitseinspektori kohustus koostada igal aastal tegevusaruanne.

VII PEATÜKK – KOOSTÖÖ JA KOOSKÕLA

Artikkel 61 tugineb määruse (EL) 2016/679 artiklile 61 ja määruse (EÜ) nr 45/2001 artikli 46 punktile f ning sellega kehtestatakse selged reeglid Euroopa Andmekaitseinspektori koostööle riiklike järelevalveasutustega.

Artiklis 62 sätestatakse Euroopa Andmekaitseinspektori kohustused juhtudel, kui liidu teistes õigusaktides viidatakse sellele artiklile riiklike järelevalveasutustega teostatava koordineeritud järelevale raames. Artikli eesmärk on rakendada koordineeritud järelevalve ühtset mudelit. Seda mudelit võib kasutada selliste suurte IT-süsteemide koordineeritud järelevalveks nagu Eurodac, teise põlvkonna Schengeni infosüsteem, viisainfosüsteem, tolliinfosüsteem või siseturu infosüsteem, kuid ka mõnede liidu asutuste tegevuse järelevalveks, mille jaoks on loodud Euroopa Andmekaitseinspektori ja riiklike järelevalveasutuste vaheline spetsiaalne koostöömudel, nt Europol. Euroopa Andmekaitsenõukogu peaks olema ainsaks platvormiks, millega tagatakse üldine tõhus koordineeritud järelevalve.

VIII PEATÜKK – ÕIGUSKAITSEVAHENDID, VASTUTUS JA KARISTUSED

Artikkel 63 tugineb määruse (EL) 2016/679 artiklile 77 ja määruse (EÜ) nr 45/2001 artiklile 32 ning selles sätestatakse andmesubjekti õigus esitada Euroopa Andmekaitseinspektorile kaebus. Artiklis sätestatakse ka Euroopa Andmekaitseinspektori kohustus käsitleda andmesubjekti kaebust ja teavitada teda kaebuse menetlemise käigust ja tulemustest kolme kuu jooksul, pärast mida loetakse kaebus tagasi lükatuks.

Artikliga 64 jäetakse kehtima määruse (EÜ) nr 45/2001 artikli 32 lõige 1, millega sätestatakse Euroopa Liidu Kohtu pädevus lahendada kõiki käesoleva määruse sätetega seotud vaidlusi, sealhulgas kahjunõudeid.

Artikliga 65 sätestatakse õigus saada materiaalse või mittemateriaalse kahju tekitamise eest hüvitist, võttes arvesse aluslepingutes sätestatud, sealhulgas vastutust käsitlevad tingimused.

Artikkel 66 tugineb määruse (EL) 2016/679 artiklile 83 ning selles sätestatakse Euroopa Andmekaitseinspektori volitused määrata liidu institutsioonidele ja asutustele viimase abinõuna trahve ning ainult juhul, kui liidu institutsioon või asutus ei suuda täita artikli 59 lõike 2 punktides a-h ja punktis j osutatud Euroopa Andmekaitseinspektori korraldust. Artiklis täpsustatakse ka kriteeriume, mille alusel otsustatakse igal konkreetsel juhul trahvi määramine ja selle suurus, aastaste maksimaalsete ülemmäärade aluseks on aga mõnedes liikmesriikides kohaldatavad trahvisummad.

Artikkel 67 võimaldab määruse (EL) 2016/679 artikli 80 lõike 1 alusel teatavatel asutustel, organisatsioonidel või ühendustel esitada kaebust andmesubjekti nimel.

Artiklis 68 sätestatakse kooskõlas määruse (EÜ) nr 45/2001 artikliga 33 erinormid, mille eesmärk on kaitsta liidu töötajaid, kes esitavad Euroopa Andmekaitseinspektorile väljaspool ametlikke kanaleid kaebuse käesoleva määruse sätete väidetava rikkumise kohta.

Artikkel 69 tugineb määruse (EÜ) nr 45/2001 artiklile 49 ja selles sätestatakse sanktsioonid, mida kohaldatakse käesoleva määrusega ettenähtud kohustuste Euroopa Liidu ametniku või teenistuja poolt täitmatajätmise korral.

IX PEATÜKK - RAKENDUSAKTID

Artikkel 70 sisaldab sätet komiteemenetluse kasutamise kohta rakendusvolituste delegeerimisel komisjonile juhtudel, kui kooskõlas Euroopa Liidu toimimise lepingu artikliga 291 on liidu õiguslikult siduvate aktide rakendamiseks vaja ühetaolisi tingimusi. Kohaldatakse kontrollimenetlust.

X PEATÜKK – LÕPPSÄTTED

Artikliga 71 tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ ning selles sätestatakse, et viiteid kahele kehtetuks tunnistatud õigusaktile tuleb käsitada viitena käesolevale määrusele.

Artiklis 72 selgitatakse, et käesolev määrus ei mõjuta Euroopa Andmekaitseinspektori ja inspektori asetäitja praegust ametiaega ning et määruse artikli 54 lõikeid 4, 5 ja 7 ning artikleid 56 ja 57 kohaldatakse praeguse inspektori asetäitja suhtes kuni tema ametiaja lõpuni, st 5. detsembrini 2019.

Artikliga 73 kehtestatakse käesoleva määruse jõustumiskuupäevaks 25. mai 2018, et tagada järjepidevus määruse (EL) 2016/679 kohaldamiskuupäevaga.

2017/0002 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS

üksikisikute kaitse kohta isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust 10 ,

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

1)Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu (edaspidi „ELi toimimise leping“) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

2)Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 45/2001 11 on sätestatud füüsilistele isikutele samaväärsed kohtulikult kaitstavad õigused, määratud kindlaks liidu institutsioonide ja asutuste vastutavate töötlejate kohustused andmete töötlemisel ning sellega on loodud sõltumatu järelevalveasutus, Euroopa Andmekaitseinspektor, mis vastutab isikuandmete liidu institutsioonide ja asutuste poolse töötlemise jälgimise eest. Seda ei kohaldata aga isikuandmete töötlemise suhtes, mis toimub liidu institutsioonide ja asutuste tegevuse käigus, mis jääb väljapoole liidu õiguse kohaldamisala.

3)Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 12 ning Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 13 võeti vastu 27. aprillil 2016. Kui määruses on sätestatud üldnormid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus, siis direktiivis on sätestatud erinormid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

4)Määruses (EL) 2016/679 on rõhutatud vajadust teha määrusesse (EÜ) nr 45/2001 vajalikud muudatused, et luua liidus tugev ja ühtne andmekaitseraamistik ning võimaldada samaaegset kohaldamist määrusega (EL) 2016/679.

5)Kogu liitu hõlmava isikuandmete kaitset käsitleva sidusa lähenemisviisi ja liidus isikuandmete vaba liikumise huvides on ühtlustada võimalikult suures ulatuses liidu institutsioonide ja asutuste andmekaitsenorme liikmesriikides avaliku sektori jaoks vastu võetud andmekaitsenormidega. Kui käesoleva määruse sätted tuginevad samale mõistele kui määruse (EL) 2016/679 sätted, tuleks mõlemaid sätteid tõlgendada ühetaoliselt, eelkõige kuna käesoleva määruse ülesehitust tuleks mõista võrdväärsena määruse (EL) nr 2016/679 ülesehitusega.

6)Kaitsta tuleks isikuid, kelle isikuandmeid töödeldakse mistahes põhjustel liidu institutsioonides ja asutustes, näiteks seetõttu, et nad nendes institutsioonides või asutustes töötavad. Käesolevat määrust ei tuleks kohaldada surnud isikuid puudutavate isikuandmete suhtes. Käesolevat määrust ei kohaldata selliste andmete töötlemise suhtes, mis puudutavad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmete suhtes.

7)Selleks et vältida normide täitmisest kõrvalehoidumise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole teatavate kriteeriumide kohaselt korrastatud, ega nende esilehed.

8)Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus ELi toimimise lepingu artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades. Seetõttu tuleks käesolevat määrust kohaldada kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas tegutsevate liidu asutuste suhtes üksnes sellises ulatuses, mille puhul selliste asutuste suhtes kohaldatav liidu õigus ei sisalda isikuandmete töötlemist käsitlevaid erinorme.

9)Direktiivis (EL) 2016/680 on sätestatud ühtsed normid süütegude tõkestamise, uurimise, avastamise või isikute nende eest vastutusele võtmise, kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta. Selleks et tagada kogu liidus ühesugune füüsiliste isikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas tegutsevate liidu asutuste ja liikmesriikide pädevate asutuste vahel, peaksid selliste liidu asutuste töödeldud operatiivsete isikuandmete kaitset ja vaba liikumist käsitlevad normid järgima käesoleva määruse põhimõtteid ning olema kooskõlas direktiiviga (EL) 2016/680.

10)Juhul kui aluslepingu V jaotise 4. ja 5. peatüki kohaldamisalasse jäävaid tegevusi teostava liidu asutuse asutamismääruses on sätestatud operatiivsete isikuandmete töötlemiseks eraldiseisev andmekaitsekord, ei peaks käesolev määrus seda korda mõjutama. Komisjon peaks siiski kooskõlas direktiivi (EL) 2016/680 artikliga 62 vaatama 6. maiks 2019 läbi liidu õigusaktid, mis reguleerivad pädevate asutuste poolt andmete töötlemist süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil, ning vajaduse korral tegema vajalikud ettepanekud nende muutmiseks, et tagada järjepidev lähenemine isikuandmete kaitsele kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas.

11)Andmekaitse põhimõtteid tuleks kohaldada igasuguse tuvastatud või tuvastatavat füüsilist isikut käsitleva teabe suhtes. Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogia arengut. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, mis on teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

12)Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud välistama muid andmekaitsemeetmeid.

13)Füüsilisi isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega, näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.

14)Nõusolek tuleks anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võiks hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadmete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik ning mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.

15)Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Kõnealune põhimõte puudutab eelkõige andmesubjektide teavitamist vastutava töötleja identiteedist ning töötlemise eesmärgist ja täiendavast teabest, et tagada asjaomaste füüsiliste isikute suhtes õiglane ja läbipaistev töötlemine ning nende õigus saada neid puudutavate isikuandmete töötlemise kohta kinnitust ja sõnumeid. Füüsilisi isikuid tuleks teavitada isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad sellise andmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal. Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. See eeldab eelkõige, et tagatakse andmete säilitamise aja piirdumine rangelt minimaalsega. Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et isikuandmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks. Selle tagamiseks, et ebaõiged isikuandmed parandatakse või kustutatakse, tuleks võtta kõik mõistlikud meetmed. Isikuandmeid tuleks töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamise tõkestamise.

16)Kui liidu institutsioonid ja asutused edastavad isikuandmeid kooskõlas vastutuse põhimõttega institutsiooni või asutuse siseselt või teistele liidu institutsioonidele või asutustele, peaksid nad kontrollima, kas sellised isikuandmed on vajalikud vastuvõtja pädevusse kuuluvate ülesannete õiguspäraseks täitmiseks, juhul kui vastuvõtja ei kuulu vastutava töötleja alluvusse. Vastutav töötleja peaks pärast vastuvõtja taotlust isikuandmete edastamiseks kontrollima eelkõige seda, kas isikuandmete töötlemiseks on olemas seaduslik alus, ja vastuvõtja pädevust ning esitama andmete edastamise vajalikkuse kohta esialgse hinnangu. Kui vajalikkuse osas tekib kahtlusi, peaks vastutav töötleja taotlema vastuvõtjalt täiendavat teavet. Vastuvõtja peaks tagama, et andmete edastamise vajalikkust on võimalik hiljem kontrollida.

17)Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda liidu institutsioonides ja asutustes üldistes huvides või avaliku võimu teostamisel täidetavate ülesannete vajalikkuse alusel, käesolevas määruses osutatud muu õigusakti või selliste juriidiliste kohustuste järgimise vajaduse alusel, mida vastutav töötleja peab täitma, sealhulgas asjaomase andmesubjekti nõusolek, või kui tuleb täita lepingut, mille osaline andmesubjekt on, või selleks, et võtta andmesubjekti taotlusel enne lepingu sõlmimist meetmeid. Isikuandmete töötlemine liidu institutsioonides ja asutustes seoses üldistes huvides täidetavate ülesannetega hõlmab nende institutsioonide ja asutuste juhtimiseks ja toimimiseks vajalikku isikuandmete töötlemist. Isikuandmete töötlemist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks. Muu füüsilise isiku eluliste huvide alusel saaks isikuandmeid põhimõtteliselt töödelda üksnes siis, kui töötlemist ei saa ilmselgelt teostada muul õiguslikul alusel. Mõnda liiki isikuandmetöötlus võib teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.

18)Käesolevas määruses osutatud liidu õigus ning sise-eeskirjad peaksid siiski olema selged ja täpsed ning nende kohaldamine peaks olema eeldatav isikute jaoks, kelle suhtes neid kohaldatakse vastavalt Euroopa Liidu Kohtu ja Euroopa Inimõiguste Kohtu praktikale.

19)Isikuandmete töötlemine muul eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti. Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist. Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks. Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena. Liidu õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks. Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

20)Kui andmeid töödeldakse andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõestada, et andmesubjekt on andnud isikuandmete töötlemise toiminguks oma nõusoleku. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõlas nõukogu direktiiviga 93/13/EMÜ 14 peaks vastutava töötleja poolt ette valmistatud nõusolekuavaldus olema arusaadav ja lihtsasti kättesaadav, selles tuleks kasutada selget ja lihtsat keelt ning selles ei tohiks olla ebaõiglaseid tingimusi. Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Nõusolekut ei tohiks lugeda vabatahtlikult antuks, kui andmesubjektil pole tõelist või vaba valikuvõimalust või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta.

21)Laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega. Niisugune eriline kaitse peaks eelkõige rakenduma isiku profiilide loomisel ja laste isikuandmete kogumisel liidu institutsioonide ja asutuste veebisaitidel otse lastele pakutavate teenuste kasutamise puhul, nagu näiteks isikutevahelise side teenused või piletite internetimüük, ning kui isikuandmete töötlemine toimub nõusoleku alusel.

22)Kui liidus asutatud vastuvõtjad, kelle suhtes kohaldatakse määrust (EL) 2016/679 või direktiivi (EL) 2016/680, soovivad, et liidu institutsioonid või asutused edastaksid neile isikuandmeid, peaksid need vastuvõtjad tõendama, et edastamine on vajalik nende eesmärkide saavutamiseks, on proportsionaalne ning ei lähe kaugemale, kui on kõnealuse eesmärgi saavutamiseks vajalik. Liidu institutsioonid ja asutused peaksid vastavalt läbipaistvuse põhimõttele sellist vajadust tõendama juhul, kui nad andmete edastamist ise algatavad.

23)Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud üksnes biomeetriliste andmete määratlusega, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida. Lisaks tundlike andmete töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid norme, eelkõige seoses seadusliku töötlemise tingimustega. Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

24)Isikuandmete eriliike võib olla vaja töödelda avalikes huvides rahvatervisega seotud valdkondades ilma andmesubjekti nõusolekuta. Sellisel töötlemisel tuleks kohaldada sobivaid ja konkreetseid meetmeid, et kaitsta füüsiliste isikute õigusi ja vabadusi. Selles kontekstis tuleks mõistet „rahvatervis“ tõlgendada vastavalt Euroopa Parlamendi ja nõukogu määrusele (EÜ) nr 1338/2008 15 , mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, nimelt tervislik seisund, sealhulgas haigestumus ja puuded, tervislikku seisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud.

25)Juhul kui vastutav töötleja töötleb selliseid isikuandmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima andmesubjekti tuvastamiseks täiendavat teavet ainult käesoleva määruse sätete järgimiseks. Vastutav töötleja ei tohiks aga keelduda sellise täiendava teabe vastuvõtmisest, mida andmesubjekt esitab oma õiguste kasutamise toetamiseks. Tuvastamine peaks hõlmama andmesubjekti digitaalset tuvastamist, näiteks sellise autentimise mehhanismi abil nagu samad volitused, mida andmesubjekt kasutab vastutava töötleja pakutavasse sidusteenusesse sisselogimiseks.

26)Avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes tuleks kohaldada kooskõlas käesoleva määrusega asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks. Nende kaitsemeetmetega tuleks tagada tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil peab toimuma siis, kui vastutav töötleja on hinnanud nende eesmärkide täitmise teostatavust, töödeldes isikuandmeid, mis ei võimalda või enam ei võimalda andmesubjekte tuvastada, tingimusel et olemas on asjakohased kaitsemeetmed (näiteks isikuandmete pseudonümiseerimine). Liidu institutsioonid ja asutused peaksid kehtestama liidu õiguses asjakohased kaitsemeetmed, mis võivad sisaldada sise-eeskirju, isikuandmete töötlemisele, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.

27)Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid. Vastutav töötleja peaks samuti kättesaadavaks tegema vahendid, millega taotluse saab esitada elektrooniliselt, eriti kui isikuandmeid töödeldakse elektrooniliste vahenditega. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul ning kui vastutav töötleja ei kavatse andmesubjekti taotlust rahuldada, siis seda põhjendama.

28)Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. Lisaks tuleks andmesubjekti teavitada profiilianalüüsi olemasolust ja sellise analüüsi tagajärgedest. Kui isikuandmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud isikuandmeid esitama, ja selliste andmete esitamata jätmise tagajärgedest. Sellise teabe võib esitada koos standardsete ikoonidega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, peaksid need olema masinloetavad.

29)Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle juhtumi asjaoludest olenevalt kas andmesubjektilt andmete kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid hangitakse muust allikast. Kui isikuandmeid võib õiguspäraselt avaldada muule vastuvõtjale, tuleks andmesubjekti sellest teavitada andmete esmakordsel avaldamisel. Kui vastutav töötleja kavatseb isikuandmeid töödelda muul eesmärgil kui see, milleks neid koguti, peaks vastutav töötleja esitama andmesubjektile enne andmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu vajaliku teabe. Kui andmesubjektile ei saa esitada isikuandmete päritolu, sest kasutatud on mitut allikat, tuleks esitada üldteave.

30)Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised. Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teavet. See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. Kui vastutav töötleja töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et andmesubjekt täpsustaks enne andmete esitamist, millise teabe või milliste isikuandmete töötlemise toimingutega taotlus seotud on.

31)Andmesubjektil peaks olema õigus nõuda teda käsitlevate isikuandmete parandamist ja „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu õigust. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele siis, kui isikuandmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on töötlemisele antud nõusoleku tagasi võtnud või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmesubjektil peaks olema võimalik seda õigust kasutada, vaatamata sellele, et ta ei ole enam laps. Isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks, juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, rahvatervise valdkonna avalikes huvides, avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

32)Selleks et tugevdada võrgukeskkonnas õigust olla unustatud, tuleks laiendada õigust andmete kustutamisele, kohustades isikuandmed avaldanud vastutavat töötlejat teavitama selliseid isikuandmeid töötlevaid vastutavaid töötlejaid asjaolust, et kõnealustele isikuandmetele osutavad lingid või nende andmete koopiad või kordused tuleb kustutada. Seda tehes peaks vastutav töötleja võtma mõistlikke meetmeid, võttes arvesse vastutavale töötlejale kättesaadavat tehnoloogiat ja vahendeid, sealhulgas tehnilisi meetmeid, et teavitada isikuandmeid töötlevaid vastutavaid töötlejaid andmesubjekti taotlusest.

33)Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud isikuandmete ajutist ümberpaigutamist teise töötlemissüsteemi, valitud isikuandmete muutmist kasutajatele kättesaamatuks või avaldatud andmete ajutist kõrvaldamist veebisaidilt. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega selliselt, et isikuandmeid enam edasi ei töödelda ja neid ei saa enam muuta. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis selgelt määratleda.

34)Selleks et veelgi tugevdada kontrolli oma andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada neid teisele vastutavale töötlejale. Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. See õigus peaks olema kasutatav juhul, kui andmesubjekt esitas isikuandmed omaenda nõusoleku alusel või kui töötlemine on vajalik lepingu täitmiseks. Seda ei tuleks seega kohaldada eelkõige siis, kui isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu kasutamiseks. Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme. Kui teatud isikuandmed puudutavad enam kui üht andmesubjekti, ei tohiks isikuandmete saamise õigus piirata teiste andmesubjektide käesoleva määruse kohaseid õigusi ja vabadusi. Lisaks ei tohiks see õigus piirata andmesubjekti käesoleva määruse kohast õigust nõuda oma isikuandmete kustutamist ja selle õiguse piiranguid ning ei tohiks eelkõige tähendada andmesubjekti poolt lepingu täitmiseks esitatud teda käsitlevate isikuandmete kustutamist sel määral ja nii kaua, kui isikuandmed on vajalikud selle lepingu täitmiseks. Kui see on tehniliselt teostatav, peaks andmesubjektil olema õigus sellele, et isikuandmed edastatakse otse ühelt vastutavalt töötlejalt teisele.

35)Kui isikuandmeid võidakse seaduslikult töödelda sellepärast, et töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, peaks andmesubjektil olema ikkagi õigus tema konkreetse olukorraga seotud isikuandmete töötlemine vaidlustada. Vastutav töötleja peaks tõendama, et tema mõjuvad õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

36)Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes andmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat ja meedet sisaldada võivat otsust, millel on teda puudutavad õiguslikud tagajärjed või mis avaldab talle samamoodi märkimisväärset mõju, nagu veebipõhine tööle värbamine ilma inimsekkumiseta. Selline töötlemine hõlmab igasuguses isikuandmete automatiseeritud töötlemises seisnevat profiilianalüüsi, mille käigus hinnatakse füüsilise isikuga seotud isiklikke aspekte, mille eesmärk on eelkõige selliste aspektide analüüsimine ja prognoosimine, mis on seotud töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega, kui see toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle samamoodi märkimisväärset mõju. Sellisel töötlemisel, sealhulgas profiilianalüüsil põhinev otsuste tegemine peaks aga olema lubatud siis, kui see on sõnaselgelt lubatud vastutava töötleja suhtes kohaldatava liidu õigusega Igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid, mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ning õigust seda otsust vaidlustada. Selline meede ei tohiks puudutada last. Selleks et tagada andmesubjekti suhtes õiglane ja läbipaistev töötlemine, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti, peaks vastutav töötleja kasutama profiilianalüüsiks asjakohaseid matemaatilisi või statistilisi menetlusi, rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada eelkõige ebaõigeid isikuandmeid põhjustavate tegurite korrigeerimine ja vigade tegemise ohu minimeerimine, ning tagama isikuandmete turvalisuse selliselt, et võetakse arvesse potentsiaalset ohtu andmesubjekti huvidele ja õigustele ning ennetatakse muu hulgas diskrimineerivat mõju füüsilistele isikutele rassi või etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, geneetilise või tervisliku seisundi või seksuaalse sättumuse alusel või mille tulemuseks on sellise mõjuga meetmed. Automatiseeritud otsuste tegemine ja profiilianalüüs konkreetsete isikuandmete liikide põhjal peaks olema lubatud ainult eritingimustel.

37)Aluslepingute alusel vastu võetud õigusaktidega või liidu institutsioonide ja asutuste sise-eeskirjadega võidakse kehtestada piirangud, mis puudutavad konkreetseid põhimõtteid ja õigust saada teavet, andmetega tutvuda, nõuda nende parandamist ja kustutamist või õigust andmeid ühest süsteemist teise üle kanda, elektroonilise side konfidentsiaalsust, samuti andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning vastutavate töötlejate teatavaid seonduvaid kohustusi, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne selleks, et tagada avalik julgeolek, süütegude tõkestamine, uurimine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine või nende ennetamine, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetustele reageerimisel, liidu institutsioonide ja asutuste sisejulgeolek, liidu või liikmesriigi muu üldise avaliku huvi, eelkõige liidu või liikmesriigi olulise majandus- või finantshuvi oluline eesmärk, üldisest avalikust huvist lähtuvate avalike registrite pidamine või andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse, sealhulgas sotsiaalkaitse, rahvatervis ja humanitaareesmärgid.

Kui sellist piirangut ei ole aluslepingute alusel vastu võetud õigusaktidega või liidu institutsioonide ja asutuste sise-eeskirjadega ette nähtud, võivad liidu institutsioonid ja asutused kehtestada erandjuhtudel ajutise piirangu, mis käsitleb andmesubjekti konkreetseid põhimõtteid ja õigust, kui selline piirang austab seoses konkreetse andmetöötlustoiminguga põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada ühe või enama lõikes 1 osutatud eesmärgi saavutamine. Piirangust tuleks teavitada andmekaitseametnikku. Kõik piirangud peaksid vastama hartas ning Euroopa inimõiguste ja põhivabaduste kaitse konventsioonis sätestatud nõuetele.

38)Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele. Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel või prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid; kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte. Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas andmetöötlustoimingutega kaasneb oht või suur oht.

39)Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete täitmine. Selleks et olla võimeline tõendama käesoleva määruse täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis vastavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest, isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest, vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid. Riigihangete kontekstis tuleks samuti võtta arvesse lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid.

40)Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutuse tagamiseks tuleb käesoleva määrusega selgelt kindlaks määrata vastutuse jaotus, sealhulgas juhtudel, kui isikuandmete töötlemise eesmärgid ja vahendid määrab kindlaks vastutav töötleja koos teiste vastutavate töötlejatega ning kui töötlemistoimingut teostatakse vastutava töötleja nimel.

41)Kui vastutava töötleja nimel töötleb andmeid volitatud töötleja, peaks vastutav töötleja kasutama käesoleva määruse nõuete täitmise tagamiseks isikuandmete töötlemise toimingute usaldamisel volitatud töötlejale ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele. Seda, et volitatud töötleja, kes ei ole liidu institutsioon või asutus, järgib heakskiidetud toimimisjuhendit või heakskiidetud sertifitseerimismehhanismi, võib kasutada elemendina, mis tõendab vastutava töötleja kohustuste täitmist. Volitatud töötleja peaks andmeid töötlema volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärgid, isikuandmete liik ja andmesubjektide kategooriad ning peaks arvesse võtma volitatud töötleja konkreetseid ülesandeid ja kohustusi seoses teostatava töötlemisega ning ohtu andmesubjekti õigustele ja vabadustele. Vastutaval töötlejal ja volitatud töötlejal peaks olema võimalus valida, kas kasutada individuaalset lepingut või lepingu tüüptingimusi, mille on vastu võtnud kas otseselt komisjon või Euroopa Andmekaitseinspektor ja seejärel komisjon. Pärast vastutava töötleja nimel töötlemise lõpetamist peaks volitatud töötleja isikuandmed vastutava töötleja valikul kas tagastama või kustutama, välja arvatud juhul, kui volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õiguse kohaselt tuleb isikuandmeid säilitada.

42)Käesoleva määruse täitmise tõendamiseks peaksid vastutavad töötlejad säilitama andmeid nende vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta ning volitatud töötlejad peaksid säilitama andmeid nende vastutusalasse kuuluvate töötlemise toimingute kategooriate kohta. Liidu institutsioonid ja asutused peaksid olema kohustatud tegema Euroopa Andmekaitseinspektoriga koostööd ja tegema nende kasutuses olevad salvestatud andmed taotluse korral Euroopa Andmekaitseinspektorile kättesaadavaks, et neid saaks kasutada nimetatud isikuandmete töötlemise toimingute kontrollimiseks. Liidu institutsioonidel ja asutustel peaks olema võimalus luua oma töötlemistoimingute andmete keskregister. Läbipaistvuse huvides peaks kõnealune register olema üldsusele kättesaadav.

43)Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

44)Liidu institutsioonid ja asutused peaksid vastavalt harta artiklis 7 sätestatule tagama elektroonilise side konfidentsiaalsuse. Liidu institutsioonid ja asutused peaksid eelkõige tagama oma elektroonilise side võrgustike turvalisuse, kaitsma teavet, mis on seotud selliste lõppkasutajate lõppseadmetega, kes kasutavad avalikult kättesaadavaid veebisaite ning liidu institutsioonide ja asutuste pakutavaid mobiilseid rakendusi kooskõlas määrusega (EL) XXXX/XX [uus eraelu puutumatust ja elektroonilist sidet käsitlev määrus] ning kaitsma kasutajakataloogides olevaid isikuandmeid.

45) Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilist, materiaalset või mittemateriaalset kahju. Seetõttu, niipea kui vastutav töötleja saab teada, et on toimunud isikuandmetega seotud rikkumine, peaks vastutav töötleja teatama sellest isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorit põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui vastutav töötleja suudab kooskõlas vastutuse põhimõttega tõendada, et selle rikkumise tulemusena ei teki tõenäoliselt ohtu füüsilise isiku õigustele ja vabadustele. Kui 72 tunni jooksul teatamine ei ole võimalik, tuleks teatele lisada hilinemise põhjused ja teavet võib esitada järk-järgult ilma täiendava põhjendamatu viivituseta. Kui hilinemine on põhjendatud, tuleks rikkumist käsitlev vähem tundlik või vähem detailsem teave avalikustada võimalikult kiiresti, mitte oodata teavitamisega kuni intsidendi põhjuse tuvastamiseni.

46)Vastutav töötleja peaks ilma põhjendamatu viivituseta teavitama andmesubjekti isikuandmetega seotud rikkumisest, kui rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et võimaldada andmesubjektil võtta vajalikke ettevaatusabinõusid. Teates tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teade tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös Euroopa Andmekaitseinspektoriga, pidades kinni tema või muude asjakohaste asutuste nagu näiteks õiguskaitseasutuste suunistest.

47)Määruses (EÜ) nr 45/2001 on sätestatud vastutava töötleja üldine kohustus teavitada isikuandmete töötlemisest andmekaitseametnikku, kes oma korda peaks teatatud töötlemistoimingute kohta registrit. Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid ei ole alati aidanud parandada isikuandmete kaitset. Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile isikuandmete töötlemise toimingute liikidele, mis kujutavad oma laadi, ulatuse, konteksti ja eesmärkide poolest tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele. Sellised isikuandmete töötlemise toimingute liigid võivad olla need, mis hõlmavad eelkõige uue tehnoloogia kasutamist või on uut tüüpi ning mille puhul vastutav töötleja ei ole varem andmekaitsealast mõjuhinnangut teostanud või kus toimingud muutuvad vajalikuks seoses esmasest töötlemisest möödunud ajaga. Sellistel juhtudel peaks vastutav töötleja suure ohu konkreetse tõenäosuse ja tõsiduse hindamiseks, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke ning ohu tõsidust, koostama enne töötlemist andmekaitsealase mõjuhinnangu. Nimetatud mõjuhinnang peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme selle ohu leevendamiseks ja isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

48)Kui andmekaitsealane mõjuhinnang näitab, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole võimalik kättesaadava tehnoloogia ja rakendamiskulude seisukohast mõistlike meetmetega leevendada, tuleks enne isikuandmete töötlemise toimingute alustamist konsulteerida Euroopa Andmekaitseinspektoriga. Selline suur oht tekib tõenäoliselt isikuandmete teatud liiki töötluse ning töötlemisulatuse ja -sageduse tulemusena, mille tagajärjel võib tekkida ka kahju füüsilise isiku õigustele ja vabadustele või sekkumine nendesse. Euroopa Andmekaitseinspektor peaks vastama konsulteerimistaotlusele konkreetse ajavahemiku jooksul. Euroopa Andmekaitseinspektori reaktsiooni puudumine selle ajavahemiku jooksul ei tohiks aga mõjutada Euroopa Andmekaitseinspektori sekkumist kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega, sealhulgas õigust keelata isikuandmete töötlemise toiminguid. Kõnealuse konsulteerimisprotsessi osana peaks olema võimalik esitada asjaomase töötlemise suhtes tehtud andmekaitsealase mõjuhinnangu tulemused Euroopa Andmekaitseinspektorile, eelkõige seoses meetmetega, mis on ette nähtud füüsiliste isikute õigusi ja vabadusi ähvardavate ohtude leevendamiseks.

49)Euroopa Andmekaitseinspektorit tuleks teavitada liidu institutsioonide ja asutuste haldusmeetmetest ja sise-eeskirjadest, milles sätestatakse isikuandmete töötlemine, kehtestatakse andmesubjektide õigusi piiravad tingimused või kehtestatakse andmesubjektide õigusi käsitlevad asjakohased kaitsemeetmed, et kavandatud töötlemine vastaks käesoleva määruse nõuetele ning eelkõige vähendamaks andmesubjekti jaoks ohtu.

50)Määrusega (EL) 2016/679 loodi Euroopa Andmekaitsenõukogu juriidilisest isikust sõltumatu liidu asutusena. Andmekaitsenõukogu peaks kaasa aitama määruse (EL) 2016/679 ja direktiivi 2016/680 järjepidevale kohaldamisele kogu liidus, nõustades seejuures komisjoni. Samal ajal peaks Euroopa Andmekaitseinspektor jätkama oma järelevalve- ja nõustamisülesannete täitmist kõigi liidu institutsioonide ja asutuste suhtes, sealhulgas omal algatusel või taotluse alusel. Kogu liidus andmekaitsenormide järjepidevuse tagamiseks peaks komisjoniga konsulteerimine olema kohustuslik pärast seadusandlike aktide vastuvõtmist või delegeeritud õigusaktide ja rakendusaktide koostamise ajal vastavalt Euroopa Liidu toimimise lepingu artiklites 289, 290 ja 291 sätestatule ning pärast selliste soovituste ja ettepanekute vastuvõtmist, mis on seotud kolmandate riikide ja rahvusvaheliste organisatsioonidega sõlmitavate lepingutega vastavalt Euroopa Liidu toimimise lepingu artiklis 218 sätestatule, kui need mõjutavad õigust isikuandmete kaitsele. Sellistel juhtudel peaks komisjon olema kohustatud konsulteerima Euroopa Andmekaitseinspektoriga, välja arvatud juhul, kui määrusega (EL) 2016/679 on ette nähtud kohustuslik Euroopa Andmekaitseinspektoriga konsulteerimine näiteks kaitse piisavuse otsuste või standardseid ikoone ja sertifitseerimismehhanismide kriteeriume käsitlevate delegeeritud õigusaktide puhul. Kui kõnealune õigusakt on seoses isikuandmete töötlemisega üksikisikute õiguste ja vabaduste kaitse seisukohast eriti oluline, peaks komisjonil olema võimalus konsulteerida lisaks ka Euroopa Andmekaitsenõukoguga. Sellistel juhtudel peaks Euroopa Andmekaitseinspektor Euroopa Andmekaitsenõukogu liikmena oma tegevust ühisarvamuse koostamisel andmekaitsenõukoguga koordineerima. Euroopa Andmekaitseinspektor ja vajaduse korral ka Euroopa Andmekaitsenõukogu peaksid esitama oma kirjaliku nõuande kaheksa nädal jooksul. Kõnealune tähtaeg peaks kiireloomuliste juhtumite või vajaduste korral olema lühem, näiteks kui komisjon koostab delegeeritud õigusakte ja rakendusakte.

51)Andmekaitseametnik peaks igas liidu institutsioonis või asutuses tagama, et käesoleva määruse sätteid kohaldatakse, ning nõustama vastutavaid töötlejaid ja volitatud töötlejaid nende kohustuste täitmisel. Kõnealune ametnik peaks olema isik, kellel on andmekaitsealaseid õigusakte ja tavasid hõlmavad erialased teadmised, mille tase tuleks määrata kindlaks eelkõige vastavalt teostatavatele andmetöötlustoimingutele ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele. Andmekaitseametnikel peaks olema võimalik täita oma ülesandeid sõltumatult.

52)Isikuandmete edastamisel liidu institutsioonidelt ja asutustelt vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taset, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis. Igal juhul tohib andmeid kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastada ainult käesolevat määrust täielikult järgides. Andmeid tohiks edastada ainult siis, kui vastutav töötleja ja volitatud töötleja täidavad käesolevas määruses sätestatud tingimusi isikuandmete edastamise kohta, arvestades muid käesoleva määruse sätteid.

53)Komisjon võib määruse (EL) 2016/679 artikli 45 alusel otsustada, et kolmandas riigis, kolmanda riigi territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis pakutakse piisaval tasemel andmekaitset. Sellisel juhul võib isikuandmete edastamine liidu institutsiooni või asutuse poolt kõnealusesse riiki või kõnealusele rahvusvahelisele organisatsioonile toimuda ilma, et oleks vaja saada täiendav luba.

54)Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: komisjoni vastu võetud standardsed andmekaitseklauslid, Euroopa Andmekaitseinspektori vastu võetud standardsed andmekaitseklauslid või Euroopa Andmekaitseinspektori heaks kiidetud lepingu tüüptingimused. Juhul kui volitatud töötleja ei ole liidu institutsioon või asutus, võivad kõnealused asjakohased kaitsemeetmed sisaldada ka määruse (EL) 2016/679 raames andmete rahvusvahelise edastamise jaoks kasutatavaid siduvaid kontsernisiseseid eeskirju, toimimisjuhendeid või sertifitseerimismehhanisme. Need kaitsemeetmed peaksid tagama liidusiseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis. Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Andmeid võivad edastada ka liidu institutsioonid ja asutused kolmandate riikide avaliku sektori asutustele või organitele või rahvusvahelistele organisatsioonidele, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, millega nähakse ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele. Euroopa Andmekaitseinspektori luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

55)Vastutavale töötlejale või volitatud töötlejale antud võimalus kasutada komisjoni või Euroopa Andmekaitseinspektori vastu võetud standardseid andmekaitseklausleid ei tohiks takistada vastutavat töötlejat või volitatud töötlejat lisamast standardsed andmekaitseklauslid laiemasse lepingusse, nagu näiteks kahe volitatud töötleja vahelisse lepingusse, ega lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu komisjoni või Euroopa Andmekaitseinspektori vastu võetud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ja -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad standardseid andmekaitseklausleid.

56)Mõned kolmandad riigid võtavad vastu seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liidu institutsioonide ja asutuste töötlustoiminguid. Need võivad hõlmata kolmanda riigi kohtu või haldusasutuse otsuseid, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist ning mis ei põhine kolmanda riigi ja liidu vahel kehtival rahvusvahelisel lepingul. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taseme saavutamist. Edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud liidu õiguses.

57)Andmete edastamine peaks konkreetsetes olukordades olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma selgesõnalise nõusoleku, kui edastamine on juhtumipõhine ja vajalik seoses lepingu või õigusliku nõudega, sõltumata sellest, kas tegemist on kohtumenetluse, haldusmenetluse või mõne kohtuvälise menetluse, sealhulgas reguleerivate asutuste vahelise menetlusega. Andmete edastamine peaks olema võimalik ka juhul, kui see on vajalik seoses liidu õiguses sätestatud kaaluka avaliku huviga või kui edastatakse andmeid, mis pärinevaid seadusega loodud registrist, mis on mõeldud kasutamiseks avalikkusele või kõigile õigustatud huviga isikutele. Viimati nimetatud juhul ei tohiks edastada kõiki isikuandmeid ega registris sisalduvate andmete kõiki liike, kui see ei ole liidu õigusega lubatud, ja juhul, kui register on mõeldud kasutamiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad, võttes täielikult arvesse andmesubjekti huve ja põhiõigusi.

58)Nimetatud erandeid tuleks kohaldada eelkõige sellise andmeedastuse puhul, mis on nõutav ja vajalik avalikust huvist tulenevatel kaalukatel põhjustel, näiteks andmete rahvusvahelisel vahetamisel liidu institutsioonide ja asutuste ning konkurentsiasutuste, maksu- ja tolliasutuste, finantsjärelevalveasutuste ja sotsiaalkindlustuse või rahvatervise eest vastutavate asutuste vahel, näiteks nakkushaiguste suhtes kontaktsete isikute väljaselgitamisel või spordis dopingu kasutamise vähendamiseks ja/või kaotamiseks. Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik selliste huvide kaitsmiseks, mis on olulised andmesubjekti või muu isiku eluliste huvide, sealhulgas füüsilise puutumatuse või elu kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma. Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu õigusega selgesõnaliselt seada piiranguid konkreetset liiki isikuandmete edastamisele kolmandasse riiki või rahvusvahelisele organisatsioonile. Nõusoleku andmiseks füüsiliselt või õiguslikult võimetu andmesubjekti isikuandmete mis tahes edastamiseks rahvusvahelisele humanitaarorganisatsioonile, eesmärgiga täita Genfi konventsioonide kohast ülesannet või austada relvastatud konfliktides kohaldatavat rahvusvahelist humanitaarõigust võiks lugeda vajalikuks avalikust huvist tuleneval kaalukal põhjusel või põhjusel, et see on andmesubjekti jaoks eluliselt tähtis.

59)Igal juhul, kui komisjon ei ole teinud otsust kolmanda riigi andmekaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, millega antakse andmesubjektidele neid puudutava töötlemise korral liidus kohtulikult kaitstavad ja tõhusad õigused pärast selliste andmete edastamist, nii et neil on jätkuvalt samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid.

60)Isikuandmete liikumine üle piiride liidust välja võib raskendada füüsiliste isikute võimalusi kasutada õigust andmete kaitsele, eelkõige kaitsta end sellise teabe ebaseadusliku kasutamise ja avaldamise eest. Samal ajal võivad liidu järelevalveasutused, sealhulgas Euroopa Andmekaitseinspektor mitte suuta käsitleda kaebusi ega teostada uurimist väljapoole nende pädevuse piire jäävates küsimustes. Nende piiriülese koostöö püüdlusi võivad takistada ka tõkestamiseks ja kaitsemeetmete kehtestamiseks ebapiisavad volitused, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid. Seepärast tuleks tihendada Euroopa Andmekaitseinspektori ja teiste andmekaitse järelevalveasutuste koostööd. et aidata neil teiste riikide järelevalveasutustega teavet vahetada.

61)Määruse (EÜ) nr 45/2001 alusel Euroopa Andmekaitseinspektori loomine, kes on volitatud täiesti sõltumatult oma ülesandeid täitma ja volitusi kasutama, on oluline tegur füüsiliste isikute kaitsmisel seoses nende isikuandmete töötlemisega. Käesoleva määruse eesmärk peaks olema Euroopa Andmekaitseinspektori tegevuse tõhustamine ning selle rolli ja sõltumatuse selgitamine.

62)Selleks et tagada kogu liidus andmekaitsenormide ühtlane järelevalve ja täitmine, peaks Euroopa Andmekaitseinspektoril olema samad ülesanded ja tõhusad volitused kui liikmesriikide järelevalveasutustel, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning õigus juhtida Euroopa Liidu Kohtu tähelepanu käesoleva määruse rikkumistele ning volitused osaleda kohtumenetlustes kooskõlas esmase õiguse sätetega. Need volitused peaksid hõlmama ka õigust kehtestada ajutine või alaline töötlemispiirang, sealhulgas töötlemiskeeld. Vältimaks liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele, keda meetmed kahjustada võivad, peaks iga Euroopa Andmekaitseinspektori meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid ning austama isiku õigust ärakuulamisele, enne kui meede vastu võetakse. Euroopa Andmekaitseinspektori õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitamise kuupäev ning Euroopa Andmekaitseinspektori allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile.

63)Euroopa Andmekaitseinspektori otsused andmetöötlustoimingutega seotud erandite, tagatiste, lubade ning tingimuste kohta, nagu need on määratletud käesolevas määruses, tuleks avaldada tegevusaruandes. Iga-aastasest tegevusaruandest eraldi võib Euroopa Andmekaitseinspektor avaldada aruandeid konkreetsete küsimuste kohta.

64)Riiklikud järelevalveasutused jälgivad määruse (EL) 2016/679 kohaldamist ja aitavad kaasa selle ühtsele kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks, et tõhustada liikmesriikides kohaldatavate andmekaitsenormide ning liidu institutsioonide ja asutuste suhtes kohaldatavate andmekaitsenormide kohaldamise järjepidevust, peaks Euroopa Andmekaitseinspektor tegema riiklike järelevalveasutustega tõhusat koostööd.

65)Teatavatel juhtudel nähakse liidu õiguses ette koordineeritud järelevalve mudel, mida teostavad Euroopa Andmekaitseinspektor ja riiklikud järelevalveasutused üheskoos. Lisaks sellele on Euroopa Andmekaitseinspektor Europoli järelevalveasutuseks ja riiklike järelevalveasutustega on nõuandva funktsiooniga koostöönõukogu kaudu loodud spetsiifiline koostöömudel. Selleks, et parandada oluliste andmekaitsenormide tõhusat järelevalvet ja täitmist, tuleks liidus kasutusele võtta koordineeritud järelevalve ühtne ja sidus mudel. Seepärast peaks komisjon, kui see on asjakohane, esitama seadusandlikud ettepanekud, millega muuta koordineeritud järelevalvet käsitlevaid liidu õigusakte, et need käesolevas määruses sätestatud koordineeritud järelevalve mudeliga kooskõlla viia. Euroopa Andmekaitsenõukogu peaks olema ainsaks platvormiks, millega tagatakse üldine tõhus koordineeritud järelevalve.

66)Igal andmesubjektil peaks olema õigus esitada kaebus Euroopa Andmekaitseinspektorile ja õigus tõhusale õiguskaitsevahendile Euroopa Liidu Kohtus kooskõlas aluslepingutega, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui Euroopa Andmekaitseinspektor ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ja selle tulemust peaks olema võimalik kohtulikult kontrollida. Euroopa Andmekaitseinspektor peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat kooskõlastamist riikliku järelevalveasutusega, tuleks sellest teatada andmesubjektile. Euroopa Andmekaitseinspektor peaks võtma meetmed kaebuste esitamise lihtsustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, ilma muude sidevahendite kasutamist välistamata.

67)Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, peaks aluslepingutes sätestatud tingimuste alusel olema õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

68)Euroopa Andmekaitseinspektori rolli tugevdamiseks ja käesoleva määruse täitmise tõhusaks tagamiseks peaks Euroopa Andmekaitseinspektor omama viimase abinõuna volitusi määrata trahve. Trahvid peaksid olema suunatud üksikisikute asemel institutsioonide või asutuste karistamisele käesoleva määruse sätete täitmata jätmise eest, et ära hoida käesoleva määruse edasisi rikkumisi ning edendada liidu institutsioonides ja asutustes isikuandmete kaitsmise tava. Käesolevas määruses tuleks loetleda rikkumised, sätestada asjaomaste trahvide ülemmäär ja nende määramise kriteeriumid. Euroopa Andmekaitseinspektor peaks iga juhtumi puhul eraldi kindlaks määrama trahvisumma, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. Liidu asutusele trahvi määrates peaks Euroopa Andmekaitseinspektor arvestama trahvisumma proportsionaalsust. Liidu institutsioonidele ja asutustele trahvide määramise menetlus peaks järgima liidu õiguse üldpõhimõtteid, nagu neid on tõlgendanud Euroopa Liidu Kohus.

69)Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liidu või liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ja mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel Euroopa Andmekaitseinspektorile kaebust. Sellisel asutusel, organisatsioonil või ühingul peaks olema võimalus kasutada andmesubjektide nimel õigust õiguskaitsevahendile või kasutada andmesubjektide nimel õigust saada hüvitist.

70)Liidu ametniku või teenistuja suhtes, kes ei täida käesolevast määrusest tulenevaid kohustusi, tuleks kohaldada distsiplinaarmenetlust või muid meetmeid Euroopa Liidu ametnike personalieeskirjades või liidu muude teenistujate teenistustingimustes ette nähtud korras.

71)Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks komisjonile anda käesolevas määruses sätestatud rakendusvolitused. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 16 . Kontrollmenetlust tuleks kasutada vastutavate töötlejate ja volitatud töötlejate vaheliste ning volitatud töötlejate omavaheliste lepingute tüüptingimuste vastuvõtmiseks, selliste töötlemistoimingute loetelu vastuvõtmiseks, mille puhul peavad avalikes huvides oleva ülesande täitmiseks vajalikke andmeid töötlevad vastutavad töötlejad eelnevalt konsulteerima Euroopa Andmekaitseinspektoriga, ning selliste lepingu tüüptingimuste vastuvõtmiseks, milles sätestatakse rahvusvaheliste edastamiste piisavad kaitsemeetmed.

72)Konfidentsiaalne teave, mida liidu ja riiklikud statistikaasutused koguvad Euroopa ja riikliku ametliku statistika koostamiseks, peaks olema kaitstud. Euroopa statistikat tuleks arendada, koostada ja levitada kooskõlas statistikaalaste põhimõtetega, mis on sätestatud ELi toimimise lepingu artikli 338 lõikes 2. Euroopa statistika statistiliste andmete konfidentsiaalsust on täiendavalt täpsustatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 223/2009 17 .

73)Määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ tuleks kehtetuks tunnistada. Viiteid kehtetuks tunnistatud määrusele ja otsusele tuleks käsitada viidetena käesolevale määrusele.

74)Sõltumatu järelevalveasutuse liikmete täieliku sõltumatuse tagamiseks ei tohiks käesolev määrus Euroopa Andmekaitseinspektori ja inspektori asetäitja praegust ametiaega mõjutada. Praegune inspektori asetäitja peaks jääma ametisse ametiaja lõpuni, välja arvatud juhul, kui on täidetud käesolevas määruses sätestatud Euroopa Andmekaitseinspektori ametiaja enneaegse lõpetamise tingimused. Käesoleva määruse asjaomaseid sätteid tuleks tema ametiaja lõpuni kohaldada ka inspektori asetäitja suhtes.

75)Kooskõlas proportsionaalsuse põhimõttega, saavutamaks põhieesmärk tagada kogu liidus füüsiliste isikute kaitse võrdväärne tase ja isikuandmete vaba liikumine, on vajalik ja asjakohane kehtestada õigusnormid, mis käsitlevad isikuandmete töötlemist liidu institutsioonides ja asutustes. Käesolevas määruses piirdutakse sellega, mis on vajalik eesmärkide saavutamiseks kooskõlas Euroopa Liidu lepingu artikli 5 lõikega 4.

76)Vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2 on konsulteeritud Euroopa Andmekaitseinspektoriga, kes esitas oma arvamuse XX/XX/XXXX.

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

ÜLDSÄTTED

Artikkel 1

Reguleerimisese ja eesmärgid

1.Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset seoses isikuandmete töötlemisega liidu institutsioonides, organites ja asutustes, ning õigusnormid, mis käsitlevad isikuandmete vaba liikumist nende asutuste vahel või edastamist liidus asutatud vastuvõtjatele, kelle suhtes kohaldatakse määrust (EL) 2016/679 18 või direktiivi (EL) 2016/680 19 alusel vastu võetud siseriiklike õigusaktide sätteid.

2.Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

3.Euroopa Andmekaitseinspektor jälgib käesoleva määruse sätete kohaldamist kõigi liidu institutsioonides või asutustes teostatavate töötlustoimingute suhtes.

Artikkel 2

Kohaldamisala

1.Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes kõikides liidu institutsioonides ja asutustes, kui see töötlemine toimub täielikult või osaliselt liidu õiguse kohaldamisalasse kuuluva tegevuse käigus.

2.Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

Artikkel 3

Mõisted

1.Käesolevas määruses kasutatakse järgmisi mõisteid:

(a)määruses (EL) 2016/679 kasutatud mõisted, välja arvatud mõiste „vastutav töötleja“ kõnealuse määruse artikli 4 punktis 7;

(b) mõiste „elektrooniline side“ määruse (EL) XX/XXXX [eraelu puutumatust ja elektroonilist sidet käsitlev määrus] artikli 4 lõike 2 punktis a;

(c) mõisted „elektroonilise side võrk“ ja „lõppkasutaja“ vastavalt direktiivi 00/0000/EL [direktiivile, millega kehtestatakse Euroopa elektroonilise side seadustik] artikli 2 punktis 1 ja 14;

(d) mõiste „lõppseade“ komisjoni direktiivi 2008/63/EÜ 20 artikli 1 punktis 1.

2.Lisaks kasutatakse käesolevas määruses järgmisi mõisteid:

(a)„liidu institutsioonid ja asutused“ – liidu institutsioonid, organid ja asutused, mis on loodud Euroopa Liidu lepingu, Euroopa Liidu toimimise lepingu või Euratomi asutamislepinguga või nende lepingute alusel;

(b)„vastutav töötleja“ – liidu institutsioon, organ või asutus, peadirektoraat või mis tahes muu organisatsiooniline üksus, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud konkreetse liidu õigusaktiga, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu õiguses;

(c)„kasutaja“ – füüsiline isik, kes kasutab liidu institutsiooni või asutuse kontrolli all toimivat võrgustikku või lõppseadet;

(d)„kataloog“ – kasutajate üldkasutatavad kataloogid või liidu institutsioonis või asutuses kasutatav kasutajate sisekataloog või mida jagatakse liidu institutsioonide ja asutuste vahel trükitud või elektroonilises vormis.

II PEATÜKK

PÕHIMÕTTED

Artikkel 4

Isikuandmete töötlemise põhimõtted

1.Isikuandmete töötlemisel tagatakse, et:

a)töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda edasi viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 13 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)isikuandmed on täpsed ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed, et viivitamata kustutada või parandada andmete kogumise või hilisema töötlemise eesmärgi seisukohast ebatäpsed või mittetäielikud andmed („õigsus“);

e)isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artiklile 13, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f)isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2.Vastutav töötleja vastutab lõike 1 täitmise eest ja on võimeline selle täitmist tõendama („vastutus“).

Artikkel 5

Isikuandmete töötlemise seaduslikkus

1.Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või liidu institutsiooni või asutuse avaliku võimu teostamiseks;

b)isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

c)isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

d)andmesubjekt on andnud nõusoleku oma isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil;

e)isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

2.Lõike 1 punktis a osutatud ülesanded sätestataks liidu õiguses.

Artikkel 6

Andmete muul kooskõlas oleval eesmärgil töötlemine

Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu õigusaktil, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 25 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse:

a)seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 10 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 11;

d)kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.

Artikkel 7

Nõusoleku andmise tingimused

1.Kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

2.Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist käesoleva määruse rikkumisega, ei ole siduv.

3.Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest enne nõusoleku andmist. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine.

4.Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku andmine isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.

Artikkel 8

Tingimused, mida kohaldatakse laste nõusoleku suhtes seoses infoühiskonna teenustega

1.Kui kohaldatakse artikli 5 lõike 1 punkti d seoses infoühiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete töötlemine seaduslik ainult juhul kui laps on vähemalt 13aastane. Kui laps on noorem kui 13aastane, on selline isikuandmete töötlemine seaduslik üksnes sellisel juhul ja sellises ulatuses, kui selleks on sellise nõusoleku või loa andnud isik, kellel on lapse suhtes vanemlik vastutus.

2.Vastutav töötleja teeb kättesaadavat tehnoloogiat arvesse võttes mõistlikud jõupingutused selleks, et kontrollida sellistel juhtudel, et nõusoleku või loa on andnud isik, kellel on lapse suhtes vanemlik vastutus.

3.Lõige 1 ei mõjuta liikmesriikide üldist lepinguõigust, näiteks õigusnorme, mis käsitlevad lapsega seotud lepingu kehtivust, koostamist ja mõju.

Artikkel 9

Isikuandmete edastamine vastuvõtjale, kes ei ole liidu institutsioon ega asutus ning mis on asutatud liidus ja mille suhtes kohaldatakse määrust (EL) 2016/679 või direktiivi (EL) 2016/680

1.Ilma, et see piiraks artiklite 4, 5, 6 ja 10 kohaldamist, edastatakse isikuandmeid ainult liidus asutatud vastuvõtjale, kelle suhtes kohaldatakse määrust (EL) 2016/679 või direktiivi (EL) 2016/680 alusel vastu võetud siseriiklike õigusaktide sätteid, kui vastuvõtja kinnitab, et:

a)andmed on vajalikud avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks; või

b)andmete edastamine on vajalik, see on proportsionaalne edastamise eesmärkidega ning ei ole alust karta andmesubjekti õiguste ja vabaduste ning õigustatud huvide kahjustamist.

2.Juhul kui edastamine käesoleva artikli alusel toimub vastutava töötleja algatusel, tõendab vastutav töötleja, et isikuandmete edastamine on vajalik ja proportsionaalne edastamise eesmärkidega, kohaldades lõike 1 punktides a) või b) sätestatud kriteeriume.

Artikkel 10

Isikuandmete eriliikide töötlemine

1.Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2.Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

a)andmesubjekt on andnud selgesõnalise nõusoleku nende andmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada; või

b)töötlemine on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu õigusega, millega kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks; või

c)töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma,

d)töödeldakse poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega, liidu institutsiooni või asutusega integreeritud mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning kui töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning tingimusel et andmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta,

e)töödeldakse andmeid, mille andmesubjekt on ilmselgelt avalikustanud;

f)töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui Euroopa Liidu Kohus täidab oma õigust mõistvat funktsiooni; või

g)töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu õiguse alusel ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ja tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks;

h)töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud;

i)töötlemine on vajalik rahvatervise valdkonna avalikes huvides, nagu kaitse suure piiriülese terviseohu korral või kõrgete kvaliteedi- ja ohutusnõuete tagamine tervishoiu ning ravimite või meditsiiniseadmete puhul, tuginedes liidu õigusele, millega nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õiguste ja vabaduste kaitseks, eelkõige ametisaladuse hoidmine,

j)töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, tuginedes liidu õigusele, ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ning tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

3.Lõikes 1 osutatud isikuandmeid võib töödelda lõike 2 punktis h osutatud eesmärkidel, kui neid andmeid töötleb töötaja, kellel on liidu õiguse alusel ametisaladuse hoidmise kohustus või kui neid andmeid töödeldakse sellise isiku vastutusel.

Artikkel 11

Süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine

Süüteoasjades süüdimõistvate kohtuotsuste ja süütegude või nendega seotud turvameetmetega seotud isikuandmeid töödeldakse artikli 5 lõike 1 kohaselt ainult siis, kui töötlemine on lubatud liidu õigusega, mis võib hõlmata sise-eeskirju, milles on sätestatud asjakohased kaitsemeetmed andmesubjektide õiguste ja vabaduste kaitseks.

Artikkel 12

Töötlemine, mille käigus ei nõuta isiku tuvastamist

1.Kui vastutav töötleja töötleb isikuandmeid eesmärkidel, mille puhul ei nõuta või enam ei nõuta andmesubjekti tuvastamist vastutava töötleja poolt, ei ole vastutav töötleja kohustatud säilitama, hankima ega töötlema lisateavet, et tuvastada andmesubjekt ainult käesoleva määruse järgimiseks.

2.Kui vastutav töötleja on käesolevas artikli lõikes 1 osutatud juhtudel võimeline tõendama, et ta ei suuda andmesubjekti tuvastada, teavitab ta vastavalt andmesubjekti, kui see on võimalik. Sellistel juhtudel ei kohaldata artikleid 17–22, välja arvatud juhul, kui andmesubjekt esitab enda tuvastamist võimaldavat lisateavet, et kasutada nende artiklite kohaseid õigusi.

Artikkel 13

Kaitsemeetmed seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil

Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

III PEATÜKK

ANDMESUBJEKTI ÕIGUSED

1. JAGU

LÄBIPAISTVUS JA SELLEGA SEOTUD KORD

Artikkel 14

Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord

1.Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 15 ja 16 osutatud teave ning teavitada teda artiklite 17–24 ja 38 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.

2.Vastutav töötleja aitab kaasa artiklite 17–24 kohaste andmesubjekti õiguste kasutamisele. Artikli 12 lõikes 2 osutatud juhtudel ei keeldu vastutav töötleja meetmete võtmisest andmesubjekti taotlusel tema artiklite 17–24 kohaste õiguste kasutamiseks, välja arvatud juhul, kui vastutav töötleja tõendab, et ta ei suuda andmesubjekti tuvastada.

3.Vastutav töötleja esitab andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe artiklite 17–24 kohase taotluse alusel võetud meetmete kohta. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, võttes arvesse taotluste keerukust ja hulka. Vastutav töötleja teavitab andmesubjekti igast taolisest pikendamisest ja viivituse põhjustest ühe kuu jooksul alates taotluse saamisest. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.

4.Kui vastutav töötleja ei võta meetmeid vastavalt andmesubjekti taotlusele, teatab ta andmesubjektile viivituseta ja hiljemalt ühe kuu jooksul alates taotluse saamisest meetmete võtmata jätmise põhjused ning selgitab talle võimalust esitada Euroopa Andmekaitseinspektorile kaebus ja kasutada õiguskaitsevahendeid.

5.Artiklite 15 ja 16 kohase teabe esitamine ning artiklite 17–24 ja 38 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja keelduda taotluse alusel toimingu tegemisest.

Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

6.Kui vastutaval töötlejal on põhjendatud kahtlused artiklites 17–23 osutatud taotlust esitava füüsilise isiku identiteedi suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist, piiramata seejuures artikli 12 kohaldamist.

7.Andmesubjektidele artiklite 15 ja 16 kohaselt edastatava teabe võib anda koos standardsete ikoonide esitamisega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, on need masinloetavad.

8.Kui komisjon võtab määruse (EL) 2016/679 artikli 12 lõike 8 kohaselt vastu delegeeritud õigusaktid, et määrata kindlaks ikoonidega esitatav teave ja standardsete ikoonide esitamise kord, edastavad liidu institutsioonid ja asutused võimaluse korral artiklite 15 ja 16 kohaselt teabe koos selliste standardsete ikoonidega.

2. JAGU

TEAVE JA JUURDEPÄÄS ISIKUANDMETELE

Artikkel 15

Teave, mis tuleb esitada juhul, kui isikuandmed on kogutud andmesubjektilt

1.Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

a)vastutava töötleja nimi ja kontaktandmed;

b)andmekaitseametniku kontaktandmed;

c)isikuandmete töötlemise eesmärk ja õiguslik alus;

d)asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

e)asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 49 osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2.Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

a)isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või vajaduse korral teave õiguse kohta esitada vastuväide selliste isikuandmete töötlemisele või teave isikuandmete ülekandmise õiguse kohta;

c)kui isikuandmete töötlemine põhineb artikli 5 lõike 1 punktil d või artikli 10 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

d)teave õiguse kohta esitada kaebus Euroopa Andmekaitseinspektorile;

e)teave selle kohta, kas isikuandmete esitamine on õigusaktist või lepingust tulenev kohustus või lepingu sõlmimiseks vajalik nõue, samuti selle kohta, kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama, ning selliste andmete esitamata jätmise võimalike tagajärgede kohta, ning

f)teave artikli 24 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3.Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne andmete edasist isikuandmete töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

4.Lõikeid 1, 2 ja 3 ei kohaldata, kui ja sel määral, mil andmesubjektil on see teave juba olemas.

Artikkel 16

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1.Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)vastutava töötleja nimi ja kontaktandmed;

b)andmekaitseametniku kontaktandmed;

c)isikuandmete töötlemise eesmärk ja õiguslik alus;

d)asjaomaste isikuandmete liigid;

e)asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

f)asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 49 osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2.Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise täiendava teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või võimaluse korral teave õiguse kohta esitada vastuväide selliste isikuandmete töötlemisele või teave isikuandmete ülekandmise õiguse kohta;

d)teave õiguse kohta esitada kaebus Euroopa Andmekaitseinspektorile;

e)teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

3.Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

(a)mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid;

(b)kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

(c)kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4.Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5.Lõikeid 1–4 ei kohaldata, kui ja sel määral, mil:

a)andmesubjektil on see teave juba olemas;

b)selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, või sel määral, mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral;

c)isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud liidu õiguses; või

d)isikuandmed peavad jääma salajaseks liidu õigusega reguleeritava ametisaladuse hoidmise kohustuse tõttu.

Artikkel 17

Andmesubjekti õigus tutvuda andmetega

1.Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

a)töötlemise eesmärgid;

b)asjaomaste isikuandmete liigid;

c)vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)teave õiguse kohta esitada kaebus Euroopa Andmekaitseinspektorile;

g)kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)teave artikli 24 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

2.Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, on andmesubjektil õigus olla teavitatud edastamisega seoses artikli 49 kohaselt kehtestatavatest asjakohastest kaitsemeetmetest.

3.Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.

4.Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.

3. JAGU

PARANDAMINE JA KUSTUTAMINE

Artikkel 18

Õigus andmete parandamisele

Andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse andmete töötlemise eesmärke, on andmesubjektil õigus nõuda mittetäielike isikuandmete täiendamist, sealhulgas täiendava õiendi esitamise teel.

Artikkel 19

Õigus andmete kustutamisele („õigus olla unustatud“)

1.Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

a)isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 5 lõike 1 punktile d või artikli 10 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;

c)andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 23 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid;

d)isikuandmeid on töödeldud ebaseaduslikult;

e)isikuandmed tuleb kustutada selleks, et täita vastutava töötleja suhtes kohaldatavat juriidilist kohustust;

f)isikuandmeid koguti seoses artikli 8 lõikes 1 osutatud infoühiskonna teenuste pakkumisega.

2.Juhul kui vastutav töötleja on isikuandmed avalikustanud ja peab lõike 1 kohaselt isikuandmed kustutama, võtab vastutav töötleja kättesaadavat tehnoloogiat ja rakendamise kulusid arvestades tarvitusele mõistlikud abinõud, sealhulgas tehnilised meetmed, et teavitada kõnealuseid isikuandmeid töötlevaid vastutavaid töötlejaid sellest, et andmesubjekt taotleb neilt kõnealustele isikuandmetele osutavate linkide või andmekoopiate või -korduste kustutamist.

3.Lõikeid 1 ja 2 ei kohaldata sel määral, mil isikuandmete töötlemine on vajalik:

a)sõna- ja teabevabaduse õiguse teostamiseks;

b)selleks, et täita vastutava töötleja suhtes kohaldatavat juriidilist kohustust või täita avalikes huvides olevat ülesannet või teostada vastutava töötleja avalikku võimu;

c)rahvatervise valdkonnas avaliku huviga seotud põhjustel kooskõlas artikli 10 lõike 2 punktidega h ja i ning artikli 10 lõikega 3;

d)avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, sel määral, mil lõikes 1 osutatud õigus tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral või

e)õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Artikkel 20

Õigus isikuandmete töötlemise piiramisele

1.Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:

a)kui andmesubjekt vaidlustab isikuandmete õigsuse, ajaks, mis võimaldab vastutaval töötlejal kontrollida isikuandmete õigsust, sealhulgas terviklikkust;

b)kui töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle nende kustutamist, vaid kasutamise piiramist;

c)kui vastutav töötleja ei vaja isikuandmeid enam töötlemise eesmärkidel, kuid need on andmesubjektile vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks,

d)kui andmesubjekt on esitanud isikuandmete töötlemise suhtes artikli 23 lõike 1 kohaselt vastuväite, ajaks, kuni kontrollitakse, kas vastutava töötleja õiguspärased põhjused kaaluvad üles andmesubjekti põhjused.

2.Kui isikuandmete töötlemist on lõike 1 kohaselt piiratud, võib selliseid isikuandmeid töödelda (välja arvatud säilitamine) ainult andmesubjekti nõusolekul või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või teise füüsilise või juriidilise isiku õiguste kaitsmiseks või seoses liidu või liikmesriigi olulise avaliku huviga.

3.Vastutav töötleja teavitab lõike 1 kohaselt isikuandmete töötlemise piiramist nõudnud andmesubjekti enne isikuandmete töötlemise piiramise lõpetamist.

4.Automaatsetes andmete kogumites tagatakse isikuandmete töötlemise piiramine üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmete töötlemine on piiratud, tuleb süsteemis esitada selliselt, et nende kasutamise keeld oleks selge.

Artikkel 21

Kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisest

Vastutav töötleja edastab teabe isikuandmete parandamise, kustutamise või isikuandmete töötlemise piiramise kohta vastavalt artiklile 18, artikli 19 lõikele 1 ja artiklile 20 kõigile vastuvõtjatele, kellele isikuandmed on avaldatud, välja arvatud juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi. Vastutav töötleja teavitab andmesubjekti nendest vastuvõtjatest andmesubjekti taotlusel.

Artikkel 22

Andmete ülekandmise õigus

1.Andmesubjektil on õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale töötlejale, ilma et vastutav töötleja, kellele kõnealused isikuandmed on esitatud, seda takistaks, kui:

a)töötlemine põhineb artikli 5 lõike 1 punktis d või artikli 10 lõike 2 punktis a osutatud nõusolekul või artikli 5 lõike 1 punktis b osutatud lepingul; ning

b)töödeldakse automatiseeritult.

2.Kui andmesubjekt kasutab lõike 1 kohaselt andmete ülekandmise õigust, on tal õigus nõuda, et vastutav töötleja edastab andmed otse teisele vastutavale töötlejale, kui see on tehniliselt teostatav.

3.Käesoleva artikli lõikes 1 nimetatud õiguse kasutamine ei piira artikli 19 kohaldamist. Seda õigust ei kohaldata töötlemise suhtes, mis on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

4.Lõikes 1 osutatud õigus ei kahjusta teiste isikute õigusi ja vabadusi.

4. JAGU

ÕIGUS ESITADA VASTUVÄITEID JA AUTOMATISEERITUD TÖÖTLUSEL PÕHINEVATE ÜKSIKOTSUSTE TEGEMINE

Artikkel 23

Õigus esitada vastuväiteid

1.Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 5 lõike 1 punkti a alusel, sealhulgas sellele sättele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

2.Hiljemalt andmesubjekti esmakordsel teavitamisel juhitakse andmesubjekti tähelepanu selgesõnaliselt lõikes 1 osutatud õigusele ning vastav teave esitatakse selgelt ja eraldi igasugusest muust teabest.

3.Infoühiskonna teenuste kasutamisega seoses võib andmesubjekt kasutada oma õigust esitada vastuväiteid, tehes seda automatiseeritud vahendite teel, mis põhinevad tehnilistel kirjeldustel, ilma et see piiraks artiklite 34 ja 35 kohaldamist.

4.Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil, on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks.

Artikkel 24

Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs

1.Andmesubjektil on õigus, et tema kohta ei tehtaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

2.Lõiget 1 ei kohaldata, kui otsus:

a)on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks;

b)on lubatud liidu õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks, või

c)põhineb andmesubjekti selgesõnalisel nõusolekul.

3.Lõike 2 punktides a ja c osutatud juhtudel rakendab vastutav töötleja asjakohaseid meetmeid, et kaitsta andmesubjekti õigusi ja vabadusi ning õigustatud huve, vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada otsus.

4.Lõikes 2 osutatud otsused ei tohi põhineda artikli 10 lõikes 1 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui kohaldatakse artikli 10 lõike 2 punkti a või g ning kehtestatud on asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

5. JAGU

PIIRANGUD

Artikkel 25

Piirangud

1.Aluslepingute alusel vastu võetud õigusaktidega või liidu institutsioonide ja asutuste toimimisega seotud küsimuste puhul võib nende sise-eeskirjadega piirata artiklites 14–22 ning 34 ja 38, samuti artiklis 4 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 14–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada:

(a)liikmesriikide julgeolek, avalik kord või riigikaitse;

(b)süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

(c)liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;

(d)liidu institutsioonide ja asutuste sisejulgeolek, sealhulgas nende elektroonilise side võrgustikud;

(e)kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;

(f)reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

(g)jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a–c osutatud juhtudel;

(h)andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

(i)tsiviilõiguslike nõuete täitmise tagamine.

2.Kui sellist piirangut ei ole aluslepingute alusel vastu võetud õigusaktide või lõikele 1 vastava sise-eeskirjaga ette nähtud, võivad liidu institutsioonid ja asutused piirata artiklite 14–22 ning 34 ja 38, samuti artikli 4 kohaldamist, kuivõrd selle sätted vastavad artiklites 14–22 sätestatud õigustele ja kohustustele, kui selline piirang austab seoses konkreetse andmetöötlustoiminguga põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada ühe või enama lõikes 1 osutatud eesmärgi saavutamine. Piirangust teavitatakse pädevat andmekaitseametnikku.

3.Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu õigusega, mis võib hõlmata sise-eeskirju, ette näha erandid artiklites 17, 18, 20 ja 23 osutatud õigustest, eeldusel, et artiklis 13 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4.Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu õigusega, mis võib hõlmata sise-eeskirju, ette näha erandid artiklites 17, 18, 20, 21, 22 ja 23 osutatud õigustest, eeldusel, et artiklis 13 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

5.Lõigetes 1, 3 ja 4 osutatud sise-eeskirjad on piisavalt selged ja täpsed ning need tuleb nõuetekohaselt avaldada.

6.Lõigete 1 või 2 alusel kehtestatud piirangu korral tehakse andmesubjektile liidu õiguse alusel teatavaks piirangu kohaldamise peamised põhjused ning tema õigus esitada kaebus Euroopa Andmekaitseinspektorile.

7.Kui andmesubjektile keelatakse lõigete 1 või 2 alusel kehtestatud piirangu tõttu juurdepääs andmetele, teeb Euroopa Andmekaitseinspektor kaebuse uurimisel talle teatavaks üksnes asjaolu, kas andmeid on töödeldud nõuetekohaselt, ning kui mitte, siis kas vajalikud parandused on tehtud.

8.Lõigetes 6 ja 7 ning artikli 46 lõikes 2 osutatud teabe esitamist võib edasi lükata, ära jätta või sellest keelduda, kui sellega kaotab oma mõju lõigete 1 või 2 alusel kehtestatud piirang.

IV PEATÜKK

VASTUTAV TÖÖTLEJA JA VOLITATUD TÖÖTLEJA

1. JAGU

ÜLDKOHUSTUSED

Artikkel 26

Vastutava töötleja vastutus

1.Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2.Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

Artikkel 27

Lõimitud andmekaitse ja vaikimisi andmekaitse

1.Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

2.Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

Artikkel 28

Kaasvastutavad töötlejad

1.Kui liidu institutsioon või asutus koos ühe või enama vastutava töötlejaga, kes võivad olla liidu institutsioonid või asutused või mitte, määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna andmekaitsega seotud kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 15 ja 16 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2.Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.Andmesubjekt võib kasutada oma käesoleva määruse kohaseid õigusi ühe või mitme kaasvastutava töötleja suhtes ja vastu, võttes arvesse nende ülesandeid, mis on kindlaks määratud lõikes 1 osutatud kokkuleppe tingimustes.

Artikkel 29

Volitatud töötleja

1.Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2.Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3.Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

a)töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)võtab kõik artikli 33 kohaselt nõutavad meetmed;

d)järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)aitab vastutaval töötlejal täita artiklites 33–40 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4.Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5.Kui volitatud töötaja ei ole liidu institutsioon ega asutus, võib tema poolt määruse (EL) 2016/679 artikli 40 lõikes 5 osutatud heakskiidetud toimimisjuhendite või määruse (EL) 2016/679 artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisavate tagatiste olemasolu.

6.Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa volitatud töötlejale, kes ei ole liidu institutsioon ega asutus, määruse (EL) 2016/679 artikli 42 kohaselt antud sertifikaadist.

7.Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 70 lõikes 2 osutatud kontrollimenetlusega.

8.Euroopa Andmekaitseinspektor võib vastu võtta lepingu tüüptingimused lõigetes 3 ja 4 osutatud küsimustes.

9.Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10.Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 65 ja 66 kohaldamist.

Artikkel 30

Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel

Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

Artikkel 31

Isikuandmete töötlemise toimingute registreerimine

1.Iga vastutav töötleja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:

a)vastutava töötleja, andmekaitseametniku ning asjakohasel juhul volitatud töötleja ja kaasvastutava töötleja nimi ja kontaktandmed;

b)töötlemise eesmärgid;

c)andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

d)vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas liikmesriikides ja kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

e)kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega ja sobivate kaitsemeetmete kohta koostatud dokumendid;

f)võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

g)võimaluse korral artiklis 33 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

2.Volitatud töötleja peab iga vastutava töötleja nimel tehtavate isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:

a)volitatud töötleja või volitatud töötlejate ja iga vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning andmekaitseametniku nimi ja kontaktandmed;

b)vastutava töötleja nimel tehtava töötlemise kategooriad;

c)kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega ja sobivate kaitsemeetmete kohta koostatud dokumendid;

d)võimaluse korral artiklis 33 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

3.Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.

4.Taotluse korral teevad liidu institutsioonid ja asutused registri kättesaadavaks Euroopa Andmekaitseinspektorile.

5.Liidu institutsioonid ja asutused võivad otsustada hoida töötlemistoiminguid käsitlevaid andmeid keskregistris. Sellisel juhul võivad nad muuta registri ka avalikult kättesaadavaks.

Artikkel 32

Koostöö Euroopa andmekaitseinspektoriga

Liidu institutsioonid ja asutused teevad oma ülesannete täitmise käigus taotluse korral koostööd Euroopa Andmekaitseinspektoriga.

2. JAGU

ISIKUANDMETE TURVALISUS JA ELEKTROONILISE SIDE KONFIDENTSIAALSUS

Artikkel 33

Töötlemise turvalisus

1.Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

(a)isikuandmete pseudonümiseerimine ja krüpteerimine;

(b)võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

(c)võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;

(d)tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

2.Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

3.Vastutav töötleja ja volitatud töötleja võtavad meetmeid selleks, et tagada, et vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, töötlevad isikuandmeid ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu õigus neid selleks kohustab.

Artikkel 34

Elektroonilise side konfidentsiaalsus

Liidu institutsioonid ja asutused tagavad elektroonilise side konfidentsiaalsuse, tagades eelkõige oma elektroonilise side võrgustiku turvalisuse.

Artikkel 35

Lõppkasutaja lõppseadmega seotud teabe kaitse

Liidu institutsioonid ja asutused kaitsevad kooskõlas määrusega (EL) XXXX/XX [uus eraelu puutumatust ja elektroonilist sidet käsitlev määrus], eelkõige selle artikliga 8 teavet, mis on seotud lõppkasutajate lõppseadmetega, millega kasutatakse nende avalikult kättesaadavaid veebisaite ja mobiilseid rakendusi.

Artikkel 36

Kasutajakataloogid

1.Kasutajakataloogides sisalduvaid isikuandmeid ning juurdepääsu sellistele kataloogidele tuleb piirata sellise määrani, mis on tingimata vajalik kataloogi konkreetsete ülesannete täitmiseks.

2.Liidu institutsioonid ja asutused võtavad kõik vajalikud meetmed, et takistada nimetatud kataloogides sisalduvate isikuandmete kasutamist otseturunduse eesmärkidel, olenemata sellest, kas need kataloogid on avalikkusele kättesaadavad või mitte.

Artikkel 37

Euroopa Andmekaitseinspektori teavitamine isikuandmetega seotud rikkumisest

1.Isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorile põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui Euroopa Andmekaitseinspektorit teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.

2.Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.

3.Lõikes 1 osutatud teates esitatakse vähemalt järgmine teave:

a)kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;

b)teatada andmekaitseametniku nimi ja kontaktandmed;

c)kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

4.Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.

5.Vastutav töötleja teavitab andmekaitseametnikku isikuandmetega seotud rikkumisest.

6.Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle mõju ja võetud parandusmeetmed. Dokumendid võimaldavad Euroopa Andmekaitseasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist.

Artikkel 38

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1.Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab vastutav töötleja andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.

2.Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 37 lõike 3 punktides b, c ja d osutatud teave ja meetmed.

3.Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta juhul, kui on täidetud järgmised tingimused:

a)vastutav töötleja on kehtestanud asjakohased tehnilised ja korralduslikud kaitsemeetmed ja neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

b)vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või

c)see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul tehakse avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

4.Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib Euroopa Andmekaitseinspektor pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, seda vastutavalt töötlejalt nõuda või otsustada, et esineb üks lõikes 3 osutatud tingimustest.

3. JAGU

ANDMEKAITSEALANE MÕJUHINNANG JA EELNEV KONSULTEERIMINE

Artikkel 39

Andmekaitsealane mõjuhinnang

1.Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2.Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult.

3.Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav järgmistel juhtudel:

a)füüsiliste isikutega seotud isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)artiklis 10 osutatud andmete eriliikide või artiklis 11 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c) avalike alade ulatuslik süstemaatiline jälgimine.

4.Euroopa Andmekaitseinspektor koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang.

5.Euroopa Andmekaitseinspektor võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav.

6.Mõjuhinnang peab hõlmama vähemalt järgmist:

a)kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide süstemaatiline kirjeldus;

b)isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

7.Volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse määruse (EL) 2016/679 artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase volitatud töötleja poolt, kes ei ole liidu institutsioon ega asutus.

8.Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

9.Kui artikli 5 lõike 1 punkti a või b kohase isikuandmete töötlemise õiguslik alus tuleneb aluslepingute alusel vastu võetud õigusaktist, mis reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on enne kõnealuse õigusakti vastuvõtmist üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–6 ei kohaldata, välja arvatud juhul, kui liidu õiguses on teisiti sätestatud.

10.Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 40

Eelnev konsulteerimine

1.Vastutav töötleja konsulteerib enne andmete töötlemist Euroopa Andmekaitseinspektoriga, kui artikli 39 kohasest andmekaitsealasest mõjuhinnangust nähtub, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole võimalik olemasoleva tehnoloogia ja rakendamiskulude seisukohast mõistlike meetmetega leevendada. Vastutav töötleja küsib eelneva konsulteerimise vajaduse kohta nõu andmekaitseametnikult.

2.Kui Euroopa Andmekaitseinspektor on seisukohal, et lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesolevat määrust, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, siis annab Euroopa Andmekaitseinspektor hiljemalt kaheksa nädala jooksul alates konsulteerimise taotluse kättesaamisest vastutavale töötlejale ja asjakohasel juhul volitatud töötlejale kirjalikult nõu ja ta võib kasutada artiklis 59 osutatud õigusi. Seda tähtaega võib pikendada kuue nädala võrra, arvestades kavandatava isikuandmete töötlemise keerukust. Euroopa Andmekaitseinspektor teavitab pikendatud tähtaja kohaldamise korral vastutavat töötlejat ja asjakohasel juhul volitatud töötlejat kõigist sellistest pikendamistest ühe kuu jooksul alates konsulteerimise taotluse kättesaamisest, sealhulgas viivituse põhjustest. Need tähtajad võib peatada seniks, kuni Euroopa Andmekaitseinspektor on saanud kogu teabe, mida ta on küsinud seoses konsulteerimisega.

3.Euroopa Andmekaitseinspektoriga lõike 1 kohaselt konsulteerimisel esitab vastutav töötleja Euroopa Andmekaitseinspektorile järgmise teabe:

a)kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad;

b)kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)andmekaitseametniku kontaktandmed;

e)artiklis 39 sätestatud andmekaitsealane mõjuhinnang; ning

f)kogu muu Euroopa Andmekaitseinspektori taotletud teave.

4.Komisjon võib rakendusakti abil määrata kindlaks juhtumite loetelu, mille korral peavad vastutavad töötlejad konsulteerima Euroopa Andmekaitseinspektoriga ja saama talt eelneva loa, kui vastutav töötleja kavatseb töödelda isikuandmeid vastutava töötleja poolt avalikes huvides täidetava ülesande raames, mis hõlmab sellist isikuandmete töötlemist seoses sotsiaalkaitse ja rahvatervisega

4. JAGU

TEAVE JA SEADUSANDLIK KONSULTEERIMINE

Artikkel 41

Teave

Liidu institutsioonid ja asutused teatavad Euroopa Andmekaitseinspektorile selliste isikuandmete töötlemisega seotud haldusmeetmete või sise-eeskirjade koostamisest, mis hõlmavad liidu institutsiooni või asutust eraldi või koos teistega.

Artikkel 42

Seadusandlik konsulteerimine

1.Komisjon konsulteerib Euroopa Andmekaitseinspektoriga pärast seadusandliku akti ettepanekute ja nõukogu soovituste või ettepanekute vastuvõtmist vastavalt Euroopa Liidu toimimise lepingu artiklile 218 ning koostades delegeeritud õigusakte ja rakendusakte, mis mõjutavad üksikisikute õiguste ja vabaduste kaitset seoses isikuandmete töötlemisega.

2.Kui lõikes 1 osutatud õigusakt on seoses isikuandmete töötlemisega üksikisikute õiguste ja vabaduste kaitse seisukohast eriti oluline, võib komisjon konsulteerida ka Euroopa Andmekaitsenõukoguga. Sellistel juhtudel koordineerivad Euroopa Andmekaitseinspektor ja Euroopa Andmekaitsenõukogu oma tegevust ühisarvamuse esitamisel.

3.Lõigetes 1 ja 2 osutatud nõuanne esitatakse kirjalikult hiljemalt kaheksa nädala jooksul alates lõigetes 1 ja 2 osutatud konsulteerimise taotluse kättesaamisest. Kiireloomuliste või muude juhtumite puhul võib komisjon tähtaega lühendada.

4.Kõnealust artiklit ei kohaldata kui komisjon peab tulenevalt määrusest (EL) 2016/679 konsulteerima Euroopa Andmekaitsenõukoguga.

5. JAGU

SÜÜDISTUSTELE VASTAMISE KOHUSTUS

Artikkel 43

Süüdistustele vastamise kohustus

Kui Euroopa Andmekaitseinspektor kasutab artikli 59 lõike 2 punktides a, b ja c sätestatud volitusi, teavitab asjaomane vastutav töötleja või volitatud töötleja Euroopa Andmekaitseinspektorit oma seisukohtadest mõistliku tähtaja jooksul, mille määrab kindlaks Euroopa Andmekaitseinspektor, võttes arvesse iga juhtumi asjaolusid. Vastuses kirjeldatakse ka Euroopa Andmekaitseinspektori märkustega seoses rakendatud meetmeid, kui neid on võetud.

6. JAGU

ANDMEKAITSEAMETNIK

Artikkel 44

Andmekaitseametniku määramine

1.Iga liidu institutsiooni või asutus määrab andmekaitseametniku.

2.Liidu institutsioonid ja asutused võivad määrata mitme institutsiooni või asutuse peale ühe andmekaitseametniku olenevalt nende organisatsioonilisest struktuurist ja suurusest.

3.Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige eksperditeadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 46 osutatud ülesandeid.

4.Andmekaitseametnik võib olla liidu institutsiooni või asutuse koosseisuline töötaja või täita ülesandeid teenuslepingu alusel.

5.Liidu institutsioonid ja asutused avaldavad andmekaitseametniku kontaktandmed ning teatavad need Euroopa Andmekaitseinspektorile.

Artikkel 45

Andmekaitseametniku ametiseisund

1.Liidu institutsioonid ja asutused tagavad andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.

2.Liidu institutsioonid ja asutused toetavad andmekaitseametnikku artiklis 46 osutatud ülesannete täitmisel, andes talle nende ülesannete täitmiseks ja eksperditeadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja isikuandmete töötlemise toimingutele.

3.Liidu institutsioonid ja asutused tagavad, et andmekaitseametnik ei saa nende ülesannete täitmise suhtes juhiseid. Vastutav töötleja või volitatud töötleja ei saa teda tema ülesannete täitmise eest ametist vabastada ega karistada. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

4.Andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ning nende käesolevast määrusest tulenevate õiguste kasutamisega.

5.Andmekaitseametniku ning tema personali suhtes kehtib tema ülesannete täitmisel vastavalt liidu õigusele saladuse hoidmise või konfidentsiaalsuse nõue.

6.Andmekaitseametnik võib täita muid ülesandeid ja kohustusi. Vastutav töötleja või volitatud töötleja tagab, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti.

7.Vastutav töötleja, volitatud töötleja, asjaomane personalikomitee ja iga üksikisik võib andmekaitseametnikuga väljaspool ametlikke kanaleid konsulteerida kõikides käesoleva määruse tõlgendamise või kohaldamisega seotud küsimustes. Keegi ei tohi kannatada seepärast, et ta juhtis pädeva andmekaitseametniku tähelepanu väidetavale käesoleva määruse sätete rikkumisele.

8.Andmekaitseametnik määratakse ametisse kolmeks kuni viieks aastaks ning teda võib ametisse tagasi nimetada. Andmekaitseametniku ametisse määranud liidu institutsioon või asutus võib ta ametikohalt vabastada üksnes Euroopa Andmekaitseinspektori nõusolekul, kui ta ei vasta enam oma tööülesannete täitmiseks vajalikele tingimustele.

9.Pärast ametissemääramist registreerib andmekaitseametniku ametisse määranud liidu institutsioon või asutus ta Euroopa Andmekaitseinspektori juures.

Artikkel 46

Andmekaitseametniku ülesanded

1.Andmekaitseametnikul on järgmised ülesanded:

(a)teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad käesolevast määrusest ja muudest liidu andmekaitsenormidest;

(b)tagada sõltumatul viisil käesoleva määruse kohaldamine oma institutsioonis, jälgida käesoleva määruse, muude kohaldatavate andmekaitset käsitlevaid sätteid sisaldavate liidu õigusaktide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;

(c)tagada, et andmesubjekte teavitataks nende õigustest ja kohustustest vastavalt käesolevale määrusele;

(d)anda taotluse korral nõu seoses teatamise vajalikkuse ja isikuandmetega seotud rikkumistest teavitamisega vastavalt artiklitele 37 ja 38;

(e)anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist vastavalt artiklile 39 ning konsulteerida Euroopa Andmekaitseinspektoriga, kui tekib kahtlusi seoses vajadusega teostada andmekaitsealane mõjuhinnang;

(f)anda taotluse korral nõu seoses vajadusega konsulteerida eelnevalt Euroopa Andmekaitseinspektoriga vastavalt artiklile 40 ning konsulteerida Euroopa Andmekaitseinspektoriga, kui tekib kahtlusi seoses vajadusega teostada andmekaitsealane mõjuhinnang;

(g)vastata Euroopa Andmekaitseinspektori arupärimistele ning teha Euroopa Andmekaitseinspektoriga enda initsiatiivil või tema taotlusel oma pädevuse piires koostööd ning temaga konsulteerida;

2.Andmekaitseametnik võib esitada vastutavale töötlejale ja volitatud töötlejale andmekaitse parandamiseks praktilisi soovitusi ning anda neile andmekaitset käsitlevate sätete kohaldamist käsitlevates küsimustes nõu. Lisaks võib ta omal algatusel või vastutava töötleja või volitatud töötleja, asjaomase personalikomitee või iga üksikisiku taotlusel uurida tema kohustustega otseselt seotud ning talle teatavaks saanud küsimusi või juhtumeid ja anda tulemuste kohta aru uurimise taotlejale või vastutavale töötlejale või volitatud töötlejale.

3.Iga liidu institutsioon või asutus võtab vastu täiendava andmekaitseametnikku käsitleva rakenduseeskirja. Rakenduseeskiri hõlmab eelkõige andmekaitseametniku tööülesandeid, kohustusi ja volitusi.

V PEATÜKK

Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele

Artikkel 47

Edastamise üldpõhimõtted

Töödeldavate või pärast kolmandale riigile või rahvusvahelisele organisatsioonile edastamist töötlemiseks ette nähtud isikuandmete edastamine toimub ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kooskõlas käesoleva määruse teiste sätetega käesolevas peatükis sätestatud tingimused, sealhulgas juhul, kui kolmas riik või rahvusvaheline organisatsioon saadab isikuandmed edasi muule kolmandale riigile või rahvusvahelisele organisatsioonile. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute kaitse taset ei kahjustata.

Artikkel 48

Edastamine kaitse piisavuse otsuse alusel

1.Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on tulenevalt määruse (EL) 2016/679 artikli 45 lõikest 3 teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab kaitse piisava taseme, ning isikuandmeid edastatakse üksnes vastutava töötleja pädevusse kuuluvate ülesannete täitmiseks.

2.Liidu institutsioonid ja asutused teavitavad komisjoni ja Euroopa Andmekaitseinspektorit juhtudest, kus kõnealune kolmas riik või rahvusvaheline organisatsioon nende arvates ei taga nõuetekohasel tasemel kaitset lõike 1 tähenduses.

3.Kui komisjon leiab määruse (EL) 2016/679 artikli 45 lõigete 3 ja 5 kohaselt, et kolmas riik või rahvusvaheline organisatsioon tagab või ei taga enam nõuetekohasel tasemel kaitset, võtavad liidu institutsioonid ja asutused komisjoni otsuste täitmiseks vajalikud meetmed.

Artikkel 49

Edastamine asjakohaste kaitsemeetmete kohaldamisel

1.Määruse (EL) 2016/679 artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.

2.Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma Euroopa Andmekaitseinspektorilt mingit eriluba taotlemata ette näha:

(a)õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

(b)komisjoni poolt artikli 70 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

(c)Euroopa Andmekaitseinspektori poolt vastu võetud ja komisjoni poolt artikli 70 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

(d)siduvate kontsernisiseste eeskirjade, toimimisjuhendite ja määruse (EL) 2016/679 artikli 46 lõike 2 punktidest b, e ja f tulenevate sertifitseerimismehhanismidega, kui volitatud töötleja ei ole liidu institutsioon või asutus.

3.Euroopa Andmekaitseinspektori loal võib lõikes 1 osutatud asjakohased kaitsemeetmed sätestada ka eelkõige:

(a)vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

(b)sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

4.Liidu institutsioonid ja asutused teavitavad Euroopa Andmekaitseinspektorit juhtumite liikidest, mille puhul on käesolevat artiklit kohaldatud.

5.Euroopa Andmekaitseinspektori poolt määruse (EÜ) nr 45/2001 artikli 9 lõike 7 alusel antud load jäävad kehtima, kuni Euroopa Andmekaitseinspektor neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab.

Artikkel 50

Andmete edastamine või avaldamine juhtudel, kui see ei ole liidu õiguse kohaselt lubatud

Kolmanda riigi kohtu või haldusasutuse otsust, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist, võib tunnustada ja selle mis tahes viisil täitmisele pöörata üksnes siis, kui kõnealune otsus põhineb nõude esitanud kolmanda riigi ja liidu vahel kehtival rahvusvahelisel lepingul, näiteks vastastikuse õigusabi lepingul, ilma et see piiraks muid käesoleva peatüki kohaseid edastamise aluseid.

Artikkel 51

Erandid konkreetsetes olukordades

1.Määruse (EL) 2016/679 artikli 45 lõike 3 kohase otsuse või artikli 49 kohaste asjaomaste kaitsemeetmete puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult ühel järgmistest tingimustest:

(a)andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

(b)edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

(c)edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

(d)edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

(e)edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

(f)edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma või

(g)edastamine tehakse registrist, mis liidu õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, mil konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu õigusega ette nähtud.

2.Lõike 1 esimese lõigu punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid ega kõiki isikuandmete liike, välja arvatud juhul, kui see on liidu õigusega lubatud. Kui register on ette nähtud tutvumiseks õigustatud huviga isikutele, toimub edastamine vaid nende isikute taotlusel või juhul, kui nemad on vastuvõtjad.

3.Lõike 1 punktis d osutatud avalik huvi on tunnustatud liidu õiguses.

4.Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu õigusega selgesõnaliselt seada piirangud eri liiki isikuandmete edastamiseks kolmandale riigile või rahvusvahelisele organisatsioonile.

5.Liidu institutsioonid ja asutused teavitavad Euroopa Andmekaitseinspektorit juhtumite liikidest, mille puhul on käesolevat artiklit kohaldatud.

Artikkel 52

Isikuandmete kaitseks tehtav rahvusvaheline koostöö

Euroopa Andmekaitseinspektor võtab koostöös komisjoni ja Euroopa Andmekaitsenõukoguga kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et:

(a)töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusa täitmise tagamist;

(b)osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitsemeetmeid ning muid põhiõigusi ja -vabadusi;

(c)kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

(d)edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvuse osas valitsevate lahkarvamuste küsimuses.

VI PEATÜKK

EUROOPA ANDMEKAITSEINSPEKTOR

Artikkel 53

Euroopa Andmekaitseinspektor

1.Käesolevaga asutatakse Euroopa Andmekaitseinspektor.

2.Euroopa Andmekaitseinspektor vastutab selle eest, et liidu institutsioonid ja asutused tagaksid isikuandmete töötlemisel füüsiliste isikute põhiõigused ja -vabadused, eelkõige nende õiguse andmete kaitsele.

3.Euroopa Andmekaitseinspektori ülesanne on jälgida ja tagada, et kohaldataks käesoleva määruse ning teiste liidu õigusaktide sätteid, mis käsitlevad füüsiliste isikute põhiõiguste ja -vabaduste kaitsmist isikuandmete töötlemisel liidu institutsioonides või asutustes, samuti liidu institutsioonide ja asutuste ning andmesubjektide nõustamine kõikides isikuandmete töötlemisega seotud küsimustes. Selleks täidab Euroopa Andmekaitseinspektor artiklis 58 sätestatud ülesandeid ja kasutab talle artikliga 59 antud volitusi.

Artikkel 54

Euroopa Andmekaitseinspektori ametisse nimetamine

1.Euroopa Andmekaitseinspektori nimetavad ametisse Euroopa Parlament ja nõukogu ühisel kokkuleppel viieks aastaks, lähtudes komisjoni poolt pärast avalikku kandideerimiskutset koostatud nimekirjast. Kandideerimiskutse võimaldab esitada taotluse kõikidel huvitatud isikutel üle kogu liidu. Komisjoni koostatud kandidaatide nimekiri on avalik. Komisjoni koostatud nimekirja alusel võib Euroopa Parlamendi pädev komitee otsustada korraldada oma eelistuse väljendamiseks kuulamise.

2.Komisjoni koostatud nimekiri, millest Euroopa Andmekaitseinspektor valitakse, koosneb isikutest, kelle sõltumatus on väljaspool kahtlust ning kelle puhul tunnustatakse Euroopa Andmekaitseinspektori ülesannete täitmiseks vajalike kogemuste ja oskuste olemasolu, näiteks seetõttu, et nad kuuluvad või on kuulunud määruse (EL) 2016/679 artiklis 41 osutatud järelevalveasutusse.

3.Euroopa Andmekaitseinspektorit võib ühe korra uuesti ametisse nimetada.

4.Euroopa Andmekaitseinspektori ülesannete täitmine peatub järgmistel asjaoludel:

(a)kui Euroopa Andmekaitseinspektor asendatakse;

(b) kui Euroopa Andmekaitseinspektor astub tagasi;

(c)kui Euroopa Andmekaitseinspektor vabastatakse või tagandatakse ametist.

5.Euroopa Liidu Kohus võib Euroopa Andmekaitseinspektori Euroopa Parlamendi, nõukogu või komisjoni taotlusel ametist vabastada või pensioni ja muude seda asendavate soodustuste saamise õigusest ilma jätta, kui ta ei vasta enam oma ülesannete täitmiseks vajalikele tingimustele või kui ta leitakse olevat süüdi tõsistes üleastumistes.

6.Tavalise asendamise või vabatahtliku ametist lahkumise korral jääb Euroopa Andmekaitseinspektor ametisse seniks, kui talle on määratud asendaja.

7.Euroopa Andmekaitseinspektori suhtes kohaldatakse Euroopa Liidu privileegide ja immuniteetide protokolli artikleid 11–14 ja 17.

Artikkel 55

Euroopa Andmekaitseinspektori ülesannete täitmist, personali ja rahalisi vahendeid reguleerivad määrused ja üldtingimused

1.Euroopa Andmekaitseinspektor on töötasu, lisatasude, vanaduspensioni ja muude töötasu asemel antavate soodustuste määramisel võrdne Euroopa Liidu Kohtu kohtunikuga.

2.Eelarvepädevad institutsioonid tagavad, et Euroopa Andmekaitseinspektorile antakse tema ülesannete täitmiseks vajalikud inimressursid ja rahalised vahendid.

3.Euroopa Andmekaitseinspektori eelarve esitatakse Euroopa Liidu üldeelarve IX jaos eraldi rubriigis.

4.Euroopa Andmekaitseinspektorit abistab sekretariaat. Sekretariaadi ametnikud ja muud personali liikmed nimetab ametisse Euroopa Andmekaitseinspektor ning nad alluvad Euroopa Andmekaitseinspektorile. Nad alluvad üksnes tema juhtimisele. Nende arv määratakse igal aastal kindlaks eelarvemenetluse käigus.

5.Euroopa Andmekaitseinspektori sekretariaadi ametnike ja teiste töötajate suhtes kohaldatakse Euroopa Liidu ametnike ja teiste teenistujate suhtes kohaldatavaid eeskirju ja määrusi.

6.Euroopa Andmekaitseinspektori asukoht on Brüsselis.

Artikkel 56

Sõltumatus

1.Euroopa Andmekaitseinspektor tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2.Euroopa Andmekaitseinspektor on oma käesoleva määrusega kooskõlas olevate ülesannete täitmisel ja volituste kasutamisel vaba nii otsestest kui ka kaudsetest välistest mõjutustest ning ei küsi ega võta vastu juhiseid mitte kelleltki.

3.Euroopa Andmekaitseinspektor hoidub oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul tasustatud või tasustamata ametikohal.

4.Euroopa Andmekaitseinspektor käitub pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes väärikalt ning diskreetselt.

Artikkel 57

Ametisaladus

Euroopa Andmekaitseinspektor ja ta personal on kohustatud nii ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust igasuguse konfidentsiaalse teabe suhtes, mis neile ametikohustuste täitmisel on teatavaks saanud.

Artikkel 58

Ülesanded

1.Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, on Euroopa Andmekaitseinspektori ülesanded järgmised:

(a)jälgib käesoleva määruse ja muude selliste liidu õigusaktide kohaldamist ja tagab nende kohaldamise, mis käsitlevad füüsiliste isikute kaitsmist isikuandmete töötlemisel liidu institutsioonides või asutustes, välja arvatud isikuandmete töötlemisel Euroopa Liidu Kohtus, kui kohus täidab õigusemõistmise funktsiooni;

(b)suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

(c)edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

(d)annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd liikmesriikide järelevalveasutustega;

(e)käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 67 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

(f)teostab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

(g)nõustab kõiki liidu institutsioone ja asutusi nende õiguslike ja haldusmeetmetega seoses, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset seoses isikuandmete töötlemisega;

(h)jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogia arengut;

(i)võtab vastu artikli 29 lõikes 8 ja artikli 49 lõike 2 punktis c osutatud lepingu tüüptingimused;

(j)koostab ja säilitab loetelu seoses artikli 39 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

(k)osaleb määruse (EL) 2016/679 artikliga 68 loodud Euroopa Andmekaitsenõukogu tegevuses;

(l)tagab vastavalt määruse (EL) 2016/679 artiklile 75 Euroopa Andmekaitsenõukogu sekretariaadi töö;

(m)annab nõu artikli 40 lõikes 2 osutatud isikuandmete töötlemise osas;

(n)kinnitab artikli 49 lõikes 3 osutatud lepinguklauslid ja -sätted;

(o)peab asutusesisest registrit käesoleva määruse rikkumiste ja artikli 59 lõike 2 kohaselt võetud meetmete kohta;

(p)täidab mis tahes muid isikuandmete kaitsega seotud ülesandeid ning

(q)kehtestab oma töökorra.

2.Euroopa Andmekaitseinspektor muudab lõike 1 punktis e osutatud kaebuste esitamise lihtsamaks, koostades kaebuse esitamise vormi, mida saab täita ka elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3.Euroopa Andmekaitseinspektor täidab oma ülesandeid andmesubjekti jaoks tasuta.

4.Kui taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib Euroopa Andmekaitseinspektor keelduda taotlust menetlemast. Euroopa Andmekaitseinspektor on kohustatud tõendama taotluse selgelt põhjendamatut või ülemäärast iseloomu.

Artikkel 59

Volitused

1.Euroopa Andmekaitseinspektoril on järgmised uurimisvolitused:

(a)anda korraldus, et vastutav töötleja või volitatud töötleja annab teavet, mis on vajalik andmekaitseinspektori ülesannete täitmiseks;

(b)viia läbi uurimisi andmekaitseauditi kujul;

(c)teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

(d)saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik andmekaitseinspektori ülesannete täitmiseks, ning

(e)saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2.Euroopa Andmekaitseinspektoril on järgmised parandusvolitused:

(a)hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

(b)teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

(c)edastada asi arutamiseks asjaomasele vastutavale töötlejale või volitatud töötlejale või vajaduse korral Euroopa Parlamendile, nõukogule ja komisjonile;

(d)anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

(e)anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

(f)anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

(g)kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

(h)anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 18, 19 ja 20 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 19 lõike 2 ja artikli 21 kohaselt avaldatud;

(i)määrata artikli 66 kohaselt trahve, kui liidu institutsioon või asutus ei täida käesolevas lõikes osutatud meedet, sõltuvalt iga konkreetse juhtumi asjaoludest;

(j)anda korraldus peatada liikmesriigis või kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3.Euroopa Andmekaitseinspektoril on järgmised lubavad ja nõuandvad volitused:

(a)nõustada andmesubjekte nende õiguste kasutamisel;

(b)nõustada vastutavat töötlejat kooskõlas artiklis 40 osutatud eelneva konsulteerimise menetlusega;

(c)esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi liidu institutsioonidele ja asutustele ning avalikkusele;

(d)võtta vastu artikli 29 lõikes 8 ja artikli 49 lõike 2 punktis c osutatud standardsed andmekaitseklauslid;

(e)kinnitada artikli 49 lõike 3 punktis a osutatud lepingutingimused;

(f)kinnitada artikli 49 lõike 3 punktis b osutatud halduskokkulepped.

4.Euroopa Andmekaitseinspektorile käesoleva artikli kohaselt antud volituste kasutamise suhtes kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu õiguses.

5.Euroopa Andmekaitseinspektoril on aluslepingus sätestatud tingimustel volitused edastada asi arutamiseks Euroopa Liidu Kohtusse ning sekkuda Euroopa Liidu Kohtusse antud hagide arutamisse.

Artikkel 60

Tegevusaruanne

1.Euroopa Andmekaitseinspektor esitab igal aastal Euroopa Parlamendile, nõukogule ja komisjonile oma tegevuse kohta aruande ning samaaegselt ka avaldab selle.

2.Euroopa Andmekaitseinspektor edastab tegevusaruande teistele liidu institutsioonidele ja asutustele, kes võivad avaldada arvamust seoses aruande võimaliku läbivaatamisega Euroopa Parlamendis.

VII PEATÜKK

KOOSTÖÖ JA JÄRJEPIDEVUS

Artikkel 61

Koostöö riiklike järelevalveasutustega

Euroopa Andmekaitseinspektor teeb koostööd määruse (EL) 2016/679 artikli 41 ja direktiivi (EL) 2016/680 artikli 51 alusel loodud järelevalveasutustega (edaspidi „riiklikud järelevalveasutused“) ning nõukogu otsuse 2009/917/JSK 21 artikli 25 alusel loodud ühise järelevalveasutusega ulatuses, mis on asutustele vajalik nende ülesannete täitmiseks, eelkõige esitades teineteisele asjaomast teavet, taotledes riiklikelt järelevalveasutustelt oma volituste kasutamist või vastates selliste asutuste esitatud taotlustele.

Artikkel 62

Euroopa Andmekaitseinspektori ja riiklike järelevalveasutuste koordineeritud järelevalve

1.Kui liidu õigusakt osutab käesolevale artiklile, teeb Euroopa Andmekaitseinspektor riiklike järelevalveasutustega aktiivset koostööd, et tagada suurte IT-süsteemide või liidu talituste tõhus järelevalve.

2.Euroopa Andmekaitseinspektor tegutseb oma pädevuse piires ja oma vastutuse raames, vahetab vajaduse korral asjakohast teavet, abistab auditite ja kontrollide tegemisel, analüüsib käesoleva määruse ja teiste kohaldatavate liidu õigusaktide tõlgendamisel või kohaldamisel tekkivaid raskusi, uurib sõltumatu järelevalve või andmesubjekti õiguste teostamisega seotud probleeme, koostab ühtlustatud ettepanekuid probleemide lahendamiseks ja suurendab andmekaitseõiguste alast teadlikkust koos riiklike järelevalveasutustega.

3.Lõikes 2 sätestatud eesmärkidel kohtub Euroopa Andmekaitseinspektor riiklike järelevalveasutustega Euroopa Andmekaitsenõukogu raames vähemalt kaks korda aastas. Euroopa Andmekaitsenõukogu kannab nende koosolekute kulud ja vastutab nende korraldamise eest. Esimesel koosolekul võetakse vastu töökord. Vastavalt vajadusele töötatakse ühiselt välja täiendavad töömeetodid.

4.Euroopa Andmekaitsenõukogu saadab iga kahe aasta tagant Euroopa Parlamendile, nõukogule ja komisjonile koordineeritud järelevalvet käsitleva ühisaruande.

VIII PEATÜKK

ÕIGUSKAITSEVAHENDID, VASTUTUS JA KARISTUSED

Artikkel 63

Õigus esitada Euroopa Andmekaitseinspektorile kaebus

1.Ilma et see piiraks õiguslike, halduslike või kohtuväliste kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada Euroopa Andmekaitseinspektorile kaebus, kui andmesubjekt leiab, et temaga seotud isikuandmete töötlemine rikub käesolevat määrust.

2.Euroopa Andmekaitseinspektor teavitab andmesubjekti kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 64 kohasest õiguskaitsevahendi kasutamise võimalusest.

3.Kui Euroopa Andmekaitseinspektor ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul esitatud kaebuse menetlemise käigust või tulemustest, loetakse kaebus tagasi lükatuks.

Artikkel 64

Õigus tõhusale õiguskaitsevahendile

Kõikide käesoleva määruse sätetega seotud vaidluste, sealhulgas kahjunõuete lahendamine kuulub Euroopa Liidu Kohtu pädevusse.

Artikkel 65

Õigus hüvitisele

Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on aluslepingutes sätestatud tingimuste kohaselt õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

Artikkel 66

Trahvid

1.Euroopa Andmekaitseinspektor võib määrata liidu institutsioonile või asutusele trahvi sõltuvalt konkreetse juhtumi asjaoludest, kui liidu institutsioon või asutus ei suuda täita artikli 59 lõike 2 punktides d-h ja punktis j osutatud Euroopa Andmekaitseinspektori korraldust. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

(a)rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

(b)liidu institutsiooni või asutuse poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

(c)liidu institutsiooni või asutuse vastutuse aste, võttes arvesse nende poolt artiklite 27 ja 33 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

(d)liidu institutsiooni või asutuse eelnevad sarnased rikkumised;

(e)Euroopa Andmekaitseinspektoriga tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

(f)rikkumisest mõjutatud isikuandmete liigid;

(g)millisel viisil sai Euroopa Andmekaitseinspektor rikkumisest teada, eelkõige kas liidu institutsioon või asutus teatas rikkumisest ja millisel määral ta seda tegi;

(h)kui asjaomase institutsiooni või asutuse suhtes on samas küsimuses varem võetud artiklis 59 osutatud meetmeid, siis nende meetmete järgimine.

Trahvi määramise menetlus tuleks läbi viia mõistliku aja jooksul vastavalt juhtumi asjaoludele ning võttes arvesse artiklis 69 osutatud asjakohaseid meetmeid ja menetlusi.

2.Artiklitest 8, 12, 27, 28, 29, 30, 31, 32, 33, 37, 38, 39, 40, 44, 45 ja 46 tulenevate liidu institutsiooni või asutuse kohustuste rikkumise suhtes kohaldatakse vastavalt lõikele 1 trahve, mille suurus on kuni 25 000 eurot rikkumise kohta ning aastas kokku kuni 250 000 eurot.

3.Järgmiste sätete rikkumise suhtes liidu institutsiooni või asutuse poolt kohaldatakse vastavalt lõikele 1 trahve, mille suurus on kuni 50 000 eurot rikkumise kohta ja aastas kokku kuni 500 000 eurot:

(a)töötlemise aluspõhimõtted, sealhulgas artiklite 4, 5, 7 ja 10 kohased nõusoleku andmise tingimused;

(b)andmesubjektide õigused artiklite 14–24 alusel;

(c)isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 47–51 alusel.

4.Kui liidu institutsioon või asutus rikub samade või seonduvate või jätkuvate isikuandmete töötlemise toimingute puhul mitut käesoleva määruse sätet või käesoleva määruse sama sätet mitu korda, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

5.Enne otsuse tegemist käesoleva artikli alusel annab Euroopa Andmekaitseinspektor liidu institutsioonile või asutusele, kelle suhtes inspektor on menetluse algatanud, võimaluse olla ära kuulatud küsimustes, mille kohta inspektor on esitanud vastuväiteid. Euroopa Andmekaitseinspektori otsused toetuvad üksnes sellistele vastuväidetele, mille kohta asjaomastel osapooltel on olnud võimalik esitada oma seisukoht. Kaebuste esitajad võtavad menetlusest aktiivselt osa.

6.Menetluse käigus tagatakse täielikult asjaomaste osapoolte õigus kaitsele. Neil on õigus nõuda juurdepääsu Euroopa Andmekaitseinspektori toimikule tingimusel, et võetakse arvesse üksikisikute või ettevõtjate õigustatud huvi kaitsta oma isikuandmeid või ärisaladusi.

7.Käesoleva artikli alusel määratud trahvidega kogutud summad kantakse Euroopa Liidu üldeelarvesse.

Artikkel 67

Andmesubjektide esindamine

Andmesubjektil on õigus volitada esitama oma nimel Euroopa Andmekaitseinspektorile kaebuse ning kasutama tema nimel artiklis 63 osutatud õigusi ja õigust saada artiklis 65 osutatud hüvitist mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liidu või liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

Artikkel 68

Liidu töötajate kaebused

Iga liidu institutsiooni või asutuse töötaja võib esitada Euroopa Andmekaitseinspektorile väljaspool ametlikke kanaleid kaebuse käesoleva määruse sätete väidetava rikkumise kohta. Keegi ei tohi kannatada seepärast, et ta esitas Euroopa Andmekaitseinspektorile kaebuse määruse sätete väidetava rikkumise kohta.

Artikkel 69

Sanktsioonid

Käesoleva määrusega sätestatud kohustuste tahtliku või hooletusest tingitud täitmatajätmise korral kohaldatakse Euroopa Liidu ametniku või teenistuja suhtes distsiplinaar- või muud menetlust Euroopa Liidu ametnike personalieeskirjadega või Euroopa Liidu muude teenistujate teenistustingimustega määratud korras.

IX PEATÜKK

RAKENDUSAKTID

Artikkel 70

Komiteemenetlus

1.Komisjoni abistab määruse (EL) 2016/679 artikli 93 alusel loodud komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2.Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

X PEATÜKK

LÕPPSÄTTED

Artikkel 71

Määruse (EÜ) nr 45/2001 ja otsuse nr 1247/2002/EÜ kehtetuks tunnistamine

Määrus (EÜ) nr 45/2001 22 ja otsus nr 1247/2002/EÜ 23 tunnistatakse kehtetuks alates 25. maist 2018. Viiteid kehtetuks tunnistatud määrusele ja otsusele käsitatakse viidetena käesolevale määrusele.

Artikkel 72

Üleminekumeetmed

1.Käesolev määrus ei mõjuta Euroopa Parlamendi ja nõukogu otsust 2014/886/EL 24 ja Euroopa Andmekaitseinspektori ning inspektori asetäitja praegust ametiaega.

2.Inspektori asetäitja on töötasu, lisatasude, vanaduspensioni ja muude töötasu asemel antavate soodustuste määramisel võrdne Euroopa Liidu Kohtu kohtusekretäriga.

3.Käesoleva määruse artikli 54 lõikeid 4, 5 ja 7 ning artikleid 56 ja 57 kohaldatakse praeguse inspektori asetäitja suhtes kuni tema ametiaja lõpuni, st 5. detsembrini 2019.

4.Inspektori asetäitja aitab Euroopa Andmekaitseinspektorit kõigi tema ülesannete täitmisel ning asendab Euroopa Andmekaitseinspektorit, kui ta puudub või ei saa neid ülesandeid täita, kuni inspektori asetäitja ametiaja lõppemiseni 5. detsembril 2019.

Artikkel 73

Jõustumine ja kohaldamine

1.Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2.Seda kohaldatakse alates 25. maist 2018.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel,

Euroopa Parlamendi nimel Nõukogu nimel

president eesistuja

FINANTSSELGITUS

1.ETTEPANEKU/ALGATUSE RAAMISTIK

1.1.Ettepaneku/algatuse nimetus

1.2.Asjaomased poliitikavaldkonnad vastavalt tegevuspõhise juhtimise ja eelarvestamise struktuurile:

1.3.Ettepaneku/algatuse liik

1.4.Eesmärgid

1.5.Ettepaneku/algatuse põhjendus

1.6.Meetme kestus ja finantsmõju

1.7.Kavandatud eelarve täitmise viisid

2.HALDUSMEETMED

2.1.Järelevalve ja aruandluse eeskirjad

2.2.Haldus- ja kontrollisüsteemid

2.3.Pettuse ja eeskirjade eiramise ärahoidmise meetmed

3.ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU

3.1.Mitmeaastase finantsraamistiku rubriigid ja kulude eelarveread, millele mõju avaldub

3.2.Hinnanguline mõju kuludele

3.2.1.Üldine hinnanguline mõju kuludele

3.2.2.Hinnanguline mõju tegevusassigneeringutele

3.2.3.Hinnanguline mõju haldusassigneeringutele

3.2.4.Kooskõla kehtiva mitmeaastase finantsraamistikuga

3.2.5.Kolmandate isikute rahaline osalus

3.3.Hinnanguline mõju tuludele

FINANTSSELGITUS

1.ETTEPANEKU/ALGATUSE RAAMISTIK

1.1.Ettepaneku/algatuse nimetus

Ettepanek: Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ.

1.2.Asjaomased poliitikavaldkonnad vastavalt tegevuspõhise juhtimise ja eelarvestamise (ABM/ABB 25 ) struktuurile

Õigusküsimused – isikuandmete kaitse

1.3.Ettepaneku/algatuse liik

◻ Ettepanek/algatus käsitleb uut meedet

◻ Ettepanek/algatus käsitleb uut meedet, mis tuleneb katseprojektist / ettevalmistavast meetmest 26

–Ettepanek/algatus käsitleb olemasoleva meetme pikendamist

◻ Ettepanek/algatus käsitleb ümbersuunatud meedet

1.4.Eesmärgid

1.4.1.Komisjoni mitmeaastased strateegilised eesmärgid, mida ettepaneku/algatuse kaudu täidetakse

Lissaboni lepingu jõustumine ja eelkõige uue õigusliku aluse (Euroopa Liidu toimimise lepingu artikkel 16) kehtestamine annab võimaluse luua kõiki valdkondi hõlmav terviklik isikuandmete kaitse raamistik.

Liit võttis 27. aprillil 2016 vastu Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (isikuandmete kaitse üldmäärus) (EMPs kohaldatav tekst), ELT L 119, 4.5.2016, lk 1–88.

Samal päeval võttis liit vastu Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, ELT L 119, 4.5.2016, lk 89–131.

Käesoleva ettepaneku eesmärk on viia liidus lõpule tervikliku andmekaitse raamistiku loomine, ühtlustades selleks liidu institutsioonide ja asutuste suhtes kohaldatavaid andmekaitsenorme määruses (EL) 2016/679 sätestatud andmekaitsenormidega. Järjepidevuse ja sidususe tagamiseks peaksid liidu institutsioonid ja asutused kohaldama samasuguseid andmekaitsenorme kui liikmesriikide avalik sektor.

1.4.2.Erieesmärgid ning asjaomased tegevusalad vastavalt tegevuspõhise juhtimise ja eelarvestamise süsteemile

Erieesmärk nr 1:

Andmekaitsenormide järjepideva kohaldamise tagamine kogu liidus.

Erieesmärk nr 2:

Liidu institutsioonides ja asutustes praeguse andmekaitse juhtimismudeli ratsionaliseerimine.

Erieesmärk nr 3:

Liidu institutsioonides ja asutustes andmekaitsenormide parema täitmise ja nende täitmise tagamise kindlustamine.

1.4.3.Oodatavad tulemused ja mõju

Täpsustage, milline peaks olema ettepaneku/algatuse oodatav mõju abisaajatele/sihtrühmale.

Liidu institutsioonidel ja asutustel oleks vastutavate töötlejatena kasulik minna üle praegustelt andmekaitsega seotud haldusmenetlustelt (ex ante lähenemisviis) lähenemisviisile, mille raames olulisi andmekaitsenorme ning määrusega (EL) 2016/679 kehtestatud uusi andmekaitsepõhimõtteid ja kontseptsioone (ex post lähenemisviis), mida kohaldatakse kogu liidus, täidetakse tõhusalt ja mille täitmist tagatakse rangemalt.

Üksikisikud, kelle andmeid töötlevad liidu institutsioonid ja asutused, saavad paremini oma isikuandmeid kontrollida ning võivad digitaalset keskkonda rohkem usaldada. Neil on samuti õigus nõuda liidu institutsioonidelt ja asutustelt suuremat vastutust.

Euroopa Andmekaitseinspektor saab senisest enam keskenduda järelevalverolli täitmisele. Komisjoni nõustamise ülesande jaotamine määrusega (EL) 2016/679 loodud Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori vahel saab selgemaks ning välditakse kattumisi.

1.4.4.Tulemus- ja mõjunäitajad

Täpsustage, milliste näitajate alusel hinnatakse ettepaneku/algatuse elluviimist.

Näitajad hõlmavad järgmist:

Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori esitatud arvamuste arv,

andmekaitseametnike tegevuse ülevaade,

andmekaitsealaste mõjuhinnangute kasutamine,

andmesubjektide esitatud kaebuste arv,

isikuandmete kaitsega seotud rikkumiste eest vastutavatele töötlejatele määratud trahvid.

1.5.Ettepaneku/algatuse põhjendus

1.5.1.Lühi- või pikaajalises perspektiivis täidetavad vajadused

Määruses (EL) 2016/679 (artikli 2 lõige 3, artikkel 98, põhjendus 17) kutsusid liidu kaasseadusandjad üles kohandama määrust (EÜ) nr 45/2001 määruses (EL) 2016/679 sätestatud põhimõtete ja normide alusel, et luua liidus tugev ja ühtne andmekaitseraamistik ning võimaldada alustada mõlema õigusakti kohaldamist samal ajal, st 25. mail 2018.

1.5.2.ELi meetme lisaväärtus

Liidu institutsioonide ja asutuste suhtes kohaldatavaid andmekaitsenorme on võimalik kehtestada ainult ELi õigusakti kaudu.

1.5.3.Samalaadsetest kogemustest saadud õppetunnid

Käesolev ettepanek toetub määrusega (EÜ) nr 45/2001 saadud kogemustele ning selle kohaldamise hindamisele, mis teostati hindamisuuringu raames, mille välistöövõtja teostas ajavahemikul 2014. aasta septembrist 2015. aasta juunini) 27 .

1.5.4.Kooskõla ja võimalik koostoime muude asjaomaste meetmetega

Käesolev ettepanek toetub määrusele (EL) 2016/679 ning sellega viiakse lõpule liidus tugeva, järjepideva ja nüüdisaegse andmekaitseraamistiku loomine, mis on tehnoloogiliselt neutraalne ning vastab tuleviku nõuetele.

1.6.Meetme kestus ja finantsmõju

◻ Piiratud kestusega ettepanek/algatus

–◻ Ettepanek/algatus hõlmab ajavahemikku [PP/KK]AAAA–[PP/KK]AAAA

–◻ Finantsmõju avaldub ajavahemikul AAAA–AAAA

Piiramatu kestusega ettepanek/algatus

Rakendamise käivitusperiood hõlmab ajavahemikku [2017. aastast] 25. maini 2018, millele järgneb täieulatuslik rakendamine.

1.7.Ettenähtud eelarve täitmise viisid 28

Otsene eelarve täitmine komisjoni poolt

–◻ komisjoni talituste, sealhulgas tema töötajate kaudu liidu delegatsioonides;

–◻ rakendusametite kaudu

◻ Eelarve täitmine koostöös liikmesriikidega

◻ Kaudne eelarve täitmine, mille puhul eelarve täitmise ülesanded on delegeeritud:

–◻ kolmandatele riikidele või nende poolt määratud asutustele;

–◻ rahvusvahelistele organisatsioonidele ja nende esindajatele (täpsustada);

–◻ Euroopa Investeerimispangale (EIP) ja Euroopa Investeerimisfondile (EIF);

–◻ finantsmääruse artiklites 208 ja 209 nimetatud asutustele;

–◻ avalik-õiguslikele asutustele;

–◻ avalikke teenuseid osutavatele eraõiguslikele asutustele, kuivõrd nad esitavad piisavad finantstagatised;

–◻ liikmesriigi eraõigusega reguleeritud asutustele, kellele on delegeeritud avaliku ja erasektori partnerluse rakendamine ja kes esitavad piisavad finantstagatised;

–◻ isikutele, kellele on delegeeritud ELi lepingu V jaotise kohaste ÜVJP erimeetmete rakendamine ja kes on kindlaks määratud asjaomases alusaktis.

–Mitme eelarve täitmise viisi valimise korral esitage üksikasjad rubriigis „Märkused”.

Märkused

Käesolev ettepanek piirdub liidu institutsioonide ja asutustega ning mõjutab neid kõiki.

2.HALDUSMEETMED

2.1.Järelevalve ja aruandluse eeskirjad

Täpsustage tingimused ja sagedus.

Käesolev ettepanek piirdub liidu institutsioonide ja asutuste andmekaitsenormide kohaldamisega. Kõnealuste normide järelevalvet ja täitmise tagamist teostab Euroopa Andmekaitseinspektor. Järelevalve ja aruandluse eest vastutab seega Euroopa Andmekaitseinspektor. Euroopa Andmekaitseinspektoril on eelkõige käesoleva ettepaneku artikli 60 alusel kohustus esitada igal aastal Euroopa Parlamendile, nõukogule ja komisjonile tema pädevusse kuuluvate tegevuste kohta aruanne ning samal ajal see ka avaldada.

2.2.Haldus- ja kontrollisüsteemid

2.2.1.Tuvastatud ohud

Välistöövõtja teostas ajavahemikul 2014. aasta septembrist 2015. aasta juunini määruse (EÜ) nr 45/2001 kohaldamise kohta hindamisuuringu. Uuringus käsitletakse ka määruse (EL) 2016/679 põhikontseptsioonide ja põhimõtete liidu institutsioonides ja asutustes rakendamise mõju.

Uus andmekaitsemudel keskendub andmekaitsenormide tõhusale täitmisele ning nende normide tõhusale järelevalvele ja täitmise tagamisele. Selleks on vaja muuta liidu institutsioonide ja asutuste andmekaitsetava, minnes üle haldusmenetlustele toetuvalt lähenemisviisilt (ex ante) tõhusamale lähenemisviisile (ex post).

2.2.2.Teave loodud sisekontrollisüsteemi kohta

Liidu institutsioonide ja asutuste kohaldatavad kehtivad kontrollimeetodid.

2.2.3.Kontrolliga kaasnevate kulude ja sellest saadava kasu hinnang ning veariski taseme prognoos

Liidu institutsioonide ja asutuste kohaldatavad kehtivad kontrollimeetodid.

2.3.Pettuse ja eeskirjade eiramise ärahoidmise meetmed

Täpsustage rakendatavad või kavandatud ennetus- ja kaitsemeetmed.

Liidu institutsioonide ja asutuste kohaldatavad kehtivad pettuse ärahoidmise meetodid.

3.ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU

3.1.Mitmeaastase finantsraamistiku rubriigid ja kulude eelarveread, millele mõju avaldub

Olemasolevad eelarveread

Järjestage mitmeaastase finantsraamistiku rubriikide kaupa ja iga rubriigi sees eelarveridade kaupa

Mitmeaastase finantsraamistiku rubriik

Eelarverida

Kulu
liik

Rahaline osalus

Nr
[Nimetus………………………...……………]

Liigendatud/liigendamata 29

EFTA riigid 30

Kandidaatriigid 31

Kolmandad riigid

Rahaline osalus finantsmääruse artikli 21 lõike 2 punkti b tähenduses

[XX.YY.YY.YY]

Liigendatud/liigendamata

JAH/EI

Uued eelarveread, mille loomist taotletakse

Järjestage mitmeaastase finantsraamistiku rubriikide kaupa ja iga rubriigi sees eelarveridade kaupa

Mitmeaastase finantsraamistiku rubriik

Eelarverida

Kulu
liik

Rahaline osalus

Nr
[Nimetus………………………...……………]

Liigendatud/liigendamata

EFTA riigid

Kandidaatriigid

Kolmandad riigid

Rahaline osalus finantsmääruse artikli 21 lõike 2 punkti b tähenduses

[XX.YY.YY.YY]

JAH/EI

3.2.Hinnanguline mõju kuludele

Mõju käesoleva ettepaneku kuludele piirdub kuludega liidu institutsioonidele ja asutustele. Käesoleva ettepanekuga seotud kulude hindamine näitab aga siiski, et liidu institutsioonidele ja asutustele ei teki märkimisväärseid lisakulusid.

Seoses vastutavate töötlejatega liidu institutsioonides ja asutustes näitas määruse (EÜ) nr 45/2001 hindamisuuring, et nende andmekaitsega seotud tegevus vastab ligikaudu 70 täistööajale taandatud töötajale, st ligikaudu 9,3 miljonit eurot aastat. Ligikaudu 20 % nende andmekaitsega seotud tegevusest on pühendatud andmetöötlusest teavitamisele. Kõnealune tegevus jäetakse käesolevast määrusest välja, millega hoiavad liidu institutsioonid ja asutused vastutavate töötlejate pealt aastas kokku 1,922 miljonit eurot. Kõnealuse kokkuhoiu vastukaaluks suureneb vajadus vastutavate töötlejate järele käesoleva määrusega kehtestatud uute põhimõtete ja kontseptsioonide rakendamises.

Hindamisuuringu raames teostatud uuring näitas täpsemalt järgmisi tulemusi:

a) võimalikult väheste andmete kogumise põhimõtte kehtestamisel oleks liidu institutsioonidele ja asutustele minimaalne või olematu mõju;

b) läbipaistvuse põhimõtte kehtestamisel ei oleks liidu institutsioonidele ja asutustele märkimisväärset mõju;

c) ulatuslikumate teavitamiskohustuste kehtestamine tõstaks vastutavate töötlejate ja andmekaitseametnike töökoormust;

d) unustamisõiguse kehtestamisel ei oleks liidu institutsioonidele ja asutustele märkimisväärset mõju;

e) andmete ülekandmise õiguse kehtestamisega kaasneks liidu institutsioonidele ja asutustele minimaalne või olematu mõju;

f) andmekaitsealastel mõjuhinnangutel oleks vastutavate töötlejate ja andmekaitseametnike töökoormusele mõõdukalt märkimisväärne mõju, kuna mõned liidu institutsioonid ja asutused juba teostavad andmekaitsealaseid hinnanguid ning juhtumeid, kui selliseid hinnanguid teha tuleb, on piiratud arvul;

g) isikuandmetega seotud rikkumistest teatamine tõstaks vastutavate töötlejate töökoormust, kuid sellised rikkumised ei ole sagedased;

h) isikuandmete lõimitud ja vaikimisi kaitset rakendatakse juba mitmes liidu institutsioonis ja asutuses.

Lisaks sellele järeldus enne andmekaitse reformipaketi ettepaneku vastuvõtmist teostatud mõjuhindamisest, et „lõimitud andmekaitse põhimõtte kehtestamise tulemusena ei tekiks ametiasutustele ega volitatud töötlejatele halduskoormust.“ 32

Andmekaitseametnike puhul prognoositi hindamisuuringus andmekaitseametnike ja andmekaitsekoordinaatorite praeguse võrgustiku kulude ulatuseks liidu institutsioonides ja asutustes 82,9 täistööajale taandatud töötajat ehk 10,9 miljonit eurot aastas. Nad kulutavad 26 % oma andmekaitsega seotud tegevustele mõeldud ajast toimingutele, mis on käesolevast määrusest välja jäetud, st teadete koostamine (vastutavate töötlejate asemel), vastu võetud teadete läbivaatamine ning nende kohta registri pidamine ja eelkontrolli teostamine. Sellega kaasneb liidu institutsioonidele ja asutustele täiendav kokkuhoid 2,834 miljonit eurot. Lisaks sellele võimaldab käesolev määrus täiendavat kokkuhoidu, võimaldades liidu institutsioonidel ja asutustel enda töötajate kasutamise asemel andmekaitseametnike teenuseid sisse osta.

Andmekaitseametnike tegevustelt saadavat kokkuhoid kasutatakse nende kaasamiseks ülesannetesse, mis tulenevad laienenud teavitamiskohustusest, andmekaitsealastest mõjuhindamistest (piiratud juhtudel, kui see vajalikuks osutub) ning eelnevast konsulteerimisest Euroopa Andmekaitseinspektoriga (mille ulatus on palju piiratum, kui praegune eelkontrolli kohustus).

Euroopa Andmekaitseinspektori aastaeelarve on alates 2011. aastast olnud suhteliselt stabiilne ning see on ligikaudu 8 miljonit eurot. Praegu püsib järelevalve ja õigusnormide täitmise tagamise üksuse ning poliitika- ja konsulteerimisüksuse töötajate arv stabiilselt ligikaudu sama suur kui 2008. aastal. Käesolevast määrusest tulenev Euroopa Andmekaitseinspektori ulatuslikum keskendumine järelevalverollile kompenseeritakse suunatuma nõuandva rolliga ning Euroopa Andmekaitsenõukoguga kattuvate ülesannete kaotamisega. Euroopa Andmekaitseinspektori töötajate ümberpaigutamine on seetõttu võimalik teostada asutusesiseselt.

Käesolevas ettepanekus nähakse ette võimalus, et Euroopa Andmekaitseinspektor võib määrata liidu institutsioonidele ja asutustele trahve. Iga liidu institutsiooni või asutust on võimalik trahvida aastas kuni 250 000 euro ulatuses (25 000 eurot rikkumise kohta), või 500 000 euro ulatuses (50 000 eurot rikkumise kohta) käesoleva määruse raskeimate rikkumiste korral. Kõnealuseid trahve kavatsetakse kohaldada ainult kõige tõsisematel juhtudel ning siis, kui liidu institutsioon või asutus ei ole täitnud Euroopa Andmekaitseinspektori muid parandusmeetmeid. Seetõttu eeldatakse, et selliste trahvide finantsmõju on piiratud.

3.2.1.Üldine hinnanguline mõju kuludele

miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku rubriik

[Nimetus………………………...……………]

Peadirektoraat: <…….>			Aasta N 33	Aasta N+1	Aasta N+2	Aasta N+3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)	KOKKU
•Tegevusassigneeringud
Eelarverida nr	Kulukohustused	1)
	Maksed	2)
Eelarverida nr	Kulukohustused	1a)
	Maksed	2 a)
Eriprogrammide vahenditest rahastatavad haldusassigneeringud 34
Eelarverida nr		3)
<….> peadirektoraadi assigneeringud KOKKU	Kulukohustused	=1+1 a +3
	Maksed	=2+2a +3

•Tegevusassigneeringud KOKKU	Kulukohustused	4)
	Maksed	5)
•Eriprogrammide vahenditest rahastatavad haldusassigneeringud KOKKU		6)
Mitmeaastase finantsraamistiku RUBRIIGI <….> assigneeringud KOKKU	Kulukohustused	=4+ 6
	Maksed	=5+ 6

Juhul kui ettepanek/algatus mõjutab mitut rubriiki:

•Tegevusassigneeringud KOKKU	Kulukohustused	4)
	Maksed	5)
•Eriprogrammide vahenditest rahastatavad haldusassigneeringud KOKKU		6)
Mitmeaastase finantsraamistiku RUBRIIKIDE 1–4 assigneeringud KOKKU (võrdlussumma)	Kulukohustused	=4+ 6
	Maksed	=5+ 6

Mitmeaastase finantsraamistiku rubriik

„Halduskulud“

miljonites eurodes (kolm kohta pärast koma)

		Aasta N	Aasta N+1	Aasta N+2	Aasta N+3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)	KOKKU
Peadirektoraat: <…….>
•Inimressursid
•Muud halduskulud
<…> peadirektoraat KOKKU	Assigneeringud

Mitmeaastase finantsraamistiku RUBRIIGI 5
assigneeringud KOKKU

(Kulukohustuste kogusumma = maksete kogusumma)

miljonites eurodes (kolm kohta pärast koma)

		Aasta N 35	Aasta N+1	Aasta N+2	Aasta N+3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)	KOKKU
Mitmeaastase finantsraamistiku RUBRIIKIDE 1–5 assigneeringud KOKKU	Kulukohustused
	Maksed

3.2.2.Hinnanguline mõju tegevusassigneeringutele

Ettepanek/algatus ei hõlma tegevusassigneeringute kasutamist

◻ Ettepanek/algatus hõlmab tegevusassigneeringute kasutamist, mis toimub järgmiselt:

kulukohustuste assigneeringud miljonites eurodes (kolm kohta pärast koma)

Täpsustage eesmärgid ja väljundid

⇩

Aasta
N

Aasta
N+1

Aasta
N+2

Aasta
N+3

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

KOKKU

VÄLJUNDID

Väljundi liik 36

Keskmine kulu

Väljundite arv

Kulu

Väljundite arv

Kulu

Väljundite arv

Kulu

Väljundite arv

Kulu

Väljundite arv

Kulu

Väljundite arv

Kulu

Väljundite arv

Kulu

Väljundite arv kokku

Kulud kokku

ERIEESMÄRK nr 1 37 ...

- Väljund

Erieesmärk nr 1 kokku

ERIEESMÄRK nr 2

- Väljund

Erieesmärk nr 2 kokku

KULUD KOKKU

3.2.3.Hinnanguline mõju haldusassigneeringutele

3.2.3.1.Kokkuvõte

Ettepanek/algatus ei hõlma haldusassigneeringute kasutamist

◻ Ettepanek/algatus hõlmab haldusassigneeringute kasutamist, mis toimub järgmiselt:

miljonites eurodes (kolm kohta pärast koma)

Aasta
N 38

Aasta
N+1

Aasta
N+2

Aasta
N+3

Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

KOKKU

Mitmeaastase finantsraamistiku RUBRIIK 5
Inimressursid
Muud halduskulud
Mitmeaastase finantsraamistiku RUBRIIGI 5 vahesumma

Mitmeaastase finantsraamistiku RUBRIIGIST 5 39 välja jäävad kulud
Inimressursid
Muud halduskulud
Mitmeaastase finantsraamistiku RUBRIIGIST 5 välja jäävad kulud kokku

KOKKU

Personali ja muude halduskuludega seotud assigneeringute vajadused kaetakse asjaomase peadirektoraadi poolt kõnealuse meetme haldamiseks juba antud ja/või ümberpaigutatud assigneeringute raames, täiendades neid vajaduse korral täiendavate assigneeringutega, mida võidakse anda haldavale peadirektoraadile iga-aastase vahendite eraldamise menetluse käigus, arvestades eelarvepiirangutega.

3.2.3.2.Hinnanguline personalivajadus

Ettepanek/algatus ei hõlma personali kasutamist.

◻ Ettepanek/algatus hõlmab personali kasutamist, mis toimub järgmiselt:

Hinnang täistööaja ekvivalendina

		Aasta N	Aasta N+1	Aasta N+2	Aasta N+3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)
•Ametikohtade loeteluga ette nähtud ametikohad (ametnikud ja ajutised töötajad)
XX 01 01 01 (komisjoni peakorteris ja esindustes)
XX 01 01 02 (delegatsioonides)
XX 01 05 01 (kaudne teadustegevus)
10 01 05 01 (otsene teadustegevus)
•Koosseisuväline personal (täistööajale taandatud töötajad) 40
XX 01 02 01 (üldvahenditest rahastatavad lepingulised töötajad, riikide lähetatud eksperdid ja renditud tööjõud)
XX 01 02 02 (lepingulised töötajad, kohalikud töötajad, riikide lähetatud eksperdid, renditööjõud ja noored eksperdid delegatsioonides)
XX 01 04 yy 41	- peakorteris
	- delegatsioonides
XX 01 05 02 (lepingulised töötajad, riikide lähetatud eksperdid ja renditööjõud kaudse teadustegevuse valdkonnas)
10 01 05 02 (lepingulised töötajad, riikide lähetatud eksperdid ja renditööjõud otsese teadustegevuse valdkonnas)
Muud eelarveread (täpsustage)
KOKKU

XX osutab asjaomasele poliitikavaldkonnale või eelarvejaotisele.

Personalivajadused kaetakse juba meedet haldavate peadirektoraadi töötajatega ja/või töötajate ümberpaigutamise teel peadirektoraadi siseselt. Vajaduse korral võidakse personali täiendada meedet haldavale peadirektoraadile iga-aastase vahendite eraldamise menetluse käigus, arvestades olemasolevate eelarvepiirangutega.

Ülesannete kirjeldus:

Ametnikud ja ajutised töötajad
Koosseisuvälised töötajad

3.2.4.Kooskõla kehtiva mitmeaastase finantsraamistikuga

Ettepanek/algatus on kooskõlas kehtiva mitmeaastase finantsraamistikuga.

◻ Ettepanekuga/algatusega kaasneb mitmeaastase finantsraamistiku asjaomase rubriigi ümberplaneerimine.

Selgitage ümberplaneerimist, osutades asjaomastele rubriikidele, eelarveridadele ja summadele.

◻ Ettepanek/algatus eeldab paindlikkusinstrumendi kohaldamist või mitmeaastase finantsraamistiku läbivaatamist.

Selgitage vajalikku toimingut, osutades asjaomastele rubriikidele, eelarveridadele ja summadele.

3.2.5.Kolmandate isikute rahaline osalus

Ettepanek/algatus ei hõlma kolmandate isikute poolset kaasrahastamist.

Ettepanek/algatus hõlmab kaasrahastamist, mille hinnanguline summa on järgmine:

assigneeringud miljonites eurodes (kolm kohta pärast koma)

	Aasta N	Aasta N+1	Aasta N+2	Aasta N+3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)	Kokku
Täpsustage kaasrahastav asutus
Kaasrahastatavad assigneeringud KOKKU

3.3.Hinnanguline mõju tuludele

Ettepanekul/algatusel puudub finantsmõju tuludele.

◻ Ettepanekul/algatusel on järgmine finantsmõju:

–◻ omavahenditele

–◻ mitmesugustele tuludele

miljonites eurodes (kolm kohta pärast koma)

Tulude eelarverida:	Jooksva aasta eelarves kättesaadavad assigneeringud	Ettepaneku/algatuse mõju 42
		Aasta N	Aasta N+1	Aasta N+2	Aasta N+3	Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)
Artikkel ........................

Mitmesuguste sihtotstarbeliste tulude puhul täpsustage, milliseid kulude eelarveridasid ettepanek mõjutab.

Täpsustage tuludele avaldatava mõju arvutusmeetod.

(1) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001, üksikisiku kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, EÜT L 8, 12.1.2001.

(2) Euroopa Parlamendi, nõukogu ja komisjoni 1. juuli 2002. aasta otsus nr 1247/2002/EÜ, Euroopa andmekaitseinspektori ülesannete täitmist reguleerivate määruste ja üldtingimuste kohta, EÜT L 183, 12.7.2002, lk 1.

(3) Vt määruse (EL) 2016/679 artikkel 98 ja põhjendus 17.

(4) Vt Euroopa Liidu Kohtu 9. märtsi 2010. aasta otsus kohtuasjas C-518/07 Komisjon vs Saksamaa, ECLI:EU:C:2010:125, punktid 26 ja 28.

(5) Vt http://ec.europa.eu/justice/data-protection/reform/index_en.htm

(6) Vt Euroopa Andmekaitseinspektori üldaruanne „Measuring compliance with Regulation (EC) 45/2001 in EU institutions (edaspidi „2013. aasta uuring“)“ ja arvamus nr 3/2015 „Europe’s big opportunity: EDPS recommendations on the EU’s options for data protection reform“.

(7) JUST/2013/FRAC/FW/0157/A4 mitme töövõtjaga sõlmitava raamlepingu JUST/2011/EVAL/01 (RS 2013/05) kontekstis - Määruse (EC) 45/2001 hindamisuuring, teostaja Ernst and Young, kättesaadav aadressil http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087

(8) Euroopa Liidu Kohtu 9. novembri 2010. aasta otsus liidetud kohtuasjades C-92/09 ja C-93/09 Volker und Markus Schecke ja Eifert, ECLI:EU:C:2009:284, punkt 48.

(9) Kooskõlas harta artikli 52 lõikega 1 võib andmete kaitse õiguse rakendamist piirata ainult seadusega ning arvestades nimetatud õiguste ja vabaduste olemust ning kui see on proportsionaalsuse põhimõtte kohaselt vajalik ning vastab tegelikult Euroopa Liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi.

(10) ELT C ..., ..., lk …

(11) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisiku kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001).

(12) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (EMPs kohaldatav tekst), ELT L 119, 4.5.2016, lk 1-88.

(13) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, ELT L 119, 4.5.2016, lk 89-131.

(14) Nõukogu 5. aprilli 1993. aasta direktiiv 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT J 95, 21.4.1993, lk 29).

(15) Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määrus (EÜ) nr 1338/2008 rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta ( ELT L 354, 31.12.2008, lk 70 ).

(16) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(17) Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta määrus (EÜ) nr 223/2009 Euroopa statistika kohta ning Euroopa Parlamendi ja nõukogu määruse (EÜ, Euratom) nr 1101/2008 (konfidentsiaalsete statistiliste andmete Euroopa Ühenduste Statistikaametile edastamise kohta), nõukogu määruse (EÜ) nr 322/97 (ühenduse statistika kohta) ja nõukogu otsuse 89/382/EMÜ, Euratom (millega luuakse Euroopa ühenduste statistikaprogrammi komitee) kehtetuks tunnistamise kohta ( ELT L 87, 31.3.2009, lk 164 ).

(18) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (EMPs kohaldatav tekst), ELT L 119, 4.5.2016, lk 1-88.

(19) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, ELT L 119, 4.5.2016, lk 89-131.

(20) Komisjoni 20. juuni 2008. aasta direktiiv 2008/63/EÜ konkurentsi kohta telekommunikatsioonivõrgu lõppseadmete turgudel (ELT L 162, 21.6.2008, lk 20).

(21) Nõukogu 30. novembri 2009. aasta otsus 2009/917/JSK infotehnoloogia tollialase kasutamise kohta, ELT L 323, 10.12.2009, lk 20–30.

(22) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisiku kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, EÜT L 8, 12.1.2001.

(23) 1. juuli 2002. aasta otsus nr 1247/2002/EÜ Euroopa andmekaitseinspektori ülesannete täitmist reguleerivate määruste ja üldtingimuste kohta, EÜT L 183, 12.7.2002, lk 1.

(24) Euroopa Parlamendi ja nõukogu 4. detsembri 2014 otsus 2014/886/EL, mis käsitleb Euroopa andmekaitseinspektori ja inspektori asetäitja ametisse nimetamist, ELT L 351, 9.12.2014, lk 9.

(25) ABM: tegevuspõhine juhtimine; ABB: tegevuspõhine eelarvestamine.

(26) Vastavalt finantsmääruse artikli 54 lõike 2 punktile a või b.

(27) JUST/2013/FRAC/FW/0157/A4 mitme töövõtjaga sõlmitava raamlepingu JUST/2011/EVAL/01 (RS 2013/05) kontekstis - Määruse (EÜ) 45/2001 hindamisuuring, teostaja Ernst and Young

(28) Eelarve täitmise viise selgitatakse koos viidetega finantsmäärusele veebisaidil BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

(29) Liigendatud assigneeringud / liigendamata assigneeringud.

(30) EFTA: Euroopa Vabakaubanduse Assotsiatsioon.

(31) Kandidaatriigid ja vajaduse korral Lääne-Balkani potentsiaalsed kandidaatriigid.

(32) Komisjoni talituse töödokument, Impact Assessment, SEC (2012) 72 final, lk 110.

(33) Aasta N, mil alustatakse ettepaneku/algatuse rakendamist.

(34) Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised B..A read), otsene teadustegevus, kaudne teadustegevus.

(35) Aasta N, mil alustatakse ettepaneku/algatuse rakendamist.

(36) Väljunditena käsitatakse tarnitud tooteid ja osutatavaid teenuseid (nt rahastatud üliõpilasvahetuste arv, ehitatud teede pikkus kilomeetrites jms).

(37) Vastavalt punktis 1.4.2 nimetatud erieesmärkidele.

(38) Aasta N, mil alustatakse ettepaneku/algatuse rakendamist.

(39) Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised B..A read), otsene teadustegevus, kaudne teadustegevus.

(40) lepingulised töötajad, kohalikud töötajad, riikide lähetatud töötajad, renditud tööjõud, noored eksperdid delegatsioonides.

(41) Tegevusassigneeringutest rahastatavate koosseisuväliste töötajate ülempiiri arvestades (endised B..A read).

(42) Traditsiooniliste omavahendite (tollimaksud ja suhkrumaksud) korral peab märgitud olema netosumma, st brutosumma pärast 25 % sissenõudmiskulude mahaarvamist.

Choose the experimental features you want to try