4.5.2016 |
ET |
Euroopa Liidu Teataja |
L 119/89 |
EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2016/680,
27. aprill 2016,
mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK
EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2,
võttes arvesse Euroopa Komisjoni ettepanekut,
olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,
võttes arvesse Regioonide Komitee arvamust (1),
toimides seadusandliku tavamenetluse kohaselt (2)
ning arvestades järgmist:
(1) |
Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. |
(2) |
Isikuandmete töötlemisele kohaldatavad füüsiliste isikute kaitse põhimõtted ja normid peaks füüsiliste isikute kodakondsusest ja elukohast sõltumata austama nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Käesoleva direktiivi eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala lõplikule väljakujundamisele. |
(3) |
Kiire tehnoloogiline areng ja üleilmastumine on toonud isikuandmete kaitsesse uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab selliste tegevuste puhul nagu süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine ning kriminaalkaristuste täitmisele pööramine töödelda isikuandmeid enneolematus ulatuses. |
(4) |
Süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil tuleks hõlbustada pädevate asutuste vahelist isikuandmete vaba liikumist liidus, nagu ka selliste isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, tagades samal ajal isikuandmete kõrgetasemelise kaitse. Selleks on vaja liidus luua tugev ja ühtsem isikuandmete kaitse raamistik, mida toetab tõhus täitmise tagamine. |
(5) |
Isikuandmete töötlemisele liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (3). Nimetatud direktiivi ei kohaldata siiski isikuandmete töötlemisele sellise tegevuse käigus, mis ei kuulu ühenduse õiguse kohaldamisalasse, nagu näiteks tegevus kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. |
(6) |
Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas kohaldatakse nõukogu raamotsust 2008/977/JSK (4). Kõnealuse raamotsuse kohaldamisala on piiratud liikmesriikide vahel edastatud ja kättesaadavaks tehtud isikuandmete töötlemisega. |
(7) |
Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tõhususe huvides on eriti oluline tagada füüsiliste isikute isikuandmete järjekindel kõrgetasemeline kaitse ja hõlbustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks peaks kõikides liikmesriikides olema ühesugune füüsiliste isikute õiguste ja vabaduste kaitse tase isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada andmesubjektide õigusi ning isikuandmeid töötlevate isikute kohustusi, aga ka volitusi isikuandmete kaitse normide järgimise järelevalveks ja tagamiseks liikmesriikides. |
(8) |
ELi toimimise lepingu artikli 16 lõikes 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama õigusnorme füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega, samuti isikuandmete vaba liikumist käsitlevaid õigusnorme. |
(9) |
Sellest lähtudes sätestab Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (5) üldised normid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus. |
(10) |
Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus ELi toimimise lepingu artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades. |
(11) |
Seetõttu on asjakohane reguleerida kõnealuseid valdkondi direktiiviga, mis sätestab erinormid, mis käsitlevad füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, võttes arvesse kõnealuste tegevuste eripära. Sellised pädevad asutused võivad olla mitte üksnes avaliku sektori asutused nagu õigusasutused, politsei ja teised õiguskaitseasutused, vaid ka kõik muud asutused või üksused, kes teostavad liikmesriigi õiguse kohaselt avalikku võimu käesoleva direktiivi kohaldamisel. Kui selline asutus või üksus töötleb isikuandmeid muul eesmärgil kui käesoleva direktiivi kohaldamine, kohaldatakse määrust (EL) 2016/679. Seepärast kohaldatakse määrust (EL) 2016/679 juhul, kui asutus või üksus kogub isikuandmeid muul eesmärgil ja täiendavalt töötleb kõnealuseid isikuandmeid oma juriidilise kohustuse täitmiseks. Näiteks finantsasutused säilitavad süütegude uurimiseks või avastamiseks või nende eest vastutusele võtmiseks teatavaid nende poolt töödeldavaid isikuandmeid ning nad teevad need isikuandmed kättesaadavaks ainult pädevatele riigiasutustele erijuhtudel ja kooskõlas liikmesriigi õigusega. Asutus või üksus, kes töötleb isikuandmeid nende asutuste nimel käesoleva direktiivi kohaldamisala piires, peaks olema seotud lepingu või õigusaktiga ning tema suhtes tuleks kohaldada käesolevast direktiivist tulenevaid vastutavate töötlejate suhtes kohaldatavaid sätteid, kusjuures ei mõjutata määruse (EL) 2016/679 kohaldamist vastutava töötleja poolt isikuandmete töötlemisele väljaspool käesoleva direktiivi kohaldamisala. |
(12) |
Politsei või muude õiguskaitseasutuste tegevus, sealhulgas politsei toimingud juhul, kui eelnevalt pole teada, kas tegemist on süüteoga, keskenduvad peamiselt süütegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele. Selline tegevus võib hõlmata ka avaliku võimu teostamist sunnimeetmete võtmisega, näiteks politsei tegevus demonstratsioonidel, suurtel spordiüritustel ja massirahutustel. Selline tegevus hõlmab ka avaliku korra säilitamist, mis on politseile või muule õiguskaitseasutusele antud ülesanne, et vajaduse korral kaitsta avalikku julgeolekut ja seadusega kaitstavaid ühiskonna põhihuve selliste ohtude eest ja hoida ära selliste ohtude teke avalikule julgeolekule ja seadusega kaitstavatele ühiskonna põhihuvidele, mis võivad viia süüteo toimepanemiseni. Liikmesriigid võivad anda pädevatele asutustele muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, määruse (EL) 2016/679 kohaldamisalasse. |
(13) |
Süüteo mõiste käesoleva direktiivi tähenduses peaks olema liidu õiguse autonoomne mõiste, nagu seda on tõlgendanud Euroopa Liidu Kohus („Euroopa Kohus“). |
(14) |
Kuna käesolevat direktiivi ei tohiks kohaldada isikuandmete töötlemisele sellise tegevuse käigus, mis jääb liidu õiguse kohaldamisalast väljapoole, ei tohiks käesoleva direktiivi kohaldamisalasse kuuluva tegevusena käsitada riikliku julgeolekuga seotud tegevust, riikliku julgeoleku küsimustega tegelevate asutuste või üksuste tegevust ning isikuandmete töötlemist liikmesriikide poolt Euroopa Liidu lepingu (ELi leping) V jaotise 2. peatüki kohaldamisalasse kuuluva tegevuse käigus. |
(15) |
Selleks et tagada kogu liidus ühesugune füüsiliste isikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks käesolevas direktiivis sätestada ühtsed normid süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise, kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta. Liikmesriikide õigusaktide ühtlustamine ei tohiks viia isikuandmete kaitse taseme langemiseni, vaid sellega tuleks püüda tagada kõrgetasemeline kaitse kogu liidus. Liikmesriikidel ei tohiks keelata näha ette rangemaid kaitsemeetmeid kui need, mis on kehtestatud käesolevas direktiivis, andmesubjekti õiguste ja vabaduste kaitseks seoses isikuandmete töötlemisega pädevate asutuste poolt. |
(16) |
Käesolev direktiiv ei piira põhimõtte kohaldamist, mis käsitleb üldsuse juurdepääsu ametlikele dokumentidele. Määruse (EL) 2016/679 kohaselt võib avaliku sektori asutus või avaliku sektori organ või erasektori organ avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas kõnealusele avaliku sektori asutusele või organile kohaldatava liidu või liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja õigus isikuandmete kaitsele. |
(17) |
Käesoleva direktiiviga pakutavat kaitset tuleks kohaldada füüsiliste isikute isikuandmete töötlemisele, olenemata nende kodakondsusest või elukohast. |
(18) |
Selleks et vältida normide täitmisest kõrvalehoidmise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva direktiivi kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole spetsiifiliste kriteeriumide kohaselt korrastatud, ega nende esilehed. |
(19) |
Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. Määrust (EÜ) nr 45/2001 ja muid sellise isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada määrusega (EL) 2016/679 sätestatud põhimõtetele ja normidele. |
(20) |
Käesolev direktiiv ei takista liikmesriike täpsustamast nende kriminaalmenetlust käsitlevates õigusnormides kohtute ja muude õigusasutuste poolt isikuandmete töötlemise toiminguid ja menetlusi, eelkõige seoses kohtuotsustes sisalduvate isikuandmetega või kriminaalmenetluse toimikutega. |
(21) |
Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või muu isik võib füüsilise isiku otseseks või kaudseks tuvastamiseks tõenäoliselt kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks kasutatakse tõenäoliselt vahendeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse isikuandmete töötlemise ajal kättesaadavat tehnoloogiat ning tehnoloogia arengut. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, s.o teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada. |
(22) |
Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei tohiks pidada vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Nimetatud avaliku sektori asutused peaksid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele. |
(23) |
Geneetilised andmed tuleks määratleda isikuandmetena, mis seonduvad füüsilise isiku päritud või omandatud geneetiliste omadustega ning mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia või tervise kohta ning mis saadakse asjaomase füüsilise isiku bioloogilise proovi analüüsist, iseäranis kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või muu elemendi analüüsist, mis võimaldab saada samaväärset teavet. Arvestades geneetiliste andmete keerukust ja tundlikkust, on suur oht, et vastutav töötleja väär- ja taaskasutab andmeid erinevatel eesmärkidel. Igasugune geneetilistel omadustel põhinev diskrimineerimine peaks olema põhimõtteliselt keelatud. |
(24) |
Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti terviseseisundit puudutavad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse terviseseisundi kohta. See hõlmab teavet füüsilise isiku kohta, mis on kogutud füüsilise isiku tervishoiuteenuste registreerimise või talle tervishoiuteenuste osutamise käigus, nagu on osutatud Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL; (7) numbrit, tähist või eritunnust, mis on füüsilisele isikule määratud tema kordumatuks tuvastamiseks tervisega seotud eesmärkidel; teavet, mis on saadud mingi kehaosa või kehast pärineva aine, sealhulgas geneetiliste andmete ja bioloogiliste proovide kontrollimise või uurimise tulemusena; ja teavet näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi või andmesubjekti füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata sellest, millisest allikast see on saadud (näiteks arstilt või muult tervishoiutöötajalt, haiglalt, meditsiiniseadmest või in vitro diagnostikast). |
(25) |
Kõik liikmesriigid on Rahvusvahelise Kriminaalpolitsei Organisatsiooni (Interpol) liikmed. Oma ülesannete täitmiseks kogub, säilitab ja levitab Interpol isikuandmeid, mis aitavad pädevatel asutustel ennetada rahvusvahelist kuritegevust ning selle vastu võidelda. Seetõttu on asjakohane tugevdada liidu ja Interpoli vahelist koostööd, soodustades tõhusat isikuandmete vahetust, tagades samas põhiõiguste ja -vabaduste austamise isikuandmete automaatsel töötlemisel. Kui isikuandmeid edastatakse liidust Interpoli ja riikidele, kes on Interpoli koosseisu liikmeid delegeerinud, tuleks kohaldada käesolevat direktiivi, eelkõige andmete rahvusvahelist edastamist käsitlevaid sätteid. Käesolev direktiiv ei tohiks piirata erinorme, mis on kehtestatud nõukogu ühises seisukohas 2005/69/JSK (8) ja nõukogu otsuses 2007/533/JSK (9). |
(26) |
Isikuandmete töötlemine peaks olema asjaomaste füüsiliste isikute suhtes seaduslik, õiglane ja läbipaistev ning isikuandmeid tuleb töödelda ainult õigusaktis sätestatud konkreetsetel eesmärkidel. See ei takista õiguskaitseasutustel iseenesest selliste toimingute tegemist nagu varjatud jälitustoimingud või videovalve. Sellised toimingud on lubatud süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, kui need on õigusaktis ette nähtud ning kujutavad endast demokraatlikus ühiskonnas vajalikku ja proportsionaalset meedet ning nende puhul arvestatakse nõuetekohaselt asjaomase füüsilise isiku õigustatud huve. Andmekaitses kehtiv õiglase töötlemise põhimõte on määratletud harta artiklis 47 ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni („Euroopa inimõiguste konventsioon“) artiklis 6 õiglase kohtumenetluse õigusest eraldiseiseva põhimõttena. Füüsilisi isikuid tuleks teavitada nende isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad isikuandmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata isikuandmete kogumise ajal. Isikuandmed peaksid olema töötlemise eesmärgi seisukohast piisavad ja asjakohased. Eelkõige tuleks tagada, et isikuandmeid ei koguta ülemääraselt ja neid ei säilitata kauem, kui nende töötlemise eesmärgil on vaja. Isikuandmeid tuleks töödelda üksnes juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmetele, mida säilitatakse pikema aja jooksul avalikes huvides arhiveerimise eesmärgil või teaduslikuks, statistiliseks või ajalooliseks kasutamiseks. |
(27) |
Süütegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada. |
(28) |
Selleks et tagada isikuandmete töötlemise turvalisus ja vältida, et isikuandmete töötlemisel rikutakse käesoleva direktiivi nõudeid, tuleks isikuandmeid töödelda viisil, mis tagab nende nõuetekohase turvalisuse ja konfidentsiaalsuse, sealhulgas väldib isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamist, ja võtab arvesse teaduse ja tehnoloogia viimast arengut, ohtudele vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi. |
(29) |
Isikuandmeid tuleks koguda täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel kooskõlas käesoleva direktiivi kohaldamisalaga ning neid ei tohiks töödelda eesmärkidel, mis on vastuolus süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgiga. Kui isikuandmeid töötleb sama või erinev vastutav töötleja käesoleva direktiivi kohaldamisalasse kuuluval eesmärgil, mis on nende kogumise eesmärgist erinev, peaks selline töötlemine olema lubatud tingimusel, et selline töötlemine on asjaomaste õigusnormide kohaselt lubatud ning nimetatud teise eesmärgi saavutamiseks vajalik ja proportsionaalne. |
(30) |
Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleks kohaldada andmete õigsuse põhimõtet. Eelkõige kohtumenetluses antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad füüsiliste isikute subjektiivsel ettekujutusel toimunust ning mida ei saa alati kontrollida. Seetõttu ei tohiks õigsuse nõue puudutada tunnistuse õigsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud. |
(31) |
Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö käigus isikuandmete töötlemise puhul on olemuslik, et töödeldakse eri kategooriatesse kuuluvate andmesubjektide isikuandmeid. Seetõttu, kui see on asjakohane, tuleks sellises ulatuses nagu võimalik selgelt eristada selliste andesubjektide eri kategooriate isikuandmeid nagu kahtlusalused, süüteos süüdi mõistetud isikud, süüteo ohvrid ning muud isikud, nagu tunnistajad ja asjakohast teavet omavad isikud ning kahtlustatavate ja süüdimõistetute kontaktisikud ja kaasosalised. See ei tohiks takistada harta ja Euroopa inimõiguste konventsiooniga tagatud ning Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika kohaselt tõlgendatava süütuse presumptsiooni õiguse kohaldamist. |
(32) |
Pädevad asutused peaksid tagama, et isikuandmeid, mis on ebaõiged, mittetäielikud või mis ei ole enam ajakohased, ei edastata ega tehta kättesaadavaks. Selleks et tagada füüsiliste isikute kaitse, edastatavate või kättesaadavaks tehtavate isikuandmete õigsus, täielikkus ja usaldusväärsus või ulatus, mil määral isikuandmed on ajakohased, peaksid pädevad asutused võimaluste piires lisama vajaliku teabe igasugusele isikuandmete edastamisele. |
(33) |
Kui käesolevas direktiivis osutatakse liikmesriigi õigusele, õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist. Selline liikmesriigi õigus, õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine ettenähtav nendele, kelle suhtes seda kohaldatakse, nagu seda nõuab Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses tuleks kindlaks määrata vähemalt isikuandmete töötlemise üldeesmärgid, töödeldavad isikuandmed, töötlemise konkreetsed eesmärgid ning isikuandmete tervikluse ja konfidentsiaalsuse tagamise menetlused ja isikuandmete hävitamist käsitlevad menetlused, mis annaksid piisava tagatise ohu vastu, et isikuandmeid võidakse kuritarvitada või meelevaldselt kasutada. |
(34) |
Isikuandmete töötlemine pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil peaks hõlmama isikuandmete või nende kogumitega sellistel eesmärkidel tehtavat automatiseeritud või automatiseerimata toimingut või toimingute kogumit, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, ühitamine ja ühendamine, nende töötlemise piiramine, kustutamine ja hävitamine. Eelkõige tuleks käesoleva direktiivi norme kohaldada isikuandmete käesoleva direktiivi kohasele edastamisele sellisele vastuvõtjale, kelle suhtes ei kohaldata käesolevat direktiivi. Selline vastuvõtja peaks hõlmama füüsilist või juriidilist isikut, avaliku sektori asutust, ametit või muud organit, kellele pädev asutus isikuandmed seaduslikult avaldab. Kui pädev asutus kogus isikuandmed algselt mõnel käesoleva direktiivi kohasel eesmärgil, tuleks kõnealuste andmete töötlemisele muudel eesmärkidel kui käesoleva direktiivi eesmärgid kohaldada määrust (EL) 2016/679, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Eelkõige tuleks määruse (EL) 2016/679 norme kohaldada sellisele isikuandmete edastamisele, mille eesmärk ei kuulu käesoleva direktiivi kohaldamisalasse. Kui isikuandmeid töötleb vastuvõtja, kes ei ole pädev asutus käesoleva direktiivi tähenduses või ei tegutse sellise pädeva asutusena ja kellele pädev asutus isikuandmed seaduslikult avaldab, tuleks kohaldada määrust (EL) 2016/679. Käesoleva direktiivi rakendamisel peaksid liikmesriigid samuti saama täiendavalt täpsustada määruse (EL) 2016/679 normide kohaldamist viimases sätestatud tingimustel. |
(35) |
Selleks et isikuandmete töötlemine oleks seaduslik, peaks käesoleva direktiivi kohane isikuandmete töötlemine olema vajalik pädeva asutuse avalikes huvides oleva ülesande täitmiseks liidu või liikmesriigi õiguse alusel süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Kõnealused tegevused peaksid hõlmama andmesubjekti eluliste huvide kaitsmist. Pädevatele asutustele institutsiooniliselt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eesmärgil seadusega antud ülesande täitmine annab neile õiguse nõuda või kohustada, et füüsilised isikud vastaksid esitatud taotlustele. Sellisel juhul ei tohiks andmesubjekti nõusolek (mis on määratletud määruses (EL) 2016/679) olla õiguslik alus isikuandmete töötlemiseks pädevate asutuste poolt. Kui andmesubjektilt nõutakse juriidilise kohustuse täitmist, puudub andmesubjektil tõeline ja vaba valikuvõimalus ning seetõttu ei saa andmesubjekti reaktsiooni käsitada vabatahtliku tahteavaldusena. See ei tohiks takistada liikmesriikidel õigusaktidega ette näha, et andmesubjekt võib nõustuda oma isikuandmete käesoleva direktiivi eesmärkidel toimuva töötlemisega, nagu kriminaaluurimises tehtavad DNA testid või tema asukoha jälgimine elektrooniliste märgiste abil kriminaalkaristuste täitmisele pööramiseks. |
(36) |
Liikmesriigid peaksid sätestama, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud konkreetsed tingimused, mida kohaldatakse konkreetsetel juhtudel isikuandmete töötlemisele, näiteks menetluskoodide kasutamine, peaks andmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest teavitama. Selliste tingimuste hulka võib näiteks kuuluda keeld edastada isikuandmeid kolmandatele isikutele või kasutada neid muul eesmärgil kui see, milleks neid vastuvõtjale edastati, või teavitada andmesubjekti teabe saamise õiguse piirangu korral ilma andmeid edastava pädeva asutuse eelneva nõusolekuta. Kõnealused kohustused peaksid kohalduma ka andmete edastamisele pädeva asutuse poolt kolmandates riikides asuvatele vastuvõtjatele või rahvusvahelistele organisatsioonidele. Liikmesriigid peaksid tagama, et andmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes selliseid tingimusi, välja arvatud tingimused, mida kohaldatakse sarnasele andmeedastusele kõnealuse pädeva asutuse liikmesriigis. |
(37) |
Isikuandmeid, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti delikaatsed, väärivad erikaitset, sest nende töötlemise kontekst võib tekitada suurt ohtu põhiõigustele ja -vabadustele. Need isikuandmed peaks hõlmama isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas direktiivis ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse töötlemisel asjakohaseid õiguses sätestatud kaitsemeetmeid, ning õiguses lubatud juhtudel; või kui töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks, kui sellise õiguse kohaselt ei ole see juba lubatud; või kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. Andmesubjekti õiguste ja vabaduste asjakohased kaitsemeetmed võivad hõlmata võimalust koguda selliseid andmeid ainult seoses muude asjaomast füüsilist isikut käsitlevate andmetega, võimalust tagada kogutud andmete piisav turvalisus, rangemaid norme pädeva asutuse töötajate juurdepääsuks andmetele ja selliste andmete edastamise keelamist. Selliste isikuandmete töötlemine peaks samuti olema õigusaktiga lubatud, kui andmesubjekt on andnud sõnaselge nõusoleku selliseks isikuandmete töötlemiseks, mis on tema suhtes erakordselt sekkuv. Andmesubjekti nõusolek iseenesest ei peaks siiski olema õiguslik alus selliste delikaatsete isikuandmete töötlemiseks pädevate asutuste poolt. |
(38) |
Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes isikuandmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat otsust, millel on teda puudutavad negatiivsed õiguslikud tagajärjed või mis teda märkimisväärselt mõjutavad. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, mis muu hulgas hõlmavad andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, eelkõige õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ja õigust otsust vaidlustada. Keelatud peaks olema profiilianalüüs, mille tulemusena diskrimineeritakse füüsilisi isikuid selliste isikuandmete alusel, mis on oma laadilt eriti delikaatsed seoses põhiõiguste ja -vabadustega, tingimustel, mis on sätestatud harta artiklites 21 ja 52. |
(39) |
Selleks et andmesubjekt saaks oma õigusi teostada, peaks teave olema talle hõlpsasti kättesaadav, muu hulgas peaks see olema esitatud vastutava töötleja veebisaidil ja kergesti arusaadav ning selgelt ja lihtsalt sõnastatud. Selline teave peaks olema kohandatud vastavalt kaitsetute isikute, nagu lapsed, vajadustele. |
(40) |
Tuleks ette näha kord, millega hõlbustatakse käesoleva direktiivi kohaselt vastu võetud sätete alusel andmesubjekti õiguste teostamist, sealhulgas mehhanismid, mille abil saab taotleda tutvumist isikuandmetega ja asjakohasel juhul eelkõige nendega tasuta tutvuda ning isikuandmete parandamist, kustutamist ja nende töötlemise piiramist. Vastutav töötleja peaks olema kohustatud vastama andmesubjektide taotlusele põhjendamatu viivituseta, välja arvatud juhul, kui vastutav töötleja kohaldab kooskõlas käesoleva direktiiviga andmesubjekti õiguste suhtes piiranguid. Peale selle, kui taotlused on selgelt põhjendamatud või ülemäärased, näiteks kui andmesubjekt põhjendamatult ja korduvalt taotleb teavet või kui andmesubjekt kuritarvitab oma õigust saada teavet, näiteks esitades taotluse esitamisel vale- või eksitavat teavet, peaks vastutav töötleja saama nõuda mõistlikku tasu või keelduda taotluse alusel toimingu tegemisest. |
(41) |
Kui vastutav töötleja taotleb andmesubjekti isiku kinnitamiseks vajaliku täiendava teabe esitamist, tuleks nimetatud teavet töödelda üksnes nimetatud konkreetsel eesmärgil ja seda ei tuleks säilitada kauem kui nimetatud eesmärgi jaoks vajalik. |
(42) |
Andmesubjektile tuleks kättesaadavaks teha vähemalt järgmine teave: vastutava töötleja isik, teave andmesubjekti isikuandmete töötlemise kohta, isikuandmete töötlemise eesmärk, õigus esitada kaebus ning õigus taotleda vastutavalt töötlejalt tutvumist oma isikuandmetega ning nende parandamist, kustutamist või nende töötlemise piiramist. Seda võib teha pädeva asutuse veebisaidil. Peale selle tuleks konkreetsetel juhtudel ja selleks, et võimaldada andmesubjektil teostada oma õigusi, teda teavitada töötlemise õiguslikust alusest ja sellest, kui kaua andmeid säilitatakse, niivõrd kuivõrd selline täiendav teave on vajalik, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, et tagada isikuandmete õiglane töötlemine andmesubjekti suhtes. |
(43) |
Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks füüsilisel isikul olema õigus tutvuda andmetega, mis on tema kohta kogutud, ning seda õigust lihtsalt ja mõistlike ajavahemike järel teostada. Igal andmesubjektil peaks seega olema õigus teada isikuandmete töötlemise eesmärke, töötlemise ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Kui sellise teavitamise käigus antakse teavet isikuandmete päritolu kohta, ei tohiks selline teave paljastada füüsiliste isikute identiteeti ja eelkõige konfidentsiaalseid allikaid. Kõnealuse õiguse tagamiseks piisab, kui andmesubjektil on olemas arusaadaval kujul nimetatud andmete täielik kokkuvõte, s.o andmed kujul, mis võimaldab andmesubjektil saada nendest andmetest teadlikuks ning kontrollida, et need on õiged ja neid töödeldakse käesoleva direktiivi kohaselt, nii et tal on võimalik teostada talle käesoleva direktiiviga antud õigusi. Sellise kokkuvõtte võib esitada töödeldavate isikuandmete koopiana. |
(44) |
Liikmesriikidel peaks asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades olema võimalik võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine või tema isikuandmetega tutvumise täielik või osaline piiramine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks, süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise kahjustamise vältimiseks või kriminaalkaristuste täitmisele pööramiseks ning avaliku julgeoleku või riigi julgeoleku kaitsmiseks või teiste isikute õiguste ja vabaduste kaitsmiseks. Vastutav töötleja peaks iga konkreetse juhtumi puhul eraldi ja individuaalse uurimise käigus hindama, kas isikuandmetega tutvumise õigust tuleks osaliselt või täielikult piirata. |
(45) |
Andmesubjekti tuleks põhimõtteliselt teavitada kirjalikult isikuandmetega tutvumisest keeldumisest või selle piiramisest ning see teade peaks sisaldama otsuse faktilisi ja õiguslikke põhjusi. |
(46) |
Andmesubjekti õiguste piiramine peaks olema kooskõlas harta ning Euroopa inimõiguste konventsiooniga, nagu neid tõlgendavad Euroopa Kohus ja Euroopa Inimõiguste Kohus oma praktikas, ning eelkõige tuleb seejuures austada nende õiguste ja vabaduste põhiolemust. |
(47) |
Füüsilisel isikul peaks olema õigus teda käsitlevate ebaõigete isikuandmete parandamisele, eelkõige juhul, kui tegemist on faktiliste andmetega, ja kustutamisele, kui selliste andmete töötlemine rikub käesolevat direktiivi. Siiski ei tohiks andmete parandamise õigus mõjutada näiteks tunnistaja ütluse sisu. Füüsilisel isikul peaks samuti olema õigus isikuandmete töötlemise piiramisele, kui ta vaidlustab isikuandmete õigsuse ja kui nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või kui isikuandmeid tuleb säilitada tõendamise eesmärgil. Eelkõige tuleks isikuandmete kustutamise asemel nende töötlemist piirata, kui konkreetsel juhul on põhjendatult alust arvata, et andmete kustutamine võib kahjustada andmesubjekti õigustatud huve. Piiratud isikuandmeid tuleks sellisel juhul töödelda üksnes sel eesmärgil, mis takistas nende kustutamist. Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud andmete ümberpaigutamist teise töötlemissüsteemi, näiteks arhiveerimise eesmärgil, või valitud andmete muutmist kättesaamatuks. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis esitada selliselt, et isikuandmete töötlemisele seatud piirangu olemasolu oleks selge. Isikuandmete parandamisest, kustutamisest ja nende töötlemise piiramisest tuleks teavitada vastuvõtjaid, kellele isikuandmed on avaldatud, ning pädevaid asutusi, kellelt ebaõiged andmed pärinevad. Samuti peaksid vastutavad töötlejad hoiduma selliste andmete edasisest levitamisest. |
(48) |
Kui vastutav töötleja jätab andmesubjekti ilma tema õigusest saada teavet, isikuandmetega tutvuda või neid parandada, kustutada või piirata nende töötlemist, peaks andmesubjektil olema õigus taotleda riigi järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks nimetatud õigusest teavitada. Kui järelevalveasutus tegutseb andmesubjekti nimel, peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli või kõik vajalikud läbivaatused. Järelevalveasutus peaks ühtlasi teavitama andmesubjekti õigusest kasutada õiguskaitsevahendit. |
(49) |
Kui isikuandmeid töödeldakse kriminaaluurimise ja kriminaalkohtumenetluse käigus, peaks liikmesriikidel olema võimalik ette näha, et teabe saamise, isikuandmetega tutvumise ja nende parandamise, kustutamise ja nende töötlemise piiramise õigust teostatakse vastavalt kohtumenetlust käsitlevatele liikmesriigi õigusnormidele. |
(50) |
Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva direktiiviga. Selliste meetmete puhul tuleks arvestada isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele. Vastutava töötleja võetavad meetmed peaksid hõlmama kaitsetute füüsiliste isikute, nagu laste isikuandmete töötlemist käsitlevate konkreetsete kaitsemeetmete väljatöötamist ja rakendamist. |
(51) |
Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, varaline või mittevaraline kahju, eelkõige juhtudel, kui isikuandmete töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu, pseudonümiseerimise loata lõpetamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi või ametiühingusse kuulumist; kui töödeldakse geneetilisi või biomeetrilisi andmeid, et isik kordumatult tuvastada, või kui töödeldakse andmeid tervise, seksuaalelu või seksuaalse sättumuse kohta ning süüteolasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel ja prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eelkõige laste isikuandmeid, või kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte. |
(52) |
Ohtu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes isikuandmete töötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas isikuandmete töötlemise toimingutega kaasneb suur oht. Suur oht on konkreetne andmesubjektide õiguste ja vabaduste kahjustamise oht. |
(53) |
Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva direktiivi nõuete täitmine. Selliste meetmete rakendamine ei tohiks sõltuda üksnes majanduslikest kaalutlustest. Selleks et olla võimeline tõendama käesoleva direktiivi täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis järgivad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid. Kui vastutav töötleja on teinud käesolevas direktiivis nõutud andmekaitsealase mõjuhinnangu, tuleks mainitud meetmete ja korra väljatöötamisel selle tulemusi arvesse võtta. Kõnealuste meetmete hulka võiks muu hulgas kuuluda pseudonümiseerimise võimalikult kiire kasutuselevõtmine. Pseudonümiseerimise kasutamine käesoleva direktiivi eesmärkidel võib olla vahend, mis võiks kaasa aidata isikuandmete vabale liikumisele vabadusel, turvalisusel ja õigusel rajaneva ala piires. |
(54) |
Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava järelevalve ja nende võetavate meetmetega eeldab käesolevas direktiivis sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul, kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel. |
(55) |
Isikuandmete töötlemine volitatud töötleja poolt peaks olema reguleeritud õigusaktiga, milles muu hulgas käsitletakse volitatud töötlejat ja vastutavat töötlejat omavahel siduvat lepingut ning sätestatakse eelkõige, et volitatud töötleja peaks tegutsema ainult vastavalt vastutava töötleja juhistele. Volitatud töötleja peaks arvesse võtma lõimitud ja vaikimisi andmekaitse põhimõtet. |
(56) |
Käesoleva direktiivi täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja dokumenteerima kõik tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute liigid. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema taotluse korral nimetatud dokumentatsiooni järelevalveasutusele kättesaadavaks, et seda saaks kasutada kõnealuste töötlemise toimingute järelevalveks. Isikuandmeid mitteautomatiseeritud töötlemissüsteemides töötlev vastutav töötleja või volitatud töötleja peaks kasutama tõhusaid meetodeid isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning andmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul. |
(57) |
Logisid tuleks pidada vähemalt automatiseeritud töötlemissüsteemides tehtavate toimingute kohta, nagu andmete kogumine, muutmine, lugemine, avalikustamine, sealhulgas edastamine, ühendamine ja kustutamine. Logida tuleks isikuandmeid lugenud või avalikustanud isiku identifitseerimisandmed ja kõnealuste identifitseerimisandmete põhjal peaks olema võimalik kindlaks teha isikuandmete töötlemise toimingu põhjendus. Logisid tuleks kasutada üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, andmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetlustes. Siseseire hõlmab ka pädevate asutuste siseseid distsiplinaarmenetlusi. |
(58) |
Kui on tõenäoline, et isikuandmete töötlemise toimingute tõttu tekib suur oht andmesubjektide õigustele ja vabadustele nende laadi, ulatuse või eesmärkide tõttu, peaks vastutav töötleja teostama andmekaitsealase mõjuhinnangu, mis peaks konkreetsemalt sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme, et tagada isikuandmete kaitse ja tõendada vastavust käesolevale direktiivile. Mõjuhinnangud peaksid hõlmama isikuandmete töötlemise toimingute asjaomaseid süsteeme ja menetlusi, kuid mitte üksikjuhtumeid. |
(59) |
Selleks et tagada andmesubjekti õiguste ja vabaduste tõhus kaitse, peaks vastutav töötleja või volitatud töötleja teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima järelevalveasutusega. |
(60) |
Turvalisuse tagamiseks ja käesolevat direktiivi rikkuva töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Selliste meetmetega tuleks tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, ja võtta arvesse teaduse ja tehnoloogia viimast arengut, ohule vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi. Andmeturbeohtusid hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohtusid, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine või loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, varaline või mittevaraline kahju. Vastutav töötleja ja volitatud töötleja peaksid tagama, et isikuandmeid ei töötle volitamata isikud. |
(61) |
Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, varalise või mittevaralise kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata lõpetamine, maine kahjustamine, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et toimunud on isikuandmetega seotud rikkumine, peaks ta sellest põhjendamatu viivituseta teatama järelevalveasutusele ning võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist, välja arvatud juhul kui vastutav töötleja saab kooskõlas vastutamise põhimõttega tõendada, et rikkumise tulemusena ei teki tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele. Kui 72 tunni jooksul ei ole võimalik teatada, tuleks teatisele lisada viivituse põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta. |
(62) |
Füüsilist isikut tuleks põhjendamatu viivituseta teavitada, kui isikuandmetega seotud rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et ta saaks võtta vajalikke ettevaatusabinõusid. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust ning anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjaomaste asutuste suunistest. Näiteks kahju tekkimise otsese ohtu leevendamise vajadus nõuaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist. Kui asjaomase füüsilise isiku isikuandmetega seotud rikkumistest teavitamisega viivitamisega või teavitamise piiramisega ei ole võimalik vältida ametlike või õiguslike päringute, uurimiste või menetluste takistamist, süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise kahjustamist või saavutada kriminaalkaristuste täitmisele pööramist, avaliku julgeoleku või riigi julgeoleku kaitsmist või teiste isikute õiguste ja vabaduste kaitsmist, võib erakorralisel juhul jätta andmesubjekti selliselt teavitamata. |
(63) |
Vastutav töötleja peaks määrama isiku, kes aitab tal valvata käesoleva direktiivi kohaselt vastu võetud sätete asutusesisese täitmise järele, välja arvatud juhul, kui liikmesriik otsustab vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel. Nimetatud isik võib olla vastutava töötleja olemasoleva personali hulka kuuluv töötaja, kes on saanud andmekaitsealase õiguse ja tava kohta eriväljaõppe, et omandada kõnealases valdkonnas ekspertteadmised. Ekspertteadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt isikuandmete töötlemise laadile ning vastutava töötleja töödeldavate isikuandmete kaitsmise nõuetele. Tema ülesannete täitmine võib toimuda osalise tööaja või täistööaja alusel. Mitu vastutavat töötlejat võivad ühiselt määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust, näiteks juhul, kui keskasutuses on ühised vahendid. Nimetatud isiku võib asjaomaste vastutavate töötlejate struktuuris määrata erinevatele ametikohtadele. Nimetatud isik peaks aitama vastutavat töötlejat ja isikuandmeid töötlevaid töötajaid, andes neile teavet ja nõu asjakohaste isikuandmete kaitse kohustuste täitmise kohta. Sellistel andmekaitseametnikel peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult kooskõlas liikmesriigi õigusega. |
(64) |
Liikmesriigid peaksid tagama, et isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui see on vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, ja kui kolmanda riigi või rahvusvahelise organisatsiooni vastutav töötleja on käesoleva direktiivi tähenduses pädev asutus. Andmeid peaks edastama üksnes vastutava töötlejana tegutsev pädev asutus, välja arvatud juhul, kui volitatud töötlejale on antud sõnaselge korraldus edastada andmeid vastutava töötleja nimel. Isikuandmeid võib selliselt edastada juhul, kui komisjon on teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, kui on kehtestatud piisavad kaitsemeetmed või kui kohaldatakse erandeid eriolukordades. Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks kahjustada käesoleva direktiiviga tagatud füüsiliste isikute kaitse taset liidus, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis. |
(65) |
Kui liikmesriik edastab isikuandmeid kolmandatele riikidele või rahvusvahelistele organisatsioonidele, peaks seda põhimõtteliselt tegema alles pärast seda, kui liikmesriik, kust andmed saadi, on andnud nende edastamiseks loa. Tõhusa õiguskaitsealase koostöö huvides on vaja, et kui liikmesriigi või kolmanda riigi avalikku julgeolekut või liikmesriigi olulisi huve ähvardav oht on olemuselt nii vahetu, et ei ole võimalik õigeaegselt eelnevat luba saada, peaks pädeval asutusel olema võimalik edastada asjakohased isikuandmed asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile ilma sellise eelneva loata. Liikmesriigid peaksid sätestama, et edastamist käsitlevad eritingimused tuleks saata kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Isikuandmete edasi saatmise tingimuseks peaks olema andmed algselt edastanud pädeva asutuse eelnev luba. Tehes otsust andmete edasi saatmiseks loa saamise taotluse kohta, peaks algselt andmed edastanud pädev asutus võtma nõuetekohaselt arvesse kõiki asjakohaseid tegureid, muu hulgas süüteo raskust, kohalduvaid eritingimusi ja andmete algse edastamise eesmärki, kriminaalkaristuse täitmisele pööramise laadi ja tingimusi ning isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse. Peale selle peaks andmed algselt edastanud pädev asutus saama kehtestada andmete edasisaatmisele eritingimusi. Sellised eritingimusi võib kirjeldada näiteks menetluskoodide kehtestamisel. |
(66) |
Komisjon peaks saama kogu liitu puudutavalt otsustada, et teatav kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon pakuvad isikuandmete kaitset piisaval tasemel, tagades seega kogu liidus õiguskindluse ja ühtsuse nende kolmandate riikide ja rahvusvaheliste organisatsioonide osas, mille puhul loetakse, et nad tagavad isikuandmete kaitse piisaval tasemel. Sellisel juhul võib isikuandmeid edastada kõnealustesse riikidesse ilma eriloata, välja arvatud juhul, kui muu liikmesriik, kust andmed saadi, peab andma edastamiseks loa. |
(67) |
Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust. Võttes vastu kaitse piisavuse otsust seoses kolmanda riigi territooriumi või kindlaksmääratud sektoriga, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte. Kolmas riik peaks võtma kohustuse tagada piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui andmeid töödeldakse ühes või mitmes kindlaksmääratud sektoris. Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ning nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse. |
(68) |
Lisaks kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelistele kohustustele peaks komisjon võtma arvesse ka kohustusi, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, samuti selliste kohustuste rakendamist. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ja selle lisaprotokolliga. Kolmandate riikide või rahvusvaheliste organisatsioonide kaitse taseme hindamisel peaks komisjon konsulteerima määrusega (EL) 2016/679 asutatud Euroopa Andmekaitsenõukoguga („andmekaitsenõukogu“). Samuti peaks komisjon arvesse võtma kõiki asjaomaseid määruse (EL) 2016/679 artikli 45 kohaselt vastu võetud komisjoni otsuseid kaitse piisavuse kohta. |
(69) |
Komisjon peaks valvama nende otsuste toimimise järele, milles käsitletakse kaitse taset kolmandas riigis või kolmanda riigi territooriumil või kolmanda riigi kindlaksmääratud sektoris või rahvusvahelises organisatsioonis. Komisjon peaks kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi. Nimetatud korrapärane läbivaatamine peaks toimuma asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning arvesse tuleks võtta kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. |
(70) |
Komisjonil peaks samuti olema võimalik tunnistada, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel andmekaitset. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva direktiivi nõudeid edastamisel kasutatavate asjakohaste kaitsemeetmete kohta ja erandite kohta eriolukordades. Ette tuleks näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni vahelise konsulteerimise kord. Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada. |
(71) |
Isikuandmete edastamine ilma kaitse piisavuse otsuseta peaks olema lubatud üksnes juhul, kui õiguslikult siduvas aktis on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav töötleja, olles hinnanud kõiki andmete edastamisega seotud asjaolusid, on kõnealusest hinnangust lähtudes seisukohal, et isikuandmete kaitseks vajalikud kaitsemeetmed on võetud. Selline õiguslikult siduv akt võiks näiteks olla õiguslikult siduv kahepoolne leping, mille sõlmivad liikmesriigid ja mida rakendatakse nende õiguskorras ning mida võivad jõustada nende andmesubjektid, tagades andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, mis hõlmab õigust tõhusale haldus- või õiguskaitsele. Andmete edastamist puudutavate kõigi asjaolude hindamisel peaks vastutav töötleja saama võtta arvesse Europoli või Eurojusti ja kolmandate riikide vahel sõlmitud koostöökokkuleppeid, mis võimaldavad isikuandmete vahetamist. Vastutav töötleja peaks saama võtta arvesse ka asjaolu, et isikuandmete edastamisele kohaldatakse konfidentsiaalsuse kohustust ja sihtotstarbelisuse põhimõtet, millega tagatakse, et andmeid ei töödelda muul kui edastamisega seotud eesmärgil. Lisaks peaks vastutav töötleja võtma arvesse seda, et isikuandmeid ei kasutata selleks, et taotleda surmanuhtlust või muud julma ja ebainimlikku kohtlemist, anda selleks käsk või viia see täide. Kuigi kõnealuseid tingimusi võib lugeda asjakohasteks kaitsemeetmeteks, mis võimaldavad andmete edastamist, peaks vastutav töötleja saama nõuda täiendavaid kaitsemeetmeid. |
(72) |
Kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral võivad edastamine või teatud kategooriasse kuuluvad edastamistoimingud toimuda üksnes eriolukordades, kui see on vajalik selleks, et kaitsta andmesubjekti või muu isiku elulisi huve või tagada andmesubjekti õigustatud huvid, kui isikuandmeid edastava liikmesriigi õiguses on nii sätestatud või kui see on vajalik, et vältida vahetut ja tõsist ohtu liikmesriigi või kolmanda riigi avalikule julgeolekule, või see on üksikjuhtumi korral vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, või kui see on üksikjuhtumi korral vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Kõnealuseid erandeid tuleks tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete sagedast, ulatuslikku ja struktuurset edastamist ega andmete suuremahulist edastamist, vaid peaks piirduma rangelt vajalike andmetega. Selline edastamine tuleks dokumenteerida ning need dokumendid tuleks teha järelevalveasutusele taotluse korral kättesaadavaks, et valvata edastamise seaduslikkuse järele. |
(73) |
Liikmesriikide pädevad asutused kohaldavad kolmandate riikidega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal sõlmitud kehtivaid kahepoolseid või mitmepoolseid rahvusvahelisi lepinguid, et vahetada asjakohast teavet, mis võimaldab neil täita neile seaduslikult antud ülesandeid. Põhimõtteliselt toimub see asjaomaste kolmandate riikide asutuste kaudu, kes on pädevad käesoleva direktiivi eesmärkidel, või vähemalt nendega koostöös, mõnikord isegi ilma, et oleks sõlmitud kahepoolne või mitmepoolne rahvusvaheline leping. Siiski võib konkreetsetel üksikjuhtudel juhtuda, et tavapärased menetlused, mis nõuavad ühenduse võtmist sellise kolmanda riigi asutusega, ei ole mõjusad või asjakohased, eelkõige seetõttu, et andmeid ei saaks edastada õigeaegselt, või seetõttu, et kõnealune kolmanda riigi asutus ei austa õigusriigi põhimõtet või rahvusvahelisi inimõigustealaseid norme ja standardeid, mistõttu liikmesriikide pädevad asutused võiksid otsustada edastada isikuandmed otse kõnealustes kolmandates riikides asuvatele vastuvõtjatele. Selline olukord võib tekkida siis, kui isikuandmeid on vaja edastada kiiresti, et päästa süüteo ohvriks langemise ohus oleva isiku elu või hoida ära lähiajal toimepandav kuritegu, sealhulgas terroriakt. Isegi juhul, kui selliselt edastataks andmeid pädevate asutuste ja kolmandates riikides asuvate vastuvõtjate vahel üksnes konkreetsetel üksikjuhtudel, tuleks käesolevas direktiivis ette näha tingimused selliste juhtude reguleerimiseks. Nimetatud sätteid ei tuleks käsitleda erandina ühestki kehtivast kahepoolsest või mitmepoolsest rahvusvahelisest lepingust kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal. Nimetatud põhimõtteid tuleks kohaldada lisaks käesoleva direktiivi muudele normidele, eelkõige töötlemise seaduslikkust käsitlevatele ja V peatükis sisalduvatele normidele. |
(74) |
Isikuandmete liikumine üle piiride võib raskendada füüsiliste isikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end kõnealuste andmete ebaseadusliku kasutamise ja avalikustamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega toimetada uurimist väljapoole oma riigi piire jäävates küsimustes. Järelevalveasutuste piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamiseks ja kaitsemeetmete võtmiseks ning õiguskordade erinevused. Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet teiste riikide järelevalveasutustega. |
(75) |
Liikmesriikides täiesti sõltumatult oma tööülesandeid täita saavate järelevalveasutuste loomine on oluline, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Järelevalveasutused peaksid valvama käesoleva direktiivi kohaldamise järele ja aitama kaasa selle järjekindlale kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga. |
(76) |
Liikmesriigid võivad panna määruse (EL) 2016/679 kohaselt juba loodud järelevalveasutustele ülesande täita käesoleva direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid. |
(77) |
Liikmesriikidel peaks olema õigus luua mitu järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja haldusstruktuurile. Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja taristu, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla piirkonna või riigi üldeelarve osa. |
(78) |
Järelevalveasutustele tuleks nende rahaliste kulutuste osas kohaldada sõltumatuid kontrolli- või järelevalvemehhanisme, tingimusel et selline finantskontroll ei mõjuta nende sõltumatust. |
(79) |
Järelevalveasutuse liikmele või liikmetele esitatavad üldtingimused tuleks kehtestada liikmesriigi õigusega ning neis tuleks eelkõige ette näha see, et liikmed peaks valitsuse või valitsuse liikme või parlamendi või parlamendi koja ettepaneku alusel nimetama läbipaistva menetluse teel ametisse liikmesriigi parlament või valitsus või riigipea või liikmesriigi õiguse kohaselt volitatud sõltumatu asutus. Järelevalveasutuse sõltumatuse tagamiseks peaks liige või liikmed käituma ausalt, hoiduma oma kohustustega kokkusobimatust tegevusest ja ei peaks töötama oma ametiaja jooksul ühelgi oma kohustustega kokkusobimatul tasustataval ega mittetasustataval ametikohal. Järelevalveasutuse sõltumatuse tagamiseks peaks töötajad valima järelevalveasutus, kes võib selleks kaasata liikmesriigi õiguse kohaselt volitatud sõltumatu asutuse. |
(80) |
Kuigi käesolevat direktiivi kohaldatakse ka liikmesriikide kohtute ja muude õigusasutuste tegevuse suhtes, ei tohiks järelevalveasutuste pädevus hõlmata isikuandmete töötlemist, kui kohtud täidavad õigusemõistmise funktsiooni, et kaitsta kohtunike sõltumatust nende õigusemõistmise funktsiooni täitmisel. Kõnealune erand peaks piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt liikmesriigi õigusele. Samuti peaks liikmesriikidel olema võimalik sätestada, et järelevalveasutuse pädevus ei hõlma isikuandmete töötlemist muu sõltumatu õigusasutuse, näiteks prokuratuuri poolt, kui ta teeb menetlusotsuseid. Igal juhul kohaldatakse käesoleva direktiivi normide täitmise suhtes kohtute ja muude sõltumatute õigusasutuste poolt alati sõltumatut järelevalvet kooskõlas harta artikli 8 lõikega 3. |
(81) |
Järelevalveasutus peaks käsitlema andmesubjekti poolt esitatud kaebusi ja küsimust uurima või edastama selle pädevale järelevalveasutusele. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada. |
(82) |
Selleks et tagada kogu liidus mõjus, usaldusväärne ja sidus käesoleva direktiivi järgimise järelevalve ja selle tagamine kooskõlas ELi toimimise lepinguga, nagu seda tõlgendab Euroopa Kohus, peaks järelevalveasutustel olema igas liikmesriigis samad ülesanded ja tegelikud volitused, sealhulgas uurimis-, parandus- ja nõuandevolitused, mis on nendele antud ülesannete täitmiseks vajalikud. Nende volitused ei tohiks aga mõjutada kriminaalmenetluse, sealhulgas süütegude uurimise ja nende eest vastutusele võtmise kohta sätestatud erinorme ega kohtusüsteemi sõltumatust. Ilma et see mõjutaks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, peaksid järelevalveasutused olema ka volitatud tegema käesoleva direktiivi rikkumised teatavaks õigusasutustele või osalema kohtumenetluses. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriigi õigusega sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks iga meede olema asjakohane, vajalik ja proportsionaalne käesoleva direktiivi järgimise tagamise seisukohast, võttes arvesse üksikjuhtumi asjaolusid, austama iga isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi õiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Õiguslikult siduva otsuse vastuvõtmisele tuleks kohaldada kohtulikku kontrolli otsuse vastu võtnud järelevalveasutuse liikmesriigis. |
(83) |
Järelevalveasutused peaksid üksteist oma ülesannete täitmisel abistama ja andma vastastikust abi, et tagada käesoleva direktiivi kohaselt vastu võetud sätete järjekindel kohaldamine ja täitmine. |
(84) |
Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi järjekindlale kohaldamisele kogu liidus, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd kogu liidus. |
(85) |
Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva direktiivi kohaselt vastu võetud sätete kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Pädev järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada. Järelevalveasutus peaks võtma meetmed kaebuste esitamise hõlbustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, välistamata muude sidevahendite kasutamist. |
(86) |
Igal füüsilisel või juriidilisel isikul peaks olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on kõnealuse isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Kõnealune õigus ei hõlma siiski järelevalveasutuste muid, õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi õigusega. Kõnealustel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud. |
(87) |
Kui andmesubjekt leiab, et tema käesoleva direktiivi kohaseid õigusi on rikutud, peaks tal olema õigus volitada asutust, mille eesmärk on kaitsta andmesubjektide isikuandmete kaitsega seonduvaid õigusi ja huve ning mis on loodud liikmesriigi õiguse alusel, esitama tema nimel järelevalveasutusele kaebus ning teostama tema nimel õigust õiguskaitsevahendile. Andmesubjekti esindusõigus ei tohiks mõjutada liikmesriigi menetlusõigust, milles võib sisalduda nõue, et andmesubjekti peab liikmesriigi kohtutes esindama jurist, nagu on kindlaks määratud nõukogu direktiivis 77/249/EMÜ (10). |
(88) |
Vastutav töötleja või muu liikmesriigi õiguse kohaselt pädev asutus peaks hüvitama kahju, mille füüsilisele isikule võib põhjustada käesoleva direktiivi kohaselt vastu võetud sätteid rikkuv isikuandmete töötlemine. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva direktiivi eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tulenevaid kahjunõudeid. Kui viidatakse isikuandmete töötlemisele, mis on ebaseaduslik või rikub käesoleva direktiivi kohaselt vastu võetud sätteid, hõlmab see samuti isikuandmete töötlemist, mis rikub käesoleva direktiivi kohaselt vastu võetud rakendusakte. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. |
(89) |
Igale füüsilisele isikule ja eraõiguslikule või avalik-õiguslikule juriidilisele isikule, kes rikub käesolevat direktiivi, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja heidutavad, ning võtma kõik meetmed karistuste täitmisele pööramiseks. |
(90) |
Selleks et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused järgmistes küsimustes: kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; vastastikuse abistamise vorm ja kord ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse kord. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (11). |
(91) |
Kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelises organisatsiooni kaitse piisava taseme, vastastikuse abistamise vormi ja korda ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korda käsitlevate rakendusaktide vastuvõtmiseks tuleks kasutada kontrollimenetlust, kuna nimetatud rakendusaktid on üldise iseloomuga. |
(92) |
Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooniga, kes enam ei taga isikuandmete kaitse piisavat taset, ning kui tungiv kiireloomulisus seda nõuab, peaks komisjon võtma vastu viivitamata kohaldatavad rakendusaktid. |
(93) |
Kuna käesoleva direktiivi eesmärke, nimelt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste vahel, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale. |
(94) |
See ei tohiks mõjutada kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal vastu võetud liidu õigusaktide erisätteid, mis võeti vastu enne käesoleva direktiivi vastuvõtmise kuupäeva ning millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist või liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt loodud infosüsteemidele, nagu näiteks isikuandmete kaitset käsitlevad erisätted, mida kohaldatakse nõukogu otsuse 2008/615/JSK (12) kohaselt või Euroopa Liidu liikmesriikide vahelist vastastikust õigusabi kriminaalasjades käsitleva konventsiooni (13) artikli 23 kohaselt. Kuna harta artiklis 8 ja ELi toimimise lepingu artiklis 16 nõutakse, et põhiõigust isikuandmete kaitsmisele tagatakse järjekindlal viisil kogu liidus, peaks komisjon hindama olukorda, mis tuleneb seosest käesoleva direktiivi ja enne käesoleva direktiivi vastuvõtmise kuupäeva vastu võetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele, et hinnata vajadust viia nimetatud erisätted kooskõlla käesoleva direktiiviga. Asjakohasel juhul peaks komisjon tegema ettepanekuid, et tagada isikuandmete töötlemist käsitlevate õigusnormide sidusus. |
(95) |
Selleks et tagada liidus isikuandmete igakülgne ja sidus kaitse, peaksid rahvusvahelised lepingud, mille liikmesriigid on sõlminud enne käesoleva direktiivi jõustumise kuupäeva ja mis on kooskõlas enne kõnealust kuupäeva kohaldatava asjaomase liidu õigusega, jääma jõusse kuni nende muutmise, asendamise või lõpetamiseni. |
(96) |
Liikmesriikidele tuleks anda käesoleva direktiivi ülevõtmiseks tähtaeg, mis ei ületa kahte aastat käesoleva direktiivi jõustumise kuupäevast. Isikuandmete töötlemine, mida on juba alustatud enne kõnealust kuupäeva, tuleks viia käesoleva direktiiviga kooskõlla kahe aasta jooksul pärast käesoleva direktiivi jõustumist. Kui selline töötlemine on aga kooskõlas enne käesoleva direktiivi jõustumise kuupäeva kohaldatava liidu õigusega, ei tuleks käesoleva direktiivi nõudeid, mis puudutavad järelevalveasutusega eelnevat konsulteerimist, kohaldada enne kõnealust kuupäeva juba alustatud isikuandmete töötlemise toimingute suhtes, kuna nimetatud nõuded peavad oma olemuse tõttu olema täidetud enne isikuandmete töötlemise alustamist. Kui liikmesriik kasutab enne käesoleva direktiivi jõustumise kuupäeva loodud automatiseeritud töötlemissüsteemi puhul logi pidamise kohustuse täitmiseks pikemat rakendamistähtaega, mis lõpeb seitsme aasta möödumisel kõnealusest kuupäevast, peaks vastutav töötleja või volitatud töötleja kasutama tõhusat meetodit isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning isikuandmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul. |
(97) |
Käesolev direktiiv ei piira laste seksuaalse kuritarvitamise ja ärakasutamise ning lapsporno vastase võitluse norme, mis on kehtestatud Euroopa Parlamendi ja nõukogu direktiiviga 2011/93/EL (14). |
(98) |
Raamotsus 2008/977/JSK tuleks seetõttu kehtetuks tunnistada. |
(99) |
ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Ühendkuningriigi ja Iirimaa suhtes siduvad, kui Ühendkuningriigi ja Iirimaa suhtes ei ole siduvad normid, mis käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb järgida ELi toimimise lepingu artikli 16 alusel kehtestatud sätteid. |
(100) |
ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artiklite 2 ja 2a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Taani suhtes siduvad ega kohaldatavad. Arvestades, et käesolev direktiiv põhineb ELi toimimise lepingu kolmanda osa V jaotise alusel Schengeni acquis'l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses. |
(101) |
Islandi ja Norra puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelise lepingu (viimase kahe riigi osalemiseks Schengeni acquis' sätete rakendamises, kohaldamises ja edasiarendamises) (15) tähenduses. |
(102) |
Šveitsi puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (16) tähenduses. |
(103) |
Liechtensteini puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (17) tähenduses. |
(104) |
Käesolevas direktiivis peetakse kinni ELi toimimise lepingus sätestatud ja hartas tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu austamisele ning isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nimetatud õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvate eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks. |
(105) |
Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise deklaratsiooniga selgitavate dokumentide kohta kohustuvad liikmesriigid põhjendatud juhtudel lisama ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi osade ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud. |
(106) |
Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 ning ta esitas arvamuse 7. märtsil 2012 (18). |
(107) |
Käesolev direktiiv ei tohiks takistada liikmesriikidel näha kriminaalmenetlust käsitlevates liikmesriigi õigusnormides ette andmesubjekti õigus saada kriminaalmenetluse käigus teavet, tutvuda isikuandmetega ja isikuandmeid parandada, kustutada ja nende töötlemist piirata, ega nende õiguste piiranguid, |
ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:
I PEATÜKK
Üldsätted
Artikkel 1
Reguleerimisese ja eesmärgid
1. Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.
2. Kooskõlas käesoleva direktiiviga liikmesriigid:
a) |
kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning |
b) |
tagavad, et pädevate asutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, kui selline isikuandmete vahetamine on nõutav liidu või liikmesriigi õigusega. |
3. Käesolev direktiiv ei takista liikmesriike kehtestamast isikuandmete töötlemisel pädevate asutuste poolt andmesubjekti õiguste ja vabaduste kaitseks rangemaid kaitsemeetmeid kui käesolevas direktiivis.
Artikkel 2
Kohaldamisala
1. Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele pädevate asutuste poolt artikli 1 lõikes 1 sätestatud eesmärkidel.
2. Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemisele ja isikuandmete automatiseerimata töötlemisele, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
3. Käesolevat direktiivi ei kohaldata, kui
a) |
isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse; |
b) |
isikuandmeid töötlevad liidu institutsioonid, organid ja asutused. |
Artikkel 3
Mõisted
Käesolevas direktiivis kasutatakse järgmisi mõisteid:
1) „isikuandmed“– igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekt“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;
2) „isikuandmete töötlemine“– isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
3) „isikuandmete töötlemise piiramine“– säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;
4) „profiilianalüüs“– igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud kõnealuse füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;
5) „pseudonümiseerimine“– isikuandmete töötlemine sellisel viisil, et neid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;
6) „andmete kogum“– isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;
7) „pädev asutus“–
a) |
avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või |
b) |
muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil; |
8) „vastutav töötleja“– pädev asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui isikuandmete töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;
9) „volitatud töötleja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;
10) „vastuvõtja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjateks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid isikuandmeid kooskõlas asjaomaste andmekaitsenormidega vastavalt töötlemise eesmärkidele;
11) „isikuandmetega seotud rikkumine“– turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või võimaldab neile juurdepääsu;
12) „geneetilised andmed“– isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;
13) „biomeetrilised andmed“– konkreetse tehnilise töötlemise abil saadavad isikuandmed füüsilise isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;
14) „terviseandmed“– füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema terviseseisundi kohta;
15) „järelevalveasutus“– liikmesriigis artikli 41 kohaselt asutatud sõltumatu avaliku sektori asutus;
16) „rahvusvaheline organisatsioon“– organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.
II PEATÜKK
Põhimõtted
Artikkel 4
Isikuandmete töötlemise põhimõtted
1. Liikmesriigid näevad ette järgmist:
a) |
isikuandmeid töödeldakse seaduslikult ja õiglaselt; |
b) |
isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus; |
c) |
isikuandmed on piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes; |
d) |
isikuandmed on õiged ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed tagamaks, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata; |
e) |
isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; |
f) |
isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid. |
2. Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd:
a) |
vastutav töötleja on volitatud töötlema selliseid isikuandmeid sellisel eesmärgil kooskõlas liidu või liikmesriigi õigusega ning |
b) |
isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgiga, nagu on ette nähtud liidu või liikmesriigi õiguses. |
3. Isikuandmete töötlemine sama või muu vastutava töötleja poolt võib hõlmata avalikes huvides arhiveerimist või teaduslikku, statistilist või ajaloolist kasutamist artikli 1 lõikes 1 sätestatud eesmärkidel, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse asjakohaseid kaitsemeetmeid.
4. Vastutav töötleja vastutab lõigete 1, 2 ja 3 täitmise eest ja on võimeline nende täitmist tõendama.
Artikkel 5
Säilitamise ja läbivaatamise tähtajad
Liikmesriigid näevad ette asjakohaste tähtaegade kehtestamise isikuandmete kustutamiseks või nende säilitamise vajaduse korrapäraseks läbivaatamiseks. Nimetatud tähtaegade järgimise tagamiseks kehtestatakse menetluslikud meetmed.
Artikkel 6
Andmesubjektide eri kategooriate eristamine
Liikmesriigid näevad ette, et asjakohasel juhul võimaluste piires eristab vastutav töötleja isikuandmeid selgelt andmesubjektide eri kategooriate kaupa, nimelt:
a) |
isikud, kelle puhul on tõsine alus arvata, et nad on toime pannud või panevad varsti toime süüteo; |
b) |
isikud, kes on süüteos süüdi mõistetud; |
c) |
süüteoohvrid ja isikud, kelle puhul teatavad asjaolud annavad alust arvata, et nad võivad olla süüteo ohvrid, ning |
d) |
süüteoga seotud muud isikud, näiteks isikud, keda süüteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet süüteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja kaasosalised. |
Artikkel 7
Isikuandmete eristamine ja isikuandmete kvaliteedi kontrollimine
1. Liikmesriigid näevad ette, et faktidel põhinevaid isikuandmeid eristatakse nii palju kui võimalik isiklikel hinnangutel põhinevatest isikuandmetest.
2. Liikmesriigid näevad ette, et pädevad asutused võtavad kõik mõistlikud meetmed tagamaks, et ebaõigeid, mittetäielikke või aegunud isikuandmeid ei edastata ega tehta kättesaadavaks. Sel eesmärgil kontrollivad kõik pädevad asutused võimaluse korral isikuandmete kvaliteeti enne nende edastamist või kättesaadavaks tegemist. Isikuandmete edastamisel lisatakse võimaluse korral vajalik teave, mis võimaldab andmeid vastu võtval pädeval asutusel hinnata isikuandmete õigsust, täielikkust, usaldusväärsuste ja ajakohasust.
3. Kui ilmneb, et edastatud on ebaõigeid isikuandmeid või isikuandmeid on edastatud ebaseaduslikult, teavitatakse sellest viivitamata vastuvõtjat. Sellisel juhul tuleb isikuandmed parandada, kustutada või nende töötlemist piirata kooskõlas artikliga 16.
Artikkel 8
Isikuandmete töötlemise seaduslikkus
1. Liikmesriigid näevad ette, et isikuandmete töötlemine on seaduslik ainult sel juhul ja niivõrd, kui see on vajalik pädeva asutuse poolt artikli 1 lõikes 1 sätestatud eesmärkide kohase ülesande täitmiseks ning see põhineb liidu või liikmesriigi õigusel.
2. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses täpsustatakse vähemalt isikuandmete töötlemise üldised eesmärgid, töödeldavad isikuandmed ja nende töötlemise konkreetsed eesmärgid.
Artikkel 9
Isikuandmete töötlemise eritingimused
1. Artikli 1 lõikes 1 sätestatud eesmärkidel pädevate asutuste poolt kogutavaid isikuandmeid ei tohi töödelda muudel kui artikli 1 lõikes 1 sätestatud eesmärkidel, välja arvatud juhul, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Kui isikuandmeid töödeldakse sellistel muudel eesmärkidel, kohaldatakse määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.
2. Kui liikmesriigi õigusega on pädevatele asutustele antud muud ülesanded kui need, mida täidetakse artikli 1 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellistel eesmärkidel isikuandmete töötlemisele (sealhulgas avalikes huvides arhiveerimise, teadusliku või ajaloolise uurimistöö või statistika tarvis) määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.
3. Liikmesriigid näevad ette, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud isikuandmete töötlemise eritingimused, teavitab isikuandmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest.
4. Liikmesriigid näevad ette, et isikuandmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes muid lõike 3 kohaseid tingimusi kui need, mida kohaldatakse sarnase isikuandmete edastamise suhtes isikuandmeid edastava pädeva asutuse liikmesriigis.
Artikkel 10
Isikuandmete eriliikide töötlemine
Selliste isikuandmete töötlemine, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, ning geneetiliste andmete, füüsilise isiku kordumatuks tuvastamiseks kasutatavate biomeetriliste andmete, tervist või seksuaalelu või seksuaalset sättumust käsitlevate andmete töötlemine on lubatud üksnes siis, kui see on rangelt vajalik, sellele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid ning üksnes järgmistel juhtudel:
a) |
see on lubatud liidu või liikmesriigi õigusega; |
b) |
et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve või |
c) |
selliselt töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. |
Artikkel 11
Automatiseeritud töötlusel põhinevate üksikotsuste tegemine
1. Liikmesriigid näevad ette, et keelatud on üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevate otsuste tegemine, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju, välja arvatud juhul, kui see on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles nähakse ette asjakohased kaitsemeetmed andmesubjekti õiguste ja vabaduste tagamiseks, mis hõlmab vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga.
2. Käesoleva artikli lõikes 1 osutatud otsused ei tohi põhineda artiklis 10 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui rakendatakse sobivaid meetmeid andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.
3. Profiilianalüüs, mille tulemusel füüsilisi isikuid diskrimineeritakse artiklis 10 osutatud isikuandmete eriliikide alusel, on kooskõlas liidu õigusega keelatud.
III PEATÜKK
Andmesubjekti õigused
Artikkel 12
Teavitamine ja andmesubjekti õiguste teostamise kord
1. Liikmesriigid näevad ette, et vastutav töötleja võtab kõik mõistlikud meetmed, et esitada andmesubjektile artiklis 13 osutatud teave ning teavitada teda seoses artiklitega 11, 14–18 ja 31 isikuandmete töötlemisest, tehes seda kokkuvõtlikus, arusaadavas ja hõlpsasti kättesaadavas vormis, kasutades selget ja lihtsat sõnastust. Kõnealune teave esitatakse asjakohaste vahendite abil, sealhulgas elektrooniliselt. Üldreeglina esitab vastutav töötleja teabe taotlusega samas vormis.
2. Liikmesriigid näevad ette, et vastutav töötleja aitab kaasa andmesubjekti artiklite 11 ja 14–18 kohaste õiguste teostamisele.
3. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult tema taotluse alusel tehtud toimingutest.
4. Liikmesriigid näevad ette, et artikli 13 kohase teabe esitamine ning artiklite 11, 14–18 ja 31 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja
a) |
küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või |
b) |
keelduda taotletud meetmete võtmisest. |
Vastutav töötleja on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane.
5. Kui vastutaval töötlejal on põhjendatud kahtlused artiklis 14 või 16 osutatud taotlust esitava füüsilise isiku isikusamasuse suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist.
Artikkel 13
Andmesubjektile kättesaadavaks tehtud või antud teave
1. Liikmesriigid näevad ette, et vastutav töötleja teeb andmesubjektile kättesaadavaks vähemalt järgmise teabe:
a) |
vastutava töötleja nimi ja kontaktandmed; |
b) |
kui kohaldatav, siis andmekaitseametniku kontaktandmed; |
c) |
isikuandmete töötlemise kavandatud eesmärk; |
d) |
õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed; |
e) |
õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmetega tutvumist ning nende parandamist või kustutamist ja isikuandmete töötlemise piiramist. |
2. Liikmesriigid näevad oma õiguses ette, et peale lõikes 1 osutatud teabe annab vastutav töötleja selleks, et andmesubjektil oleks võimalik oma õigusi teostada, talle konkreetsetel juhtudel järgmise täiendava teabe:
a) |
isikuandmete töötlemise õiguslik alus; |
b) |
isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid; |
c) |
asjakohasel juhul isikuandmete vastuvõtjate kategooriad, sealhulgas kolmandates riikides või rahvusvahelistes organisatsioonides; |
d) |
vajaduse korral täiendav teave, eriti juhul, kui isikuandmed on kogutud andmesubjekti teadmata. |
3. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile lõike 2 kohaselt esitatava teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne:
a) |
ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks; |
b) |
süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks; |
c) |
avaliku julgeoleku kaitseks; |
d) |
riigi julgeoleku kaitseks; |
e) |
teiste isikute õiguste ja vabaduste kaitseks. |
4. Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida vähemalt üks lõike 3 punktidest.
Artikkel 14
Andmesubjekti õigus tutvuda isikuandmetega
Kui artiklis 15 ei ole sätestatud teisiti, näevad liikmesriigid ette andmesubjekti õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse või mitte, ning nende töötlemise korral tutvuda isikuandmete ja järgmise teabega:
a) |
töötlemise eesmärk ja õiguslik alus; |
b) |
asjaomaste isikuandmete liigid; |
c) |
vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid; |
d) |
kui võimalik, siis kavandatav isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid; |
e) |
õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmete parandamist, kustutamist või nende töötlemise piiramist; |
f) |
õigus esitada järelevalveasutusele kaebus ning järelevalveasutuse kontaktandmed; |
g) |
töödeldavate isikuandmete ja nende päritolu käsitleva olemasoleva teabe edastamine. |
Artikkel 15
Isikuandmetega tutvumise õiguse piiramine
1. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjekti isikuandmetega tutvumise õiguse täielik või osaline piiramine sellises ulatuses ja seni, kuni selline piiramine on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede
a) |
ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks; |
b) |
süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks; |
c) |
avaliku julgeoleku kaitseks; |
d) |
riigi julgeoleku kaitseks; |
e) |
teiste isikute õiguste ja vabaduste kaitseks. |
2. Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida lõike 1 punktid a–e.
3. Lõigetes 1 ja 2 osutatud juhtudel näevad liikmesriigid ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult isikuandmetega tutvumisest keeldumisest või isikuandmetega tutvumise piiramisest ja keeldumise või piiramise põhjustest. Sellist teavet ei pea andma, kui selle andmine kahjustaks mõnda lõike 1 kohast eesmärki. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.
4. Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib otsuse faktilised ja õiguslikud alused. Nimetatud teave tehakse kättesaadavaks järelevalveasutustele.
Artikkel 16
Isikuandmete parandamise või kustutamise ja isikuandmete töötlemise piiramise õigus
1. Liikmesriigid näevad ette, et andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse isikuandmete töötlemise eesmärki, näevad liikmesriigid ette, et andmesubjektil on õigus nõuda mittetäielike isikuandmete täiendamist, muu hulgas täiendava õiendi esitamise teel.
2. Liikmesriigid nõuavad, et vastutav töötleja kustutaks isikuandmed põhjendamatu viivituseta ja näevad ette andmesubjekti õiguse sellele, et vastutav töötleja kustutaks põhjendamata viivituseta tema isikuandmed, kui isikuandmete töötlemine rikub artikli 4, 8 või 10 kohaselt vastu võetud sätteid või kui isikuandmed tuleb kustutada vastutava töötleja juriidilise kohustuse täitmiseks.
3. Vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui:
a) |
andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või |
b) |
isikuandmeid tuleb säilitada tõendamise eesmärgil. |
Juhul kui isikuandmete töötlemine on esimese lõigu punkti a kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne isikuandmete töötlemise piirangu kõrvaldamist.
4. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti kirjalikult keeldumisest isikuandmeid parandada või kustutada või nende töötlemist piirata ning keeldumise põhjustest. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta vastu seadusandlikke meetmeid, millega nähakse ette sellise teabe esitamise kohustuse täielik või osaline piiramine sellises ulatuses, mil selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede:
a) |
ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks; |
b) |
süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks; |
c) |
avaliku julgeoleku kaitseks; |
d) |
riigi julgeoleku kaitseks; |
e) |
teiste isikute õiguste ja vabaduste kaitseks. |
Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.
5. Liikmesriigid näevad ette, et vastutav töötleja teavitab ebaõigete isikuandmete parandamisest pädevat asutust, kellelt ebaõiged isikuandmed pärinevad.
6. Liikmesriigid näevad ette, et juhul, kui isikuandmeid on lõigete 1, 2 ja 3 kohaselt parandatud, kustutatud või nende töötlemist on piiratud, teavitab vastutav töötleja vastuvõtjaid ning vastuvõtjad parandavad või kustutavad nende vastutuse alla kuuluvad isikuandmed või piiravad nende töötlemist.
Artikkel 17
Andmesubjekti õiguste teostamine ja kontroll järelevalveasutuse poolt
1. Artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 osutatud juhtudel võtavad liikmesriigid vastu meetmeid, millega nähakse ette, et andmesubjekti õigusi võib teostada ka pädeva järelevalveasutuse kaudu.
2. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti võimalusest teostada vastavalt lõikele 1 oma õigusi järelevalveasutuse kaudu.
3. Kui teostatakse lõikes 1 osutatud õigust, teavitab järelevalveasutus andmesubjekti vähemalt sellest, et kõik vajalikud kontrollid või läbivaatus järelevalveasutuse poolt on aset leidnud. Järelevalveasutus teavitab andmesubjekti ühtlasi õigusest kasutada õiguskaitsevahendit.
Artikkel 18
Andmesubjekti õigused kriminaaluurimises ja -menetluses
Liikmesriigid võivad ette näha, et kui isikuandmed sisalduvad kohtuotsuses, karistusregistris või kriminaaluurimise ja -menetluse käigus töödeldavas toimikus, teostatakse artiklites 13, 14 ja 16 osutatud õigusi vastavalt liikmesriigi õigusele.
IV PEATÜKK
Vastutav töötleja ja volitatud töötleja
Artikkel 19
Vastutava töötleja kohustused
1. Liikmesriigid näevad ette, et vastutav töötleja rakendab isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte arvesse võttes asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid töödeldakse kooskõlas käesoleva direktiiviga, ja olemaks võimeline seda ka tõendama. Vajaduse korral vaadatakse kõnealused meetmed läbi ja neid ajakohastatakse.
2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.
Artikkel 20
Lõimitud andmekaitse ja vaikimisi andmekaitse
1. Liikmesriigid näevad ette, et vastutav töötleja rakendab teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti isikuandmete töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohtusid arvesse võttes nii isikuandmete töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva direktiivi nõudeid ja kaitsta andmesubjektide õigusi.
2. Liikmesriigid näevad ette, et vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise iga konkreetse eesmärgi saavutamiseks. Nimetatud kohustus kehtib kogutud isikuandmete hulga, töötlemise ulatuse, säilitamise tähtaja ja kättesaadavuse suhtes. Eelkõige tagatakse selliste meetmetega see, et isikuandmeid ei tehta vaikimisi kättesaadavaks määramata füüsiliste isikute ringile ilma asjaomase isiku sekkumiseta.
Artikkel 21
Kaasvastutavad töötlejad
1. Liikmesriigid näevad ette, et kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad iga kaasvastutava töötleja vastutusvaldkonna käesoleva direktiivi täitmisel (eelkõige seoses andmesubjekti õiguste teostamise ja iga kaasvastutava töötleja kohustustega esitada artiklis 13 osutatud teavet) läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, kui iga sellise vastutava töötleja vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Kokkuleppes määratakse andmesubjektide jaoks kindlaks kontaktpunkt. Liikmesriigid võivad kindlaks määrata, milline kaasvastutavatest töötlejatest võib toimida ühtse kontaktpunktina, mille kaudu andmesubjektid saavad oma õigusi teostada.
2. Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võivad liikmesriigid ette näha, et andmesubjekt võib teostada oma käesoleva direktiivi kohaselt vastu võetud sätetest tulenevaid õigusi iga vastutava töötleja suhtes.
Artikkel 22
Volitatud töötleja
1. Liikmesriigid näevad ette, et kui isikuandmete töötlemine toimub vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et isikuandmete töötlemine vastab käesoleva direktiivi nõuetele, ning tagab andmesubjekti õiguste kaitse.
2. Liikmesriigid näevad ette, et volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa puhul teavitab volitatud töötleja vastutavat töötlejat alati kõigist kavandatavatest muutustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.
3. Liikmesriigid näevad ette, et volitatud töötleja töötleb isikuandmeid volitatud töötlejale ja vastutavale töötlejale siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse isikuandmete töötlemise sisu ja kestus, laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused. Nimetatud leping või siduv õigusakt sätestab eelkõige, et volitatud töötleja
a) |
tegutseb üksnes vastutava töötleja suuniste alusel; |
b) |
tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane õigusaktist tulenev konfidentsiaalsuskohustus; |
c) |
aitab vastutaval töötlejal kõigi asjakohaste vahenditega tagada andmesubjekti õigusi käsitlevate sätete järgimine; |
d) |
pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse isikuandmete säilitamist; |
e) |
teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesoleva artikli täitmise tõendamiseks; |
f) |
järgib lõigetes 2 ja 3 osutatud tingimusi teise volitatud töötleja kaasamiseks. |
4. Lõikes 3 osutatud leping või siduv õigusakt peab olema kirjalik, sh elektroonilisel kujul.
5. Kui volitatud töötleja määrab käesolevat direktiivi rikkudes isikuandmete töötlemise eesmärgid ja vahendid, siis loetakse kõnealust volitatud töötlejat selle töötlemise suhtes vastutavaks töötlejaks.
Artikkel 23
Isikuandmete töötlemine vastutava töötleja või volitatud töötleja volituse alusel
Liikmesriigid näevad ette, et volitatud töötleja ning vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad nimetatud isikuandmeid töödelda üksnes vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.
Artikkel 24
Isikuandmete töötlemise toimingute dokumenteerimine
1. Liikmesriigid näevad ette, et vastutavad töötlejad dokumenteerivad kõik nende vastutusel toimuvate isikuandmete töötlemise toimingute liigid. Kõnealune dokumentatsioon sisaldab järgmist teavet:
a) |
vastutava töötleja, asjakohasel juhul kaasvastutava töötleja ja andmekaitseametniku nimi ja kontaktandmed; |
b) |
isikuandmete töötlemise eesmärgid; |
c) |
vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid; |
d) |
andmesubjektide kategooriate ja isikuandmete liikide kirjeldus; |
e) |
asjakohasel juhul profiilianalüüsi kasutamine; |
f) |
asjakohasel juhul isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise liigid; |
g) |
teave selle isikuandmete töötlemise toimingu (sealhulgas edastamise) õigusliku aluse kohta, mille jaoks isikuandmed on mõeldud; |
h) |
võimaluse korral isikuandmete eriliikide kustutamiseks ette nähtud tähtajad; |
i) |
võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus. |
2. Liikmesriigid näevad ette, et volitatud töötleja dokumenteerib kõik vastutava töötleja nimel toimuvate isikuandmete töötlemisega seotud toimingute liigid, hõlmates järgmist teavet:
a) |
volitatud töötleja või volitatud töötlejate, kõigi vastutavate töötlejate, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul andmekaitseametniku nimi ja kontaktandmed; |
b) |
iga vastutava töötleja nimel tehtava töötlemise liigid; |
c) |
asjakohasel juhul isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile, kui vastutav töötleja andis selleks sõnaselge korralduse, sealhulgas andmed kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni tuvastamiseks; |
d) |
võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus. |
3. Lõigetes 1 ja 2 osutatud dokumentatsioon on kirjalik, sh elektroonilisel kujul.
Taotluse korral teevad vastutav töötleja ja volitatud töötleja kõnealuse dokumentatsiooni järelevalveasutusele kättesaadavaks.
Artikkel 25
Logimine
1. Liikmesriigid näevad ette, et peetakse logisid vähemalt järgmiste automatiseeritud töötlemissüsteemides tehtavate isikuandmete töötlemise toimingute kohta: kogumine, muutmine, lugemine, avalikustamine (sealhulgas edastamine), ühendamine ja kustutamine. Lugemist ja avalikustamist kajastavad logid peavad võimaldama teha kindlaks nimetatud toimingute tegemise põhjenduse, kuupäeva ja aja ning võimaluse korral ka teabe isikuandmeid lugenud ja avalikustanud isiku kohta ning selliste isikuandmete vastuvõtjate nimed.
2. Logisid kasutatakse üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, isikuandmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetluses.
3. Taotluse korral teevad vastutav töötleja ja volitatud töötleja logid järelevalveasutusele kättesaadavaks.
Artikkel 26
Koostöö järelevalveasutusega
Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja teevad oma ülesannete täitmise käigus taotluse korral koostööd järelevalveasutusega.
Artikkel 27
Andmekaitsealane mõjuhinnang
1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava isikuandmete töötlemise tulemusena ning töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht, näevad liikmesriigid ette, et vastutav töötleja hindab enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele.
2. Lõikes 1 osutatud hindamine sisaldab vähemalt kavandatud isikuandmete töötlemise toimingute üldkirjeldust, ohuhinnangut seoses andmesubjektide õiguste ja vabadustega, kõnealuste ohtude käsitlemiseks kavandatud meetmeid, kaitsemeetmeid, turvameetmeid ja mehhanisme, mis tagavad isikuandmete kaitse ja tõendavad kooskõla käesoleva direktiiviga, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.
Artikkel 28
Eelnev konsulteerimine järelevalveasutusega
1. Liikmesriigid näevad ette, et vastutav töötleja või volitatud töötleja konsulteerib järelevalveasutusega enne, kui ta hakkab töötlema isikuandmeid, mis kantakse uude loodavasse andmete kogumisse, kui
a) |
artiklis 27 sätestatud andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohtu leevendamiseks võetavate meetmete puudumise korral suur oht, või |
b) |
isikuandmete töötlemise laadiga, eelkõige kui kasutatakse uusi tehnoloogiaid, mehhanisme või menetlusi, kaasneb suur oht andmesubjekti õigustele ja vabadustele. |
2. Liikmesriigid näevad ette järelevalveasutusega konsulteerimise, kui koostamisel on liikmesriigi parlamendis vastu võetava seadusandliku meetme ettepanek või sellisel seadusandlikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.
3. Liikmesriigid näevad ette, et järelevalveasutus võib koostada loetelu isikuandmete töötlemise toimingutest, mille suhtes kohaldatakse lõikes 1 sätestatud eelnevat konsulteerimist.
4. Liikmesriigid näevad ette, et vastutav töötleja esitab järelevalveasutusele artikli 27 kohase andmekaitsealase mõjuhinnangu ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata isikuandmete töötlemise vastavust nõuetele, eelkõige andmesubjekti isikuandmete kaitset ähvardavaid ohtusid ja nendega seotud kaitsemeetmeid.
5. Liikmesriigid näevad ette, et kui järelevalveasutus on seisukohal, et käesoleva artikli lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesoleva direktiivi kohaselt vastu võetud sätteid, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, annab järelevalveasutus hiljemalt kuue nädala jooksul alates konsulteerimise taotluse saamisest vastutavale töötlejale ja kui see on kohaldatav, volitatud töötlejale kirjalikult nõu ning võib kasutada artiklis 47 osutatud volitusi. Nimetatud tähtaega võib pikendada ühe kuu võrra, arvestades kavandatud isikuandmete töötlemise keerukust. Järelevalveasutus teavitab vastutavat töötlejat ja kui see on kohaldatav, volitatud töötlejat tähtaja pikendamisest ühe kuu jooksul alates konsulteerimise taotluse saamisest, koos tähtaja pikendamise põhjustega.
Artikkel 29
Isikuandmete töötlemise turvalisus
1. Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohtusid füüsiliste isikute õigustele ja vabadustele arvesse võttes ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, eelkõige seoses artiklis 10 osutatud isikuandmete eriliikide töötlemisega.
2. Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad ohuhindamise alusel automatiseeritud andmetöötluse suhtes meetmeid, et:
a) |
keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll); |
b) |
hoida ära andmekandjate loata lugemine, kopeerimine, muutmine või kõrvaldamine (andmekandjate kontroll); |
c) |
hoida ära isikuandmete loata sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine (säilitamise kontroll); |
d) |
hoida ära automatiseeritud andmetöötlussüsteemi andmesidevahendite abil kasutamine volitamata isikute poolt (kasutajate kontroll); |
e) |
tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs üksnes nendele isikuandmetele, mida hõlmab nende juurdepääsuluba (juurdepääsukontroll); |
f) |
tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud või millistele asutustele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll); |
g) |
tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll); |
h) |
hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll); |
i) |
tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine); |
j) |
tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks säilitatavate isikuandmete moonutamist (terviklus). |
Artikkel 30
Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest
1. Liikmesriigid näevad ette, et isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.
2. Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.
3. Lõikes 1 osutatud teates tuleb vähemalt
a) |
kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv; |
b) |
teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktpunkti nimi ja kontaktandmed; |
c) |
kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi; |
d) |
kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas asjakohasel juhul rikkumise võimaliku kahjuliku mõju leevendamiseks. |
4. Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.
5. Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib kõik lõikes 1 osutatud isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist.
6. Liikmesriigid näevad ette, et kui isikuandmetega seotud rikkumine puudutab isikuandmeid, mis on edastatud teise liikmesriigi vastutava töötleja poolt või teise liikmesriigi vastutavale töötlejale, edastatakse lõikes 3 osutatud teave põhjendamatu viivituseta kõnealuse liikmesriigi vastutavale töötlejale.
Artikkel 31
Andmesubjekti teavitamine isikuandmetega seotud rikkumisest
1. Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, näevad liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.
2. Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 30 lõike 3 punktides b, c ja d ette nähtud teave ja meetmed.
3. Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta, kui esineb üks järgmistest tingimustest:
a) |
vastutav töötleja on rakendanud asjakohaseid tehnoloogilisi ja korralduslikke kaitsemeetmeid ning neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine); |
b) |
vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu realiseerumine andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline; |
c) |
see nõuaks ebaproportsionaalset jõupingutust. Sellisel juhul tehakse andmesubjekti teavitamise asemel avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil. |
4. Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib järelevalveasutus pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, sellist teavitamist vastutavalt töötlejalt nõuda või otsustada, et esineb üks lõikes 3 osutatud tingimustest.
5. Artikli 13 lõikes 3 osutatud tingimustel ja alustel võib andmesubjektile käesoleva artikli lõikes 1 osutatud teabe esitada hiljem või piiratud ulatuses või jätta see esitamata.
Artikkel 32
Andmekaitseametniku määramine
1. Liikmesriigid näevad ette, et vastutav töötleja määrab andmekaitseametniku. Liikmesriigid võivad vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel.
2. Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige tema ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 34 osutatud ülesandeid.
3. Mitme pädeva asutuse kohta võib määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust.
4. Liikmesriigid näevad ette, et vastutav töötleja avaldab andmekaitseametniku kontaktandmed ning edastab need järelevalveasutusele.
Artikkel 33
Andmekaitseametniku ametiseisund
1. Liikmesriigid näevad ette, et vastutav töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.
2. Vastutav töötleja toetab andmekaitseametnikku artiklis 34 osutatud ülesannete täitmisel, andes talle kõnealuste ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja nende töötlemise toimingutele.
Artikkel 34
Andmekaitseametniku ülesanded
Liikmesriigid näevad ette, et vastutav töötleja annab andmekaitseametnikule vähemalt järgmised ülesanded:
a) |
teavitada ja nõustada vastutavat töötlejat ning isikuandmeid töötlevaid töötajaid nende kohustustest, mis tulenevad käesolevast direktiivist ja muudest liidu või liikmesriikide andmekaitsenormidest; |
b) |
jälgida käesoleva direktiivi, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduva auditeerimist; |
c) |
anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning valvata selle toimimise järele vastavalt artiklile 27; |
d) |
teha koostööd järelevalveasutusega; |
e) |
tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktpunktina, sealhulgas artiklis 28 osutatud eelneva konsulteerimise puhul, ning konsulteerida asjakohasel juhul ka muudes küsimustes. |
V PEATÜKK
Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele
Artikkel 35
Isikuandmete edastamise üldpõhimõtted
1. Liikmesriigid näevad ette, et pädevad asutused edastavad töödeldavaid või pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist töötlemiseks, sealhulgas andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edasi saatmiseks mõeldud isikuandmeid üksnes juhul, kui on täidetud käesoleva direktiivi muude sätete kohaselt vastu võetud liikmesriigi sätted ja käesolevas peatükis sätestatud tingimused, nimelt:
a) |
edastamine on vajalik artikli 1 lõikes 1 sätestatud eesmärkidel; |
b) |
isikuandmeid edastatakse vastutavale töötlejale kolmandas riigis või rahvusvahelises organisatsioonis, mis on artikli 1 lõikes 1 osutatud eesmärkidel pädev asutus; |
c) |
juhul kui isikuandmeid edastatakse või tehakse kättesaadavaks teisest liikmesriigist, on kõnealune liikmesriik andnud edastamiseks eelnevalt loa kooskõlas oma siseriikliku õigusega; |
d) |
komisjon on artikli 36 kohaselt võtnud vastu kaitse piisavuse otsuse või kui sellist otsust ei ole vastu võetud, siis on kehtestatud või võetud artikli 37 kohased piisavad kaitsemeetmed, või kui artikli 36 kohane kaitse piisavuse otsus või 37 kohased piisavad kaitsemeetmed puuduvad, kohaldatakse artikli 38 kohaselt erandeid eriolukordades, ning |
e) |
andmete edasisaatmise korral muule kolmandale riigile või rahvusvahelisele organisatsioonile annab andmed algselt edastanud pädev asutus või sama liikmesriigi muu pädev asutus loa edasisaatmiseks, olles võtnud nõuetekohaselt arvesse kõiki asjakohaseid tegureid, sealhulgas süüteo raskust, isikuandmete algse edastamise eesmärki ja isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse. |
2. Liikmesriigid näevad ette, et andmete edastamine lõike 1 punkti c kohaselt ilma teise liikmesriigi eelneva loata on lubatud üksnes juhul, kui isikuandmete edastamine on vajalik liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks või liikmesriigi olulise huvi seisukohast ning eelnevat luba ei ole võimalik õigeaegselt saada. Eelneva loa andmise eest vastutavat asutust teavitatakse viivitamata.
3. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada füüsiliste isikute kaitse käesoleva direktiiviga ette nähtud tasemel.
Artikkel 36
Edastamine kaitse piisavuse otsuse alusel
1. Liikmesriigid näevad ette, et isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või asjaomase kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.
2. Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:
a) |
õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, riigikaitset, riiklikku julgeolekut, kriminaalõigust ja riigiasutuste juurdepääsu isikuandmetele, ning kõnealuste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktika ning tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse; |
b) |
ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja jõustamise eest, sealhulgas piisavate täitmise tagamise volituste eest, ning andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ja |
c) |
asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega. |
3. Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Rakendusakt võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.
4. Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada lõike 3 kohaselt vastu võetud otsuste toimimist.
5. Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon rakendusaktidega vastu otsuse, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.
Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 58 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.
6. Komisjon alustab kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.
7. Liikmesriigid näevad ette, et lõike 5 kohane otsus ei mõjuta artiklite 37 ja 38 kohaseid isikuandmete edastamisi kolmandale riigile või kõnealuse kolmanda riigi territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.
8. Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil nende kolmandate riikide, kolmanda riigi territooriumide ja kindlaksmääratud sektorite ning rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.
Artikkel 37
Edastamine asjakohaste kaitsemeetmete kohaldamisel
1. Artikli 36 lõike 3 kohase otsuse puudumise korral näevad liikmesriigid ette, et isikuandmeid võib edastada kolmandale riigile või rahvusvahelisele organisatsioonile juhul, kui
a) |
isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on sätestatud õiguslikult siduvas aktis või |
b) |
vastutav töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et võetud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed. |
2. Vastutav töötleja teatab järelevalveasutusele lõike 1 punkti b kohaste edastamiste liigid.
3. Kui edastamine põhineb lõike 1 punktil b, siis dokumenteeritakse selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed ning taotluse korral tehakse dokumendid järelevalveasutusele kättesaadavaks.
Artikkel 38
Erandid eriolukordades
1. Artikli 36 kohase kaitse piisavuse otsuse või artikli 37 kohaste asjakohaste kaitsemeetmete puudumise korral näevad liikmesriigid ette, et kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete edastamine või edastamistoimingute liik on lubatud üksnes tingimusel, et edastamine on vajalik:
a) |
andmesubjekti või teise isiku eluliste huvide kaitsmiseks; |
b) |
andmesubjekti õigustatud huvi kaitsmiseks, kui isikuandmeid edastava liikmesriigi õiguses on niimoodi ette nähtud; |
c) |
liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks; |
d) |
üksikjuhtumite korral artikli 1 lõikes 1 sätestatud eesmärkidel või |
e) |
üksikjuhtumi korral artikli 1 lõikes 1 sätestatud eesmärkidega seotud konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. |
2. Isikuandmeid ei edastata, kui edastav pädev asutus leiab, et asjaomase andmesubjekti põhiõigused ja -vabadused kaaluvad üles lõike 1 punktides d ja e sätestatud avaliku huvi andmete edastamiseks.
3. Kui edastamine põhineb lõikel 1, siis on selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed, dokumenteeritud ning dokumendid tehakse taotluse korral järelevalveasutusele kättesaadavaks.
Artikkel 39
Isikuandmete edastamine kolmandates riikides asuvatele vastuvõtjatele
1. Erandina artikli 35 lõike 1 punktist b ja ilma et see piiraks käesoleva artikli lõikes 2 osutatud rahvusvaheliste lepingute kohaldamist, võib liidu või liikmesriigi õigusega ette näha, et artikli 3 punkti 7 alapunktis a osutatud pädevad asutused võivad üksikute ja konkreetsete juhtumite korral edastada isikuandmeid kolmandates riikides asuvatele vastuvõtjatele otse üksnes juhul, kui järgitakse käesoleva direktiivi muid sätteid ja kui on täidetud kõik järgmised tingimused:
a) |
edastamine on rangelt vajalik edastava pädeva asutuse liidu või liikmesriigi õiguses sätestatud ülesande täitmiseks artikli 1 lõikes 1 sätestatud eesmärkidel; |
b) |
edastav pädev asutus leiab, et ükski asjaomase andmesubjekti põhiõigus ega -vabadus ei kaalu konkreetse juhtumi puhul üles avalikku huvi, mis teeb vajalikuks edastamise; |
c) |
edastav pädev asutus leiab, et edastamine kolmanda riigi asutusele, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, ei ole tõhus või asjakohane, eelkõige sellepärast, et seda ei ole võimalik teha õigeaegselt; |
d) |
kolmanda riigi asutust, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, teavitatakse põhjendamatu viivituseta, välja arvatud juhul, kui see ei ole tõhus või asjakohane; |
e) |
edastav pädev asutus teavitab vastuvõtjat konkreetsest eesmärgist või konkreetsetest eesmärkidest, millega seoses viimane isikuandmeid töödelda võib, eeldusel et selline töötlemine on vajalik. |
2. Lõikes 1 osutatud rahvusvaheline leping on liikmesriikide ja kolmandate riikide vaheline kahepoolne või mitmepoolne rahvusvaheline leping kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.
3. Edastav pädev asutus teatab käesoleva artikli kohastest edastamistest järelevalveasutusele.
4. Kui edastamine põhineb lõikel 1, tuleb selline edastamine dokumenteerida.
Artikkel 40
Isikuandmete kaitseks tehtav rahvusvaheline koostöö
Komisjon ja liikmesriigid võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et
a) |
töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusat täitmise tagamist; |
b) |
osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamisel, kaebuste edasisaatmisel käsitlemiseks, uurimisabi ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitse meetmeid ning muid põhiõigusi ja -vabadusi; |
c) |
kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel; |
d) |
edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvust puudutavate lahkarvamuste küsimuses. |
VI PEATÜKK
Sõltumatud järelevalveasutused
Artikkel 41
Järelevalveasutus
1. Iga liikmesriik näeb ette, et üks või mitu sõltumatut riigiasutust vastutab käesoleva direktiivi kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi nende isikuandmete töötlemisel ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).
2. Iga järelevalveasutus annab panuse selleks, et tagada käesoleva direktiivi järjekindel kohaldamine kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga.
3. Liikmesriigid võivad sätestada, et määruse (EL) 2016/679 kohaselt loodud järelevalveasutus on käesolevas direktiivis osutatud järelevalveasutus ja ta vastutab käesoleva artikli lõike 1 kohaselt loodava järelevalveasutuse ülesannete täitmise eest.
4. Kui liikmesriigis on rohkem kui üks järelevalveasutus, määrab liikmesriik ühe järelevalveasutuse, kes esindab neid asutusi artiklis 51 osutatud andmekaitsenõukogus.
Artikkel 42
Sõltumatus
1. Liikmesriigid näevad ette, et nende järelevalveasutused tegutsevad käesoleva direktiivi kohaselt oma ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.
2. Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed on oma käesoleva direktiivi kohaste ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning et nad ei küsi ega võta vastu juhiseid mitte kelleltki.
3. Liikmesriikide järelevalveasutuste liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul oma kohustustega kokkusobimatul tasustatud või tasustamata ametikohal.
4. Liikmesriigid näevad ette, et nende järelevalveasutustel on inim-, tehnilised ja rahalised ressursid ning ruumid ja taristu oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.
5. Liikmesriigid näevad ette, et nende järelevalveasutustel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele.
6. Liikmesriigid näevad ette, et nende järelevalveasutuste üle teostatakse sellist finantskontrolli, mis ei mõjuta nende sõltumatust ning et neil on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest.
Artikkel 43
Järelevalveasutuse liikmetele esitatavad üldtingimused
1. Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed nimetab läbipaistva menetluse teel ametisse:
— |
asjaomase liikmesriigi parlament, |
— |
asjaomase liikmesriigi valitsus, |
— |
asjaomase liikmesriigi riigipea või |
— |
liikmesriigi õiguse kohaselt asjaomaseid liikmeid ametisse nimetama volitatud sõltumatu asutus. |
2. Igal liikmel on oma kohustuste täitmiseks ja volituste kasutamiseks vajalik kvalifikatsioon, kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.
3. Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või kohustusliku pensionilemineku korral kooskõlas asjaomase liikmesriigi õigusega.
4. Liige vabastatakse ametist ainult tõsise üleastumise korral või juhul, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele.
Artikkel 44
Järelevalveasutuse asutamise eeskirjad
1. Liikmesriik sätestab õigusega::
a) |
järelevalveasutuse asutamise; |
b) |
järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused; |
c) |
eeskirjad ja menetlused järelevalveasutuse liikmete ametisse nimetamiseks; |
d) |
järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 6. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust; |
e) |
selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning |
f) |
tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid. |
2. Järelevalveasutuse liige või liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii ametiaja jooksul kui ka pärast seda hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis on neile teatavaks saanud nende ülesannete täitmisel või volituste kasutamisel. Liikmete ametiaja jooksul kohaldatakse kõnealust ametisaladuse hoidmise kohustust eelkõige juhtudel, kui füüsilisi isikud teavitavad käesoleva direktiivi rikkumistest.
Artikkel 45
Pädevus
1. Liikmesriigid näevad ette, et nende järelevalveasutused on oma liikmesriigi territooriumil pädevad täitma ülesandeid ja kasutama volitusi, mis on neile kooskõlas käesoleva direktiiviga pandud.
2. Liikmesriigid näevad ette, et nende järelevalveasutused ei ole pädevad valvama kohtute isikuandmete töötlemise toimingute järele, kui kohtud täidavad õigusemõistmise funktsiooni. Liikmesriigid võivad sätestada, et nende järelevalveasutused ei ole pädevad valvama muude sõltumatute õigusasutuste isikuandmete töötlemise toimingute järele, kui need õigusasutused teevad menetlusotsuseid.
Artikkel 46
Ülesanded
1. Liikmesriigid näevad ette, et järelevalveasutusel on liikmesriigi territooriumil järgmised ülesanded:
a) |
valvata käesoleva direktiivi kohaselt vastu võetud sätete ja direktiivi rakendusmeetmete kohaldamise järele ning nende tagada kohaldamist; |
b) |
suurendada üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise kohta kehtivatest normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest; |
c) |
nõustada kooskõlas liikmesriigi õigusega liikmesriigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel; |
d) |
edendada vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva direktiivi kohastest kohustustest; |
e) |
anda andmesubjektile taotluse korral teavet tema käesolevast direktiivist tulenevate õiguste teostamise kohta ja teha asjakohasel juhul sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega; |
f) |
käsitleda andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 55 kohaselt esitatud kaebusi, uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega; |
g) |
kontrollida isikuandmete töötlemise seaduslikkust vastavalt artiklile 17 ning teavitada andmesubjekti mõistliku aja jooksul artikli 17 lõike 3 kohase kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest; |
h) |
teha koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet, ja osutada vastastikust abi, et tagada käesoleva direktiivi ühetaoline kohaldamine ja täitmise tagamine; |
i) |
toimetada uurimisi käesoleva direktiivi kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal; |
j) |
jälgida asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja kommunikatsioonitehnoloogia arengut; |
k) |
anda nõu artiklis 28 osutatud isikuandmete töötlemise toimingute osas ning |
l) |
anda panus andmekaitsenõukogu tegevusse. |
2. Järelevalveasutus võtab meetmeid lõike 1 punktis f osutatud kaebuste esitamise hõlbustamiseks, näiteks annab kaebuste esitamise vormi, mida saab ka täita elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.
3. Järelevalveasutus täidab oma ülesandeid andmesubjekti ja andmekaitseametniku jaoks tasuta.
4. Kui taotlus on selgelt põhjendamatu või ülemäärane, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda oma halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane.
Artikkel 47
Volitused
1. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad uurimisvolitused. Kõnealused volitused hõlmavad vähemalt õigust saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele töödeldavatele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks.
2. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad parandusvolitused, näiteks järgmised:
a) |
hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesolevat direktiivi; |
b) |
anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud tähtaja jooksul vastavusse käesoleva direktiiviga, eelkõige nõudes isikuandmete parandamist, kustutamist või isikuandmete töötlemise piiramist vastavalt artiklile 16; |
c) |
kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas isikuandmete töötlemise keeld. |
3. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad nõuandevolitused nõustada vastutavat töötlejat kooskõlas artiklis 28 osutatud eelneva konsulteerimise menetluse käigus ning esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi liikmesriigi parlamendile, valitsusele või kooskõlas liikmesriigi õigusega muudele institutsioonidele ja asutustele ning samuti avalikkusele.
4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.
5. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva direktiivi kohaselt vastu võetud sätete rikkumistele ning algatada asjakohasel juhul kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva direktiivi kohaselt vastu võetud sätete täitmine.
Artikkel 48
Rikkumistest teatamine
Liikmesriigid näevad ette, et pädevad asutused võtavad kasutusele tõhusad mehhanismid, et ergutada konfidentsiaalset teatamist käesoleva direktiivi rikkumistest.
Artikkel 49
Tegevusaruanne
Järelevalveasutus koostab oma tegevuse kohta aastaaruande, mis võib sisaldada teavitatud rikkumiste ja määratud karistuste liikide loetelu. Aruanded edastatakse liikmesriigi parlamendile, valitsusele ja muudele liikmesriigi õigusega kindlaks määratud asutustele. Aruanne tehakse kättesaadavaks avalikkusele, komisjonile ja andmekaitsenõukogule.
VII PEATÜKK
Koostöö
Artikkel 50
Vastastikune abi
1. Liikmesriigid näevad ette, et nende järelevalveasutused annavad üksteisele asjakohast teavet ja vastastikust abi käesoleva direktiivi järjepidevaks rakendamiseks ja kohaldamiseks ning võtavad meetmeid omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.
2. Liikmesriigid näevad ette, et järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise toimetamise kohta.
3. Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatud teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.
4. Taotluse saanud järelevalveasutus ei või selle täitmisest keelduda, välja arvatud juhul, kui
a) |
ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või |
b) |
taotluse täitmine rikuks käesolevat direktiivi või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigust. |
5. Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või asjakohasel juhul asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse täitmisest keeldumise põhjused vastavalt lõikele 4.
6. Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe üldjuhul elektrooniliselt, kasutades selleks tüüpvormi.
7. Taotluse saanud järelevalveasutused ei võta nende poolt vastastikuse abi taotluse alusel võetud meetmete eest tasu. Järelevalveasutused võivad kokku leppida vastastikuse abi osutamisel erandjuhtudel tekkivate konkreetsete kulude üksteisele hüvitamise normid.
8. Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 51
Andmekaitsenõukogu ülesanded
1. Määrusega (EL) 2016/679 asutatud andmekaitsenõukogu täidab käesoleva direktiivi kohaldamisalasse kuuluva isikuandmete töötlemise valdkonnas järgmisi ülesandeid:
a) |
annab komisjonile nõu liidus isikuandmete kaitse küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta; |
b) |
vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva direktiivi kohaldamist käsitlevaid küsimusi ning annab käesoleva direktiivi järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid; |
c) |
koostab järelevalveasutustele suuniseid seoses artikli 47 lõigetes 1 ja 3 osutatud meetmete kohaldamisega; |
d) |
annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 30 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama; |
e) |
annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tuua tõenäoliselt kaasa suure ohtu füüsiliste isikute õigustele ja vabadustele, nagu on osutatud artikli 31 lõikes 1; |
f) |
vaatab läbi punktides b ja c osutatud suuniste, soovituste ja parimate tavade praktilise kohaldamise; |
g) |
esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis, territooriumil või ühes või mitmes kolmanda riigi konkreetses sektoris või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas selline kolmas riik, territoorium, kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset; |
h) |
edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja parimate tavade vahetamist; |
i) |
edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega; |
j) |
edendab teadmiste ja dokumentide vahetamist andmekaitset käsitleva õiguse ja tava kohta andmekaitse järelevalveasutustega kogu maailmas. |
Seoses esimese lõigu punktiga g esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, kõnealuse kolmanda riigi, territooriumi või kõnealuse kolmanda riigi kindlaksmääratud sektoriga või rahvusvahelise organisatsiooniga.
2. Kui komisjon küsib andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.
3. Andmekaitsenõukogu esitab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artikli 58 lõikes 1 osutatud komiteele ning avalikustab need.
4. Komisjon teavitab andmekaitsenõukogu meetmetest, mida ta võtnud andmekaitsenõukogu arvamuste, suuniste, soovituste ja parimate tavade alusel.
VIII PEATÜKK
Õiguskaitsevahendid, vastutus ja karistused
Artikkel 52
Õigus esitada järelevalveasutusele kaebus
1. Ilma et see piiraks teiste halduslike kaitsevahendite või õiguskaitsevahendite kohaldamist, näevad liikmesriigid ette, et andmesubjektil on õigus esitada kaebus ühele järelevalveasutusele, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesoleva direktiivi kohaselt vastu võetud sätteid.
2. Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, edastab selle põhjendamatu viivituseta pädevale järelevalveasutusele, kui kaebust ei esitata sellele järelevalveasutusele, kes on pädev vastavalt artikli 45 lõikele 1. Andmesubjekti teavitatakse kaebuse edastamisest.
3. Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, annab andmesubjekti taotluse korral talle edasist abi.
4. Pädev järelevalveasutus teavitab andmesubjekti kaebuse menetlemise edenemisest ja tulemusest, kaasa arvatud artikli 53 kohase õiguskaitsevahendi kasutamise võimalusest.
Artikkel 53
Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu
1. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, näevad liikmesriigid ette, et füüsilisel ja juriidilisel isikul on õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.
2. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artikli 45 lõike 1 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 52 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.
3. Liikmesriigid näevad ette, et menetlus järelevalveasutuse vastu algatatakse selle liikmesriigi kohtus, kus järelevalveasutus on asutatud.
Artikkel 54
Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu
Ilma et see piiraks kättesaadavate halduslike kaitsevahendite või kohtuväliste heastamisvahendite kasutamist, sealhulgas artikli 52 kohast õigust esitada kaebus järelevalveasutusele, näevad liikmesriigid ette, et andmesubjektil, kes leiab, et käesoleva direktiivi sätteid rikkuva isikuandmete töötlemise tulemusena on rikutud kõnealustest sätetest talle tulenevaid õigusi, on õigus kasutada tõhusat õiguskaitsevahendit.
Artikkel 55
Andmesubjektide esindamine
Liikmesriigid näevad kooskõlas oma menetlusõigusega ette, et andmesubjektil on õigus volitada mittetulunduslikku asutust, organisatsiooni või ühendust, kes on vastavalt liikmesriigi õigusele nõuetekohaselt asutatud, kelle põhikirjajärgsed eesmärgid on avalikes huvides ja kes tegutseb andmesubjektide õiguste ja vabaduste kaitsmise valdkonnas seoses nende isikuandmete kaitsmisega, esitama tema nimel kaebust ja teostama tema nimel artiklites 52, 53 ja 54 osutatud õigusi.
Artikkel 56
Õigus hüvitisele
Liikmesriigid näevad ette, et igal isikul, kellele on tekitatud varaline või mittevaraline kahju ebaseadusliku isikuandmete töötlemise toimingu või käesoleva direktiivi kohaselt vastu võetud liikmesriigi sätteid rikkuva toimingu tagajärjel, on õigus saada vastutavalt töötlejalt või mõnelt muult liikmesriigi õiguse alusel pädevalt asutuselt hüvitist tekitatud kahju eest.
Artikkel 57
Karistused
Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi kohaselt vastu võetud sätete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja heidutavad.
IX PEATÜKK
Rakendusaktid
Artikkel 58
Komiteemenetlus
1. Komisjoni abistab määruse (EL) 2016/679 artikli 93 alusel loodud komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.
2. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.
3. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.
X PEATÜKK
Lõppsätted
Artikkel 59
Raamotsuse 2008/977/JSK kehtetuks tunnistamine
1. Raamotsus 2008/977/JSK tunnistatakse kehtetuks alates 6. maist 2018.
2. Viiteid lõikes 1 osutatud kehtetuks tunnistatud otsusele käsitatakse viidetena käesolevale direktiivile.
Artikkel 60
Kehtivad liidu õigusaktid
Käesolev direktiiv ei mõjuta isikuandmete kaitse erisätteid, mis jõustusid 6. mail 2016 või enne seda kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt käesoleva direktiivi kohaldamisala ulatuses loodud infosüsteemidele.
Artikkel 61
Seos varem sõlmitud rahvusvaheliste lepingutega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal
Isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist hõlmavad rahvusvahelised lepingud, mille liikmesriigid sõlmisid enne 6. maid 2016, ja mida kohaldati kooskõlas liidu õigusega enne 6. maid 2016, jäävad jõusse kuni nende muutmise, asendamise või lõpetamiseni.
Artikkel 62
Komisjoni aruanded
1. Hiljemalt 6. mail 2022 ja seejärel iga nelja aasta tagant esitab komisjon Euroopa Parlamendile ja nõukogule aruande käesoleva direktiivi hindamise ja läbivaatamise kohta.
2. Lõikes 1 osutatud hindamiste ja läbivaatamiste käigus analüüsib komisjon eelkõige isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamist käsitleva V peatüki sätete kohaldamist ja toimimist, pöörates erilist tähelepanu artikli 36 lõike 3 ja artikli 39 kohaselt vastu võetud otsustele.
3. Lõigetes 1 ja 2 osutatud eesmärkidel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt.
4. Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste asutuste ja allikate seisukohti ja tähelepanekuid.
5. Vajaduse korral esitab komisjon asjakohased ettepanekud käesoleva direktiivi muutmiseks, võttes eelkõige arvesse infotehnoloogia ja -ühiskonna arengut.
6. Komisjon vaatab hiljemalt 6. mail 2019 läbi muud liidu vastu võetud õigusaktid, millega reguleeritakse pädevate asutuste poolt isikuandmete töötlemist artikli 1 lõikes 1 sätestatud eesmärkidel, kaasa arvatud artiklis 60 osutatud õigusaktid, et hinnata vajadust viia need vastavusse käesoleva direktiiviga ning asjakohasel juhul teha vajalikud ettepanekud nende muutmiseks, et tagada järjepidev lähenemine isikuandmete kaitsele käesoleva direktiivi kohaldamisalas.
Artikkel 63
Ülevõtmine
1. Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt 6. mail 2018. Nad edastavad kõnealuste normide teksti viivitamata komisjonile. Nad kohaldavad kõnealuseid norme alates 6. maist 2018.
Kui liikmesriigid need normid vastu võtavad, lisavad nad nende ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.
2. Erandina lõikest 1 võib liikmesriik sätestada, et kui sellega kaasneb ebaproportsionaalne jõupingutus, viiakse enne 6. maid 2016 loodud automatiseeritud isikuandmete töötlemissüsteemid erandjuhul artikli 25 lõikega 1 vastavusse 6. maiks 2023.
3. Erandina käesoleva artikli lõigetest 1 ja 2 võib liikmesriik erandlike asjaolude korral viia käesoleva artikli lõikes 2 osutatud automatiseeritud isikuandmete töötlemissüsteemi vastavusse artikli 25 lõikega 1 kindlaksmääratud tähtaja jooksul pärast käesoleva artikli lõikes 2 osutatud tähtaega, kui vastasel juhul tekiks tõsiseid raskusi kõnealuse konkreetse automatiseeritud töötlemissüsteemi toimimises. Asjaomane liikmesriik teavitab komisjoni kõnealuste tõsiste raskuste põhjustest ja sellise kindlaksmääratud tähtaja põhjustest, mille jooksul ta viib nimetatud konkreetse automatiseeritud töötlemissüsteemi vastavusse artikli 25 lõikega 1. Kindlaksmääratud tähtpäev ei või mingil juhul olla hilisem kui 6. mai 2026.
4. Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas vastuvõetud põhiliste siseriiklike õigusnormide teksti.
Artikkel 64
Jõustumine
Käesolev direktiiv jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Artikkel 65
Adressaadid
Käesolev direktiiv on adresseeritud liikmesriikidele.
Brüssel, 27. aprill 2016
Euroopa Parlamendi nimel
president
M. SCHULZ
Nõukogu nimel
eesistuja
J.A. HENNIS-PLASSCHAERT
(1) ELT C 391, 18.12.2012, lk 127.
(2) Euroopa Parlamendi 12. märtsi 2014. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. aprilli 2016. aasta esimese lugemise seisukoht (Euroopa Liidu Teatajas seni avaldamata). Euroopa Parlamendi 14. aprilli 2016. aasta seisukoht.
(3) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).
(4) Nõukogu 27. novembri 2008. aasta raamotsus 2008/977/JSK kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta (ELT L 350, 30.12.2008, lk 60).
(5) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (vt käesoleva Euroopa Liidu Teataja lk 1).
(6) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).
(7) Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).
(8) Nõukogu 24. jaanuari 2005. aasta ühine seisukoht 2005/69/JSK teatavate andmete vahetamise kohta Interpoliga (ELT L 27, 29.1.2005, lk 61).
(9) Nõukogu 12. juuni 2007. aasta otsus 2007/533/JSK, mis käsitleb teise põlvkonna Schengeni infosüsteemi (SIS II) loomist, toimimist ja kasutamist (ELT L 205, 7.8.2007, lk 63).
(10) Nõukogu 22. märtsi 1977. aasta direktiiv 77/249/EMÜ õigusteenuste osutamise vabaduse tulemuslikuma elluviimise kohta (EÜT L 78, 26.3.1977, lk 17).
(11) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).
(12) Nõukogu 23. juuni 2008. aasta otsus 2008/615/JSK piiriülese koostöö tõhustamise kohta, eelkõige seoses terrorismi- ja piiriülese kuritegevuse vastase võitlusega (ELT L 210, 6.8.2008, lk 1).
(13) Nõukogu 29. mai 2000. aasta akt, millega kehtestatakse Euroopa Liidu lepingu artikli 34 kohane konventsioon Euroopa Liidu riikide vahelise vastastikuse õigusabi kohta kriminaalasjades (EÜT C 197, 12.7.2000, lk 1).
(14) Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT L 335, 17.12.2011, lk 1).
(15) EÜT L 176, 10.7.1999, lk 36.
(16) ELT L 53, 27.2.2008, lk 52.
(17) ELT L 160, 18.6.2011, lk 21.
(18) ELT C 192, 30.6.2012, lk 7.