Euroopa Liidu Teataja L 008 , 12/01/2001 Lk 0001 - 0022
Euroopa Parlamendi Ja Nõukogu määrus (EÜ) nr 45/2001, 18. detsember 2000, üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU, võttes arvesse Euroopa Ühenduse asutamislepingut, eelkõige selle artiklit 286, võttes arvesse komisjoni ettepanekut, [1] võttes arvesse majandus- ja sotsiaalkomitee arvamust, [2] toimides vastavalt asutamislepingu artiklis 251 sätestatud menetlusele [3] ning arvestades järgmist: (1) Asutamislepingu artikliga 286 nähakse ette, et ühenduse institutsioonide ja asutuste suhtes kohaldatakse ühenduse õigusakte, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel ja nende andmete vaba liikumist. (2) Täielikult väljakujundatud isikuandmete kaitse süsteemi jaoks ei piisa andmesubjektide õiguste ning andmetöötlejate kohustuste kindlaksmääramisest, vaid tarvis on ka asjakohaseid sanktsioone üleastujate suhtes ning jälgimist sõltumatu järelevalveorgani poolt. (3) Asutamislepingu artikli 286 lõikega 2 nähakse ette sõltumatu järelevalveorgani loomine, mis vastutab eespool nimetatud ühenduse õigusaktide ühenduse institutsioonide ja asutuste suhtes kohaldamise jälgimise eest. (4) Asutamislepingu artikli 286 lõikega 2 nähakse ette kõikide muude vajalike sätete vastuvõtmine. (5) On tarvis määrust, mis näeks ette täitmisele pööratavad üksikisiku õigused, määratleks ühenduse institutsioonide ja asutuste vastutavate töötlejate andmetöötlusalased kohustused ning looks sõltumatu järelevalveorgani, mis vastutab ühenduse institutsioonides ja asutustes toimuva isikuandmete töötluse jälgimise eest. (6) Konsulteeritud on üksikisikute kaitsmist isikuandmete töötlemisel käsitleva töörühmaga, mis on loodud Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) [4] artikli 29 kohaselt. (7) Kaitsmisele kuuluvad need isikud, kelle isikuandmeid ükskõik mis põhjustel töödeldakse ühenduse institutsioonides või asutustes, näiteks seetõttu, et nad nendes institutsioonides või asutustes töötavad. (8) Andmete kaitsmise põhimõtteid tuleb kohaldada identifitseeritud või identifitseeritava isiku kohta käiva igasuguse teabe suhtes. Isiku identifitseeritavuse kindlakstegemisel tuleb arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib andmesubjekti identifitseerimiseks tõenäoliselt kasutada. Kaitsmise põhimõtteid ei kohaldata teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik identifitseerida. (9) Direktiiviga 95/46/EÜ nõutakse, et liikmesriigid kaitseksid isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele, et tagada isikuandmete vaba liikumine ühenduses. (10) Euroopa Parlamendi ja nõukogu 15. detsembri 1997. aasta direktiiv 97/66/EÜ, [5] milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset telekommunikatsioonisektoris, täpsustab ja täiendab direktiivi 95/46/EÜ telekommunikatsioonisektoris isikuandmete töötlemise osas. (11) Direktiivi 95/46/EÜ täpsustamiseks ja täiendamiseks on ette nähtud ka mitmed muud ühenduse meetmed valdkondades, millega need seonduvad, sealhulgas siseriiklike asutuste ja komisjoni vahelise vastastikuse abiga seotud meetmed. (12) Isikuandmete töötlemisel tuleks tagada üksikisikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu ühenduses. (13) Eesmärk on tagada nii tõhus üksikisikute põhiõiguste ja -vabaduste kaitsega seotud eeskirjade kohaldamine kui ka isikuandmete vaba liikumine liikmesriikide ja ühenduse institutsioonide või asutuste vahel, samuti ühenduse institutsioonide ja asutuste vahel seoses nende asjaomase pädevuse teostamisega. (14) Selleks tuleks vastu võtta ühenduse institutsioonide ja asutuste jaoks siduvad meetmed. Neid meetmeid tuleks kohaldada kõikides ühenduse institutsioonides ja asutustes toimuva isikuandmete töötlemise suhtes, kui see toimub täielikult või osaliselt ühenduse õigusaktidega hõlmatud toimingute teostamiseks. (15) Kui töötlemine ühenduse institutsioonides või asutustes toimub seoses toimingutega, mis ei kuulu käesoleva määruse reguleerimisalasse, eelkõige seoses Euroopa Liidu lepingu V ja VI jaotises ettenähtud toimingutega, tagatakse üksikisikute põhiõigused ja -vabadused Euroopa Liidu lepingu artiklit 6 arvesse võttes. Dokumentidele, sealhulgas isikuandmeid sisaldavatele dokumentidele juurdepääsu reguleeritakse eeskirjadega EÜ asutamislepingu artikli 255 alusel, mille reguleerimisala hõlmab Euroopa Liidu lepingu V ja VI peatükki. (16) Meetmeid ei tuleks kohaldada asutuste suhtes, mis ei kuulu ühenduse raamistikku, samuti ei peaks järelevalve isikuandmete töötlemise üle nimetatud asutustes kuuluma Euroopa andmekaitseinspektori pädevusse. (17) Üksikisikute tõhus kaitsmine seoses isikuandmete töötlemisega liidus eeldab, et asjaomaste erinevate õiguslike toimingute suhtes kohaldatavad eeskirjad ja toimingud oleksid järjekindlad. Selle juures on esimeseks sammuks isikuandmete kaitsmise põhimõtete väljatöötamine kriminaalasjades tehtava õigusalase koostöö ja politsei- ning tollikoostöö valdkondades ning Europoli konventsiooni, infotehnoloogia tollialasteks eesmärkideks kasutamise konventsiooni ja Schengeni konventsiooniga loodud ühiste järelevalveorganite sekretariaadi loomine. (18) Käesolev määrus ei tohiks mõjutada liikmesriikidele direktiividega 95/46/EÜ ja 97/66/EÜ pandud õigusi ja kohustusi. Selle eesmärk ei ole muuta olemasolevaid menetlusi ja tavasid, mida liikmesriigid seaduslikul alusel kohaldavad riigi julgeoleku alal, rahutuste vältimiseks või kriminaalkuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks kooskõlas Euroopa ühenduste privileegide ja immuniteetide protokolli ning rahvusvahelise õigusega. (19) Kui ühenduse institutsioonid ja asutused leiavad, et jälgida tuleks liikmesriigi telekommunikatsioonivõrkude kaudu edastatavaid teateid, peaksid nad liikmesriikide pädevaid asutusi sellest teavitama ning järgima kehtivaid siseriiklikke sätteid. (20) Ühenduse institutsioonide ja asutuste suhtes kohaldatavad sätted peaksid olema kooskõlas sätetega, mis on kehtestatud seoses siseriiklike õigusaktide ühtlustamisega või muu ühenduse tegevuspoliitikaga, eelkõige vastastikuse abistamise valdkonnas. Siiski võib osutuda vajalikuks teha nimetatud sätetesse täpsustusi ja täiendusi, et tagada kaitse isikuandmete töötlemisel ühenduse institutsioonides ja asutustes. (21) See kehtib nende isikute õiguste kohta, kelle andmeid töödeldakse, töötlevate ühenduse institutsioonide ja asutuste kohustuste kohta ning volituste kohta, mis antakse käesoleva määruse nõuetekohase kohaldamise eest vastutavale sõltumatule järelevalveorganile. (22) Andmesubjektile antud õigused ning nende teostamine ei tohiks mõjutada vastutavale töötlejale pandud kohustusi. (23) Sõltumatu järelevalveorgan peaks järelevalvefunktsioone teostama kooskõlas asutamislepingu ning inimõiguste ja põhivabadustega. Ta peaks uurimist korraldama privileegide ja immuniteetide protokolli ning Euroopa ühenduste ametnike personalieeskirjade ja ühenduste muude teenistujate teenistustingimuste kohaselt. (24) Tuleb võtta vajalikud tehnilised meetmed, et sõltumatu järelevalveorgani kaudu võimaldada juurdepääs andmekaitseametnike peetavatele töötlustoimingute registritele. (25) Sõltumatu järelevalveorgani otsused andmetöötlustoimingutega seotud erandite, tagatiste, lubade ning tingimuste kohta, nagu need on määratletud käesolevas määruses, tuleks avaldada tegevusaruandes. Iga-aastasest tegevusaruandest eraldi võib sõltumatu järelevalveorgan avaldada aruandeid konkreetsete küsimuste kohta. (26) Teatavaid töötlemistoiminguid, mille puhul võib eeldada erilist ohtu andmesubjektide õigustele ja vabadustele, peab sõltumatu järelevalveorgan eelnevalt kontrollima. Eelkontrolliga seoses esitatud arvamus, sealhulgas tähtajaks vastamata jätmisest tulenev arvamus ei tohiks mõjutada sõltumatu järelevalveorgani võimalust hiljem kõnealuse töötlemistoimingu suhtes oma volitusi kasutada. (27) Isikuandmete töötlemine ühenduse institutsioonides ja asutustes seoses üldistes huvides täidetavate ülesannetega hõlmab nende institutsioonide ja asutuste juhtimiseks ja toimimiseks vajalikku isikuandmete töötlemist. (28) Teatavatel juhtudel tuleb luba andmete töötlemiseks anda ühenduse sätete või ühenduse sätete ülevõtmise aktidega. Üleminekuperioodi jooksul, mil nimetatud sätted puuduvad, võib kuni nende vastuvõtmiseni anda Euroopa andmekaitseinspektor loa nimetatud andmete töötlemiseks, kui võetakse kohased kaitsemeetmed. Seejuures peab ta arvesse võtma eelkõige sätteid, mis on samalaadsete küsimuste käsitlemiseks vastu võetud liikmesriikides. (29) Nimetatud juhud seonduvad selliste andmete töötlemisega, mis toovad esile rassilise või etnilise kuuluvuse, poliitilised, usulised või filosoofilised tõekspidamised, kuulumise ametiühingusse, ja selliste andmete töötlemisega, mis seonduvad tervise või seksuaaleluga ning mida on tarvis vastutava töötleja konkreetsete õiguste teostamiseks ja kohustuste täitmiseks tööseaduste valdkonnas või olulise avaliku huvi korral. Need seonduvad ka õiguserikkumisi, kriminaalkaristusi või julgeolekumeetmeid käsitlevate andmete töötlemisega ning loaga kohaldada andmesubjekti suhtes tema jaoks õiguslikke tagajärgi omavat või teda oluliselt mõjutavat otsust, mis põhineb üksnes tema teatavate isikuomaduste hindamiseks teostataval automatiseeritud andmetöötlusel. (30) Võib olla tarvis jälgida ühenduse institutsioonide ja asutuste kontrolli all toimivaid arvutivõrke, et ennetada nende loata kasutamist. Millal ja mis tingimustel see on võimalik, peaks kindlaks määrama Euroopa andmekaitseinspektor. (31) Vastutust käesoleva määruse igasuguse rikkumise eest reguleerib asutamislepingu artikli 288 teine lõik. (32) Igas ühenduse institutsioonis või asutuses peaks olema üks või mitu andmekaitseametnikku, kes tagaks(id) käesoleva määruse sätete täitmise ning nõustaksid vastutavaid töötlejaid nende kohustuste täitmisel. (33) Ühenduse statistikat käsitleva nõukogu 17. veebruari 1997. aasta määruse (EÜ) nr 322/97 [6] artikli 21 kohaselt ei mõjuta nimetatud määrus direktiivi 95/46/EÜ kohaldamist. (34) Statistilise teabe kogumist Euroopa Keskpanga poolt käsitleva nõukogu 23. novembri 1998. aasta määruse (EÜ) nr 2533/98 [7] artikli 8 lõike 8 kohaselt ei mõjuta nimetatud määrus direktiivi 95/46/EÜ kohaldamist. (35) Konfidentsiaalsete statistiliste andmete edastamist Euroopa Ühenduste Statistikaametile käsitleva nõukogu 11. juuni 1990. aasta määruse (Euratom, EMÜ) nr 1588/90 [8] artikli 1 lõike 2 kohaselt ei mõjuta nimetatud määrusega tehtavad erandid ühenduse või siseriiklikke erisätteid, mis kaitsevad muud kui statistilist konfidentsiaalsust. (36) Käesoleva määruse eesmärk ei ole piirata liikmesriikide tegutsemisruumi direktiivi 95/46/EÜ artikli 32 kohaste siseriiklike andmekaitseseaduste koostamisel vastavalt asutamislepingu artiklile 249, ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE: I PEATÜKK ÜLDSÄTTED Artikkel 1 Määruse eesmärk 1. Käesoleva määruse kohaselt kaitsevad Euroopa ühenduste asutamislepingutega või nende alusel loodud institutsioonid ja asutused, edaspidi "ühenduse institutsioonid ja asutused", füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust eraelu puutumatusele isikuandmete töötlemisel, ning ei piira ega keela isikuandmete vaba liikumist endi vahel ega vastuvõtjatele, kes rakendavad direktiivi 95/46/EÜ kohaseid siseriiklikke õigusnorme. 2. Käesoleva määrusega loodud sõltumatu järelevalveorgan, edaspidi "Euroopa andmekaitseinspektor", jälgib käesoleva määruse sätete kohaldamist kõikide ühenduse institutsioonide või asutuste töötlemistoimingute puhul. Artikkel 2 Mõisted Käesolevas määruses kasutatakse järgmisi mõisteid: a) isikuandmed – igasugune teave üheselt identifitseeritud või identifitseeritava füüsilise isiku (edaspidi "andmesubjekt") kohta; identifitseeritav isik on isik, keda saab otseselt või kaudselt kindlaks teha, eelkõige identifitseerimisnumbri abil või tema ühe või mitme füüsilise, psühholoogilise, psüühilise, majandusliku, kultuurilise või sotsiaalse omaduse kaudu; b) isikuandmete töötlemine (edaspidi "töötlemine") — iga isikuandmetega tehtav toiming või mitu toimingut, olenemata sellest, kas see (need) on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel kättesaadavaks tegemine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine; c) isikuandmete kataloog (edaspidi "kataloog") — kõik isikuandmete korrastatud kogumid, millest võib saada andmeid teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsetel või geograafilistel põhimõtetel hajutatud; d) vastutav töötleja — ühenduse institutsioon või asutus, peadirektoraat, selle üksus või mis tahes muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja viisid on kindlaks määratud ühenduse teatava õigusaktiga, võib vastutava töötleja või tema kohalemääramise konkreetsed kriteeriumid ette näha selle ühenduse õigusaktiga; e) volitatud töötleja — füüsiline või juriidiline isik, riigi- või kohaliku omavalitsuse asutus või mõni muu organ, kes töötleb isikuandmeid vastutava töötleja nimel; f) kolmas isik — kõik füüsilised või juriidilised isikud, riigi- või kohaliku omavalitsuse asutused või muud organid, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses; g) vastuvõtja — füüsiline või juriidiline isik, riigi- või kohaliku omavalitsuse asutus või mõni muu organ, kellele andmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte; vastuvõtjateks ei peeta asutusi, kes võivad andmeid saada seoses konkreetse järelepärimisega; h) andmesubjektinõusolek — iga vabatahtlik, selgelt väljendatud ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku enda kohta käivaid andmeid töödelda. Artikkel 3 Reguleerimisala 1. Käesolevat määrust kohaldatakse kõikides ühenduse institutsioonides ja asutustes toimuva isikuandmete töötlemise suhtes, kui töötlemise eesmärgiks on täielikult või osaliselt ühenduse õigusaktidega hõlmatud toimingute teostamine. 2. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda. II PEATÜKK ÜLDISED EESKIRJAD ISIKUANDMETE TÖÖTLEMISE SEADUSLIKKUSE KOHTA 1. JAGU ANDMETE KVALITEEDI PÕHIMÕTTED Artikkel 4 Andmete kvaliteet 1. Tuleb tagada, et: a) isikuandmeid töödeldakse õiglaselt ja seaduslikult; b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ega töödelda hiljem viisil, mis on vastuolus kõnealuste eesmärkidega. Isikuandmete hilisem töötlemine ajaloo-, statistika- või teadusuuringutega seotud eesmärkidel ei ole keelatud, kui vastutav töötleja annab asjakohase garantii eelkõige selle kohta, et andmeid ei töödelda muudel eesmärkidel ega kasutata konkreetse üksikisikuga seotud meetmete või otsuse õigustamiseks; c) isikuandmed on piisavad, asjakohased ega ületa selle otstarbe piire, mille tarvis neid kogutakse ja/või hiljem töödeldakse; d) isikuandmed on täpsed ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed, et kustutada või parandada andmed, mis andmete kogumise või hilisema töötlemise eesmärki silmas pidades on ebaõiged või mittetäielikud; e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte identifitseerida ainult seni, kuni see on vajalik seoses andmete kogumise või hilisema töötlemise eesmärkidega. Ühenduse institutsioon või asutus näeb ette, et isikuandmed, mida säilitatakse pikema aja jooksul ajaloo-, statistika- või teadusuuringutes kasutamiseks, on kas vormilt anonüümsed või, kui see ei ole võimalik, on andmesubjektide identiteet krüpteeritud. Ühelgi juhul ei tohi andmeid kasutada muul kui ajaloo-, statistika- või teadusuuringutega seotud eesmärgil. 2. Lõike 1 järgimise tagab vastutav töötleja. 2. JAGU ANDMETÖÖTLUSE SEADUSLIKKUSE KRITEERIUMID Artikkel 5 Töötlemise seaduslikkus Isikuandmeid võib töödelda üksnes juhul, kui: a) töötlemine on Euroopa ühenduste asutamislepingute või nende alusel vastuvõetud muude õigusaktide kohaselt vajalik üldistes huvides oleva ülesande täitmiseks või vajalik andmeid saavale ühenduse institutsioonile või asutusele või kolmandale isikule talle antud ametlike volituste seaduslikuks teostamiseks; b) töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks; c) töötlemine on vajalik sellise lepingu täitmiseks, mille osapool on andmesubjekt, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele; d) andmesubjekt on selleks andnud ühemõttelise nõusoleku; e) töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks. Artikkel 6 Eesmärgi muutumine Ilma et see mõjutaks artiklite 4, 5 ja 10 kohaldamist: 1. võib isikuandmeid töödelda muul eesmärgil kui see, milleks need koguti, vaid juhul, kui eesmärgi muutumine on otsesõnu lubatud ühenduse institutsiooni või asutuse sise-eeskirjadega; 2. ei kasutata üksnes töötlemissüsteemide või -toimingute turvalisuse või kontrolli tagamiseks kogutud isikuandmeid muul eesmärgil, välja arvatud raskete kuritegude ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine. Artikkel 7 Ühenduse institutsioonide või asutuste sisene või nendevaheline isikuandmete edastamine Ilma, et see mõjutaks artiklite 4, 5, 6 ja 10 kohaldamist: 1. edastatakse isikuandmeid ühenduse institutsioonide või asutuste siseselt või nende vahel üksnes juhul, kui andmeid on tarvis vastuvõtja pädevusse kuuluvate ülesannete seaduslikuks täitmiseks; 2. kui andmeid edastatakse vastuvõtja taotluse alusel, kannavad edastamise seaduslikkuse eest vastutust nii vastutav töötleja kui vastuvõtja. Vastutav töötleja peab kontrollima vastuvõtja pädevust ja andma andmete edastamise vajalikkuse kohta esialgse hinnangu. Kui vajalikkuse osas tekib kahtlusi, taotleb vastutav töötleja vastuvõtjalt täiendavat teavet. Vastuvõtja tagab, et andmete edastamise vajalikkust on võimalik hiljem kontrollida; 3. töötleb vastuvõtja isikuandmeid üksnes sel eesmärgil, milleks need edastati. Artikkel 8 Isikuandmete edastamine direktiivi 95/46/EÜ kohastele vastuvõtjatele, kes ei ole ühenduse institutsioonid ega asutused Ilma et see mõjutaks artiklite 4, 5, 6 ja 10 kohaldamist, edastatakse isikuandmeid direktiivi 95/46/EÜ alusel vastuvõetud siseriiklike õigusaktide kohastele vastuvõtjatele üksnes juhul, kui: a) vastuvõtja tõendab, et andmeid on tarvis üldistes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks; b) vastuvõtja tõendab andmete saamise vajalikkust ning ei ole alust karta andmesubjekti õigustatud huvide kahjustamist. Artikkel 9 Isikuandmete edastamine vastuvõtjatele, kes ei ole direktiivi 95/46/EÜ kohased vastuvõtjad ja kes ei ole ühenduse institutsioonid ega asutused 1. Vastuvõtjatele, kes ei ole ühenduse institutsioonid ja asutused ja kes ei ole direktiivi 95/46/EÜ alusel vastuvõetud siseriiklike õigusaktide kohased vastuvõtjad, edastatakse isikuandmeid üksnes juhul, kui vastuvõtja asukohariigis või vastuvõtvas rahvusvahelises organisatsioonis on tagatud nõuetekohasel tasemel kaitse ning andmeid edastatakse üksnes vastutava töötleja pädevusse kuuluvate ülesannete täitmiseks. 2. Andmekaitse taset kolmandas riigis või rahvusvahelises organisatsioonis hinnatakse, pidades silmas kõiki andmete edastamistoimingute või andmete edastamistoimingute kogumi asjaolusid; tähelepanu pööratakse eelkõige andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele, vastuvõtvale kolmandale riigile või vastuvõtvale rahvusvahelisele organisatsioonile, kõnealuses kolmandas riigis või kõnealuse rahvusvahelise organisatsiooni suhtes kehtivatele nii üldistele kui ka konkreetse sektori õigusnormidele ja kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis järgitavatele ametieeskirjadele ja turvameetmetele. 3. Ühenduse institutsioonid ja asutused teavitavad komisjoni ja Euroopa andmekaitseinspektorit juhtudest, kus kõnealune kolmas riik või rahvusvaheline organisatsioon nende arvates ei taga nõuetekohasel tasemel kaitset lõike 2 tähenduses. 4. Komisjon teeb artiklit 3 osutatud juhtumid teatavaks liikmesriikidele. 5. Kui komisjon direktiivi 95/46/EÜ artikli 25 lõigete 4 ja 6 kohaselt leiab, et kolmas riik või rahvusvaheline organisatsioon tagab või ei taga nõuetekohasel tasemel kaitset, võtavad ühenduse institutsioonid ja asutused komisjoni otsuste täitmiseks vajalikud meetmed. 6. Erandina lõigetest 1 ja 2 võib ühenduse institutsioon või asutus isikuandmeid edastada järgmistel juhtudel: a) andmesubjekt on andmete kavandatud edastamiseks andnud oma ühemõttelise nõusoleku; b) edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotlusel võetud lepingueelsete meetmete rakendamiseks; c) edastamine on vajalik andmesubjekti huvides vastutava töötleja ja kolmanda isiku vahel sõlmitava lepingu sõlmimiseks või täitmiseks; d) edastamine on vajalik või seaduste järgi nõutav üldiste huvidega seotud olulistel põhjustel või õigusliku nõude koostamiseks, esitamiseks või kaitsmiseks; e) edastamine on vajalik andmesubjekti eluliste huvide kaitsmiseks; f) edastatavad andmed on pärit registrist, mis ühenduse õigusnormide kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud üldsusele või kõigile õigustatud huvidega isikutele, kuivõrd konkreetsel juhul täidetakse tingimusi, mis ühenduse õigusaktidega on tutvumiseks ette nähtud. 7. Ilma et see piiraks lõike 6 kohaldamist, võib Euroopa andmekaitseinspektor lubada isikuandmete ühe- või mitmekordset edastamist kolmandasse riiki või rahvusvahelisele organisatsioonile, mis ei taga kaitse piisavat taset lõigete 1 ja 2 tähenduses, kui vastutav töötleja esitab piisavad tagatised üksikisikute eraelu puutumatuse ning põhiõiguste ja -vabaduste kaitse ja vastavate õiguste kasutamise kohta; sellised tagatised võivad tuleneda eelkõige asjakohastest lepingutingimustest. 8. Ühenduse institutsioonid ja asutused teavitavad Euroopa andmekaitseinspektorit nende juhtumite liikidest, mille puhul nad on kohaldanud lõikeid 6 ja 7. 3. JAGU TÖÖTLEMISE ERIKATEGOORIAD Artikkel 10 Andmete eriliikide töötlemine 1. Keelatud on töödelda selliseid isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumise, ning tervislikku seisundit või seksuaalelu käsitlevate andmete töötlemine. 2. Lõiget 1 ei kohaldata, kui: a) andmesubjekt on andnud nende andmete töötlemiseks oma selgesõnalise nõusoleku, välja arvatud juhul, kui ühenduse institutsiooni või asutuse sise-eeskirjades on sätestatud, et andmesubjekti nõusolek ei saa kaotada artiklis 1 osutatud keeldu; b) töötlemine on vajalik vastutava töötleja konkreetsete õiguste teostamiseks või kohustuste täitmiseks tööõiguse valdkonnas ja tingimusel, et selleks on antud luba Euroopa ühenduste asutamislepingute või nende alusel vastuvõetud muude õigusaktidega või kui selleks on vajaduse korral nõuetekohaste tagatiste olemasolul nõusoleku andnud Euroopa andmekaitseinspektor; c) töötlemine on vajalik selleks, et kaitsta andmesubjekti või mõne teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma; d) töödeldakse andmeid, mis andmesubjekt on ilmselgelt avalikustanud, või kui töötlemine on vajalik õigusliku nõude koostamiseks, esitamiseks või kaitsmiseks; e) töötlemine toimub nõuetekohast kaitset pakkuva ning ühenduse institutsiooni või asutusega integreeritud mittetulundusühingu seadusliku tegevuse raames, kelle suhtes ei kohaldata direktiivi 95/46/EÜ artikli 4 alusel siseriiklikke andmekaitsenorme ning kellel on poliitika, filosoofia, religiooni või ametiühingutega seotud eesmärgid, tingimusel et töötlemine seondub üksnes selle ühingu liikmetega või ühingu eesmärkide täitmiseks sellega alalistes sidemetes olevate isikutega ning et andmeid andmesubjekti nõusolekuta kolmandatele isikutele ei avaldata. 3. Lõiget 1 ei kohaldata, kui andmete töötlemine on vajalik ennetava meditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste juhtimise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib samaväärne saladuse hoidmise kohustus. 4. Nõuetekohase kaitse tagamise korral ning olulistes avalikes huvides võib Euroopa ühenduste asutamislepingutega või nende alusel vastuvõetud muude õigusaktidega või vajaduse korral Euroopa andmekaitseinspektori otsusega teha artiklit 2 nimetamata täiendavaid erandeid. 5. Õiguserikkumiste, kriminaalkaristuste või julgeolekumeetmetega seotud andmeid võib töödelda üksnes juhul, kui see on lubatud Euroopa ühenduste asutamislepingutega või muude nende alusel vastuvõetud õigusaktidega või vajaduse korral Euroopa andmekaitseinspektori poolt tingimusel, et tagatud on konkreetne nõuetekohane kaitse. 6. Euroopa andmekaitseinspektor määrab kindlaks tingimused, millal ühenduse institutsioon või asutus võib töödelda isikukoodi või muud üldkasutatavat identifikaatorit. 4. JAGU ANDMESUBJEKTILE ANTAV TEAVE Artikkel 11 Teave, mis tuleb anda juhul, kui andmed on saadud andmesubjektilt 1. Vastutav töötleja annab andmesubjektile, kelle käest temaga seotud andmed on saadud ning välja arvatud juhul, kui ta seda teavet juba valdab, vähemalt järgmise teabe: a) vastutava töötleja isikuandmed; b) andmete töötlemise eesmärk; c) andmete vastuvõtjad või vastuvõtjate kategooriad; d) kas küsimustele vastamine on kohustuslik või vabatahtlik ja vastamata jätmise võimalikud tagajärjed; e) andmesubjekti õigus tutvuda enda kohta käivate andmetega ja neid parandada; f) täiendav teave, näiteks: i) andmete töötlemise eesmärgi õiguslik alus, ii) andmete säilitamise tähtaeg, iii) õigus pöörduda igal ajal abi saamiseks Euroopa andmekaitseinspektori poole, kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete kogumise konkreetseid asjaolusid. 2. Erandina lõikest 1 võib teabe andmist täielikult või osaliselt edasi lükata, välja arvatud lõike 1 punktides a, b ja d osutatud teave, kuni see on vajalik statistilistel eesmärkidel. Teave tuleb anda kohe, kui selle kinnipidamise põhjus ära langeb. Artikkel 12 Teave, mis tuleb anda juhul, kui andmed ei ole saadud andmesubjektilt 1. Kui andmeid ei ole saadud andmesubjektilt, esitab vastutav töötleja hiljemalt isikuandmete salvestamise ajal, või kui andmed kavatsetakse avaldada kolmandale isikule, siis hiljemalt andmete esmakordse avaldamise ajal, andmesubjektile vähemalt järgmise teabe, kui viimane seda juba ei tea: a) vastutava töötleja isikuandmed; b) töötlemistoimingu eesmärk; c) asjaomaste andmete liigid; d) vastuvõtjad või vastuvõtjate kategooriad; e) andmesubjekti õigus tutvuda enda kohta käivate andmetega ja neid parandada; f) täiendav teave, näiteks: i) andmete töötlemise eesmärgi õiguslik alus, ii) andmete säilitamise tähtaeg, iii) õigus pöörduda igal ajal abi saamiseks Euroopa andmekaitseinspektori poole, iv) andmete päritolu, välja arvatud juhul, kui vastutav töötleja ei saa seda avaldada ametisaladusega seotud põhjustel, kuivõrd selline täiendav teave on vajalik, et tagada andmesubjekti suhtes õiglane andmete töötlemine, võttes arvesse andmete töötlemise konkreetseid asjaolusid. 2. Lõiget 1 ei kohaldata, kui eelkõige statistikaga seotud eesmärkidel või ajaloo- või teadusuuringutega seotud eesmärkidel toimuva töötlemise puhul osutub sellise teabe andmine võimatuks või kui see eeldab ülemääraseid jõupingutusi või kui selliste andmete salvestamine või avalikustamine on ühenduse õigusaktides selgelt sätestatud. Nimetatud juhtudel annab ühenduse institutsioon või asutus pärast Euroopa andmekaitseinspektoriga konsulteerimist nõuetekohased tagatised. 5. JAGU ANDMESUBJEKTI ÕIGUSED Artikkel 13 Õigus tutvuda andmetega Andmesubjektil on õigus piiranguteta ning kolme kuu jooksul alates vastava taotluse esitamisest saada vastutavalt töötlejalt tasuta: a) kinnitust, kas temaga seotud andmeid töödeldakse või mitte; b) teavet vähemalt töötlemise eesmärkide, kasutatavate andmeliikide ning vastuvõtja või vastuvõtjate kategooriate kohta, kellele andmeid avaldatakse; c) arusaadaval kujul teavet töödeldavate andmete ja võimaluse korral nende allika kohta; d) selgitust teda puudutava automatiseeritud otsustusprotsessi toimimise loogika kohta. Artikkel 14 Parandamine Andmesubjektil on õigus nõuda vastutavalt töötlejalt ebatäpsete või mittetäielike isikuandmete viivitamatut parandamist. Artikkel 15 Sulgemine 1. Andmesubjektil on õigus nõuda vastutavalt töötlejalt andmete sulgemist, kui: a) andmesubjekt seab kahtluse alla nende täpsuse, et vastutav töötleja saaks teatava tähtaja jooksul kontrollida andmete täpsust ja täielikkust; b) vastutav töötleja ei vaja neid enam oma ülesannete täitmiseks, kuid andmeid tuleb säilitada tõendamise eesmärgil; c) töötlemine on ebaseaduslik ning andmesubjekt ei nõua nende kustutamist, vaid hoopis sulgemist. 2. Automaatkataloogides tagatakse sulgemine üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmed on suletud, tuleb süsteemis esitada selliselt, et nende kasutamise keeld oleks selge. 3. Käesoleva artikli kohaselt suletud isikuandmeid võib säilitamise eesmärgil töötlemist arvesse võtmata töödelda üksnes tõendamiseks, andmesubjekti nõusolekul või kolmanda isiku õiguste kaitsmiseks. 4. Oma andmete sulgemist taotlenud ja selle saavutanud andmesubjektile teatab vastutav töötleja ette andmete sulgemise lõpetamisest. Artikkel 16 Kustutamine Andmesubjektil on õigus nõuda vastutavalt töötlejalt andmete kustutamist, kui nende töötlemine on ebaseaduslik, eelkõige II peatüki 1., 2. ja 3. jao sätete rikkumise korral. Artikkel 17 Kolmandate isikute teavitamine Andmesubjektil on õigus vastutavalt töötlejalt nõuda andmeid saanud kolmanda isiku teavitamist igasugusest artiklite 13—16 kohasest parandusest, kustutusest või sulgemisest, välja arvatud juhud, kui see on võimatu või nõuab ülemääraseid jõupingutusi. Artikkel 18 Andmesubjekti õigus esitada vastuväiteid Andmesubjektil on õigus: a) esitada igal ajal oma konkreetse seisundiga seotud veenvatel ja õigustatud põhjustel vastuväiteid endaga seotud andmete töötlemise kohta, välja arvatud artikli 5 punktides b, c ja d sätestatud juhud. Kui tegemist on õigustatud vastuväitega, ei tohi edasises töötlemises kõnealuseid andmeid enam kasutada; b) saada teavet enne, kui temaga seotud isikuandmed esmakordselt kolmandatele isikutele avaldatakse või kui need esmakordselt otseturustuse eesmärgil andmeid kasutavad, kusjuures talle tuleb pakkuda võimalust tasuta esitada nimetatud avaldamise või kasutamise kohta vastuväiteid. Artikkel 19 Automatiseeritud töötlusel põhinevad üksikotsused Andmesubjektil on õigus mitte alluda tema jaoks õiguslikke tagajärgi omavale või teda oluliselt mõjutavale otsusele, mis põhineb üksnes tema teatavate isikuomaduste, näiteks tööviljakuse, usaldusväärsuse või käitumise hindamiseks läbiviidud automatiseeritud andmetöötlusel, välja arvatud juhul, kui otsuse tegemine on selgesõnaliselt lubatud siseriiklike või ühenduse õigusaktide kohaselt, või kui vajaduse korral on loa andnud Euroopa andmekaitseinspektor. Igal juhul tuleb võtta meetmeid andmesubjekti õigustatud huvide kaitsmiseks, näiteks võimaldada tal väljendada isiklikku arvamust. 6. JAGU ERANDID JA PIIRANGUD Artikkel 20 Erandid ja piirangud 1. Ühenduse institutsioonid ja asutused võivad piirata artikli 4 lõike 1, artikli 11, artikli 12 lõike 1, artiklite 13—17 ning artikli 37 lõike 1 kohaldamist, kui piirang on vajalik, et tagada: a) kuritegude ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine; b) liikmesriigi või Euroopa ühenduste olulised majanduslikud või rahanduslikud huvid, sealhulgas raha-, eelarve- ja maksuküsimused; c) andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse; d) liikmesriikide julgeolek, avalik kord või riigikaitse; e) jälgimine, kontrollimine ja regulatiivne funktsioon, mis on kas või ajutiselt seotud avaliku võimu teostamisega punktides a ja b osutatud juhtudel. 2. Artikleid 13—16 ei kohaldata, kui andmeid töödeldakse üksnes teadusuuringutega seotud eesmärgil või hoitakse isikustatuina ainult niikaua, kui on vaja statistika koostamiseks, tingimusel et ilmselgelt ei ohustata andmesubjekti eraelu puutumatust ja vastutav töötleja annab nõuetekohased õiguslikud tagatised eelkõige selleks, et andmeid ei kasutataks konkreetsete üksikisikutega seotud meetmete ega otsuste võtmiseks. 3. Lõikes 1 sätestatud piirangu kehtestamise korral tehakse andmesubjektile ühenduse õigusaktide kohaselt teatavaks piirangu kohaldamise peamised põhjused ning tema õigus pöörduda abi saamiseks Euroopa andmekaitseinspektori poole. 4. Kui andmesubjektile keelatakse artiklit 1 sätestatud piirangu tõttu juurdepääs andmetele, teeb Euroopa andmekaitseinspektor kaebuse uurimisel talle teatavaks üksnes asjaolu, kas andmeid on töödeldud nõuetekohaselt, ning kui mitte, siis kas vajalikud parandused on tehtud. 5. Lõigetes 3 ja 4 osutatud teabe andmist võib edasi lükata niikauaks, et lõike 1 kohaselt kehtestatud piirang nimetatud teabe suhtes enam ei kehti. 7. JAGU TÖÖTLEMISE KONFIDENTSIAALSUS JA TURVALISUS Artikkel 21 Töötlemise konfidentsiaalsus Ühenduse institutsiooni või asutuse töötaja ja iga volitatud töötlejana toimiv ühenduse institutsioon või asutus, kellel on juurdepääs isikuandmetele, töötleb neid üksnes vastutava töötleja ülesandel, kui siseriiklikes või ühenduse õigusaktides ei ole sätestatud teisiti. Artikkel 22 Töötlemise turvalisus 1. Võttes arvesse tehnika taset ja selliste meetmete elluviimise kulusid, peab vastutav töötleja rakendama kohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada kaitstavate isikuandmete töötlemisest ja laadist tulenevatele ohtudele vastav turvalisuse tase. Nimetatud meetmeid võetakse eelkõige selleks, et ennetada loata avalikustamist või juurdepääsu, eksikombel või ebaseaduslikku hävitamist ja juhuslikku kaotsiminekut või muutmist ning igasuguseid ebaseaduslikke töötlemisviise. 2. Isikuandmete töötlemisel automatiseeritud vahenditega tuleb vastavalt ohtudele võtta asjakohaseid meetmeid, mille eesmärk on eelkõige: a) takistada selleks volitamata isikute juurdepääsu isikuandmeid töötlevatele arvutisüsteemidele; b) takistada andmekandjate loata lugemist, kopeerimist, muutmist või kõrvaldamist; c) takistada loata salvestamist andmekandjatele ning säilitatavate isikuandmete loata avalikustamist, muutmist või kustutamist; d) takistada selleks volitamata isikuil andmetöötlussüsteemide andmeedastusvahendite kasutamist; e) tagada, et andmetöötlussüsteemi volitatud kasutajad ei pääseks nende isikuandmete juurde, mis neile ei ole ette nähtud; f) talletada, milliseid isikuandmeid, millal ja kellele on edastatud; g) tagada võimalus hiljem kontrollida, milliseid isikuandmeid, millal ja kelle poolt on töödeldud; h) tagada, et kolmandate isikute nimel töödeldavaid isikuandmeid saaks töödelda üksnes teenust pakkuva institutsiooni või asutuse poolt ettenähtud viisil; i) tagada, et isikuandmete edastamise ja andmekandjate veo käigus ei oleks võimalik andmeid vastava loata lugeda, kopeerida ega kustutada; j) kujundada institutsiooni või asutuse sees välja selline organisatsiooniline struktuur, mis vastaks andmekaitse erinõuetele. Artikkel 23 Isikuandmete töötlemine vastutavate töötlejate nimel 1. Kui töötlemine toimub vastutava töötleja nimel, valib vastutav töötleja sellise volitatud töötleja, kes pakub piisavaid tagatisi artikliga 22 ettenähtud tehniliste ja organisatsiooniliste turvameetmete osas ning tagab nende meetmete elluviimise. 2. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või õigusakti alusel, milles on eelkõige sätestatud, et: a) volitatud töötleja tegutseb ainult vastutava töötleja juhtnööride kohaselt; b) artiklites 21 ja 22 sätestatud kohustused laienevad ka volitatud töötlejale, kui tema suhtes juba ei kehti direktiivi 95/46/EÜ artikli 16 või artikli 17 lõike 3 teise lõigu kohaselt konfidentsiaalsuse ja turvalisusega seotud kohustused, mis on ette nähtud liikmesriigi õigusaktidega. 3. Selleks et säiliksid tõendusmaterjalid, peavad lepingu või õigusakti andmekaitset käsitlevad osad ja artiklis 22 osutatud meetmetega seotud nõudmised olema kirjalikus või muus samaväärses vormis. 8. JAGU ANDMEKAITSEAMETNIK Artikkel 24 Andmekaitseametniku ametissenimetamine ja ülesanded 1. Iga ühenduse institutsioon ja ühenduse asutus nimetab ametisse vähemalt ühe andmekaitseametniku. Selle isiku ülesanne on: a) tagada, et vastutavaid töötlejaid ja andmesubjekte teavitataks nende õigustest ja kohustustest vastavalt käesolevale määrusele; b) vastata Euroopa andmekaitseinspektori arupärimistele ning teha Euroopa andmekaitseinspektoriga enda initsiatiivil või tema taotlusel oma pädevuse piires koostööd; c) sõltumatuna tagada käesoleva määruse sätete asutusesisene kohaldamine; d) pidada vastutava töötleja andmetöötlemiste registrit, mis sisaldab artikli 25 artiklit 2 osutatud andmeid; e) teavitada Euroopa andmekaitseinspektorit töötlemistest, mis eeldatavasti sisaldavad artiklis 27 osutatud konkreetseid ohte. Nimetatud isik tagab seega, et töötlemine tõenäoliselt ei kahjusta andmesubjektide õigusi ja vabadusi. 2. Andmekaitseametnik valitakse isikuomaduste ja ametialaste võimete ning eelkõige tema andmekaitsealaste eriteadmiste alusel. 3. Andmekaitseametnikuks valimine ei tohi kaasa tuua huvide konflikti tema andmekaitseametnikuna tegutsemise ning tema teiste ametlike tööülesannete vahel, eelkõige käesoleva määruse sätete kohaldamisel. 4. Andmekaitseametnik nimetatakse ametisse tähtajaks kahest kuni viie aastani. Teda võib tagasi valida kokku kuni kümneks aastaks. Andmekaitseametniku ametisse nimetanud ühenduse institutsioon või asutus võib ta ametikohalt vabastada üksnes Euroopa andmekaitseinspektori nõusolekul, kui ta ei vasta enam oma tööülesannete täitmiseks vajalikele tingimustele. 5. Pärast ametissenimetamist registreerib andmekaitseametniku ametisse nimetanud institutsioon või asutus ta Euroopa andmekaitseinspektori juures. 6. Ühenduse institutsioon või asutus, kes andmekaitseametniku ametisse nimetas, annab talle tema töökohustuste täitmiseks vajaliku personali ning vahendid. 7. Töökohustuste täitmiseks ei tohi andmekaitseametnikule anda mingeid juhendeid. 8. Andmekaitseametnikuga seotud täiendavad rakenduseeskirjad võtab iga ühenduse institutsioon või asutus vastu lisa sätete kohaselt. Rakenduseeskirjad hõlmavad eelkõige andmekaitseametniku ülesandeid, kohustusi ja volitusi. Artikkel 25 Andmekaitseametniku teavitamine 1. Vastutav töötleja teatab andmekaitseametnikule eelnevalt igast töötlemistoimingust või töötlemistoimingute kogumist, mis on suunatud ühe eesmärgi või mitme omavahel seotud eesmärgi saavutamisele. 2. Antav teave sisaldab järgmist: a) vastutava töötleja nimi ja aadress ning viide institutsiooni või asutuse konkreetsetele organisatsiooniüksustele, kellele on usaldatud isikuandmete töötlemine kõnealusel eesmärgil; b) töötlemise eesmärk või eesmärgid; c) andmesubjektide kategooria või kategooriate ja nendega seotud andmete liigi või liikide kirjeldus; d) andmete töötlemise eesmärgi õiguslik alus; e) need vastuvõtjad või vastuvõtjate kategooriad, kellele andmed võidakse avaldada; f) üldine teave eri andmeliikide sulgemise ja kustutamise tähtaegade kohta; g) kavandatavad andmeedastused kolmandatele riikidele või rahvusvahelistele organisatsioonidele; h) üldine kirjeldus, mis võimaldab anda eelhinnangu, kas artikli 22 kohased töötlemise turvalisust tagavad meetmed on otstarbekad. 3. Igasugune muutus, mis mõjutab artiklit 2 osutatud teavet, tehakse andmekaitseametnikule teatavaks viivitamata. Artikkel 26 Register Iga andmekaitseametnik peab talle artikli 25 kohaselt teatavaks tehtud töötlemistoimingute registrit. Registrid sisaldavad vähemalt artikli 25 lõike 2 punktides a–g osutatud teavet. Registreid võib iga inimene otse või kaudselt Euroopa andmekaitseinspektori kaudu kontrollida. 9. JAGU EUROOPA ANDMEKAITSEINSPEKTORI POOLNE EELKONTROLL JA KOOSTÖÖKOHUSTUS Artikkel 27 Eelkontroll 1. Töötlustoimingute suhtes, mis tõenäoliselt kujutavad oma olemuse, ulatuse või eesmärkide tõttu konkreetset ohtu andmesubjektide õigustele ja vabadustele, teostab Euroopa andmekaitseinspektor eelkontrolli. 2. Nimetatud ohtu kujutavad tõenäoliselt järgmised töötlemistoimingud: a) tervise ja oletatavate õiguserikkumiste, kriminaalkaristuste või julgeolekumeetmetega seotud andmete töötlemine; b) töötlemistoimingud, mille eesmärk on hinnata andmesubjekti isikuomadusi, sealhulgas tema võimekust, tulemuslikkust ja käitumist; c) töötlemistoimingud, mis võimaldavad eri eesmärkidel töödeldavate andmete seostamist niisugusel viisil, mis ei ole siseriiklike või ühenduse õigusaktidega ette nähtud; d) töötlemistoimingud, mille eesmärk on jätta üksikisikuid ilma mingist õigusest, soodustusest või lepingust. 3. Eelkontrolli teostab Euroopa andmekaitseinspektor pärast teate saamist andmekaitseametnikult, kes eelkontrolli vajalikkuses kahtlemise korral konsulteerib Euroopa andmekaitseinspektoriga. 4. Euroopa andmekaitseinspektor esitab oma arvamuse kahe kuu jooksul alates teate saamisest. Nimetatud tähtaja kulu võib peatada, kuni Euroopa andmekaitseinspektor on saanud taotletud täiendavat informatsiooni. Kui küsimuse keerukus seda nõuab, võib Euroopa andmekaitseinspektor nimetatud tähtaega oma otsusega veel kahe kuu võrra pikendada. Vastavasisulise otsuse teeb ta vastutavale töötlejale teatavaks enne esimese kahekuulise tähtaja möödumist. Kui arvamust ei ole kahekuulise tähtaja jooksul esitatud ega tähtaega pikendatud, loetakse arvamus positiivseks. Kui Euroopa andmekaitseinspektor leiab, et kõnesolev töötlemine võib viia käesoleva määruse mõne sätte rikkumisele, teeb ta vajaduse korral ettepanekud, et nimetatud rikkumist vältida. Kui vastutav töötleja töötlustoimingut sellele vastavalt ei kohanda, võib Euroopa andmekaitseinspektor kasutada talle artikli 47 lõikega 1 antud volitusi. 5. Euroopa andmekaitseinspektor peab registrit kõikide talle lõike 2 kohaselt teatavaks tehtud töötlustoimingute kohta. Register sisaldab artiklis 25 osutatud teavet ning on avalikult kättesaadav. Artikkel 28 Konsulteerimine 1. Ühenduse institutsioonid ja asutused teatavad Euroopa andmekaitseinspektorile isikuandmete töötlemisega seotud haldusmeetmete võtmisest ühenduse institutsiooni või asutuse sees või koostöös teistega. 2. Võttes vastu ettepaneku koostada õigusakt, mis käsitleb üksikisikute õiguste ja vabaduste kaitset isikuandmete töötlemisel, konsulteerib komisjon Euroopa andmekaitseinspektoriga. Artikkel 29 Teavitamiskohustus Ühenduse institutsioonid ja asutused teavitavad Euroopa andmekaitseinspektorit meetmetest, mis on võetud vastavalt artikli 46 punktis h osutatud Euroopa andmekaitseinspektori otsustele või lubadele. Artikkel 30 Koostöökohustus Euroopa andmekaitseinspektori taotluse korral osutavad vastutavad töötlejad talle tema tegevuses abi, eelkõige andes artikli 47 lõike 2 punktis a osutatud teavet ning võimaldades artikli 47 lõike 2 punktis b osutatud juurepääsu. Artikkel 31 Süüdistustele vastamise kohustus Vastuseks Euroopa andmekaitseinspektori artikli 47 lõike 1 punkti b kohasele tegevusele teavitab asjaomane vastutav töötleja inspektorit oma seisukohtadest inspektori määratud mõistliku tähtaja jooksul. Vastuses kirjeldatakse ka Euroopa andmekaitseinspektori märkustega seoses rakendatud meetmeid, kui neid on võetud. III PEATÜKK ÕIGUSKAITSEVAHENDID Artikkel 32 Õiguskaitsevahendid 1. Kõikide käesoleva määruse sätetega seotud vaidluste, sealhulgas kahjunõuete lahendamine kuulub Euroopa Ühenduste Kohtu päevusse. 2. Ilma et see mõjutaks kohtu poole pöördumist, võib iga andmesubjekt esitada Euroopa andmekaitseinspektorile kaebuse, kui ta leiab, et tema isikuandmete töötlemisega ühenduse institutsioonis või asutuses on rikutud tema asutamislepingu artiklist 286 tulenevaid õigusi. Kui Euroopa andmekaitseinspektor ei anna vastust kuue kuu jooksul, loetakse kaebus tagasilükatuks. 3. Kaebused Euroopa andmekaitseinspektori otsuste peale esitatakse Euroopa Ühenduste Kohtusse. 4. Isikul, kellele on ebaseadusliku töötlemistoiminguga või käesolevast määrusest kõrvalekalduva tegevusega tekitatud kahju, on õigus asutamislepingu artikli 288 kohaselt nõuda kahju hüvitamist. Artikkel 33 Ühenduse töötajate kaebused Iga ühenduse institutsiooni või asutuse töötaja võib Euroopa andmekaitseinspektorile väljaspool ametlikke kanaleid esitada kaebuse käesoleva määruse isikuandmete töötlemist reguleerivate sätete väidetava rikkumise kohta. Kedagi ei tohi kahjustada Euroopa andmekaitseinspektorile esitatud kaebuse tõttu, milles väidetakse rikutavat isikuandmete töötlemisega seotud sätteid. IV PEATÜKK ISIKUANDMETE JA ERAELU PUUTUMATUSE KAITSE TELEKOMMUNIKATSIOONIVÕRKUDES Artikkel 34 Reguleerimisala Ilma et see mõjutaks käesoleva määruse teiste sätete kohaldamist, kohaldatakse käesolevat peatükki siis, kui isikuandmete töötlemisel kasutatakse telekommunikatsioonivõrku või lõppseadmeid, mis on ühenduse institutsiooni või asutuse kontrolli all. Käesoleva peatüki kohaldamisel on "kasutaja" füüsiline isik, kes kasutab telekommunikatsioonivõrku või lõppseadmeid, mis on ühenduse institutsiooni või asutuse kontrolli all. Artikkel 35 Turvalisus 1. Ühenduse institutsioonid ja asutused võtavad kohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada telekommunikatsioonivõrkude ja lõppseadmete turvaline kasutamine, vajaduse korral koostöös üldkasutatavate telekommunikatsiooniteenuste osutajate või üldkasutatavate telekommunikatsioonivõrkude operaatoritega. Tehnika taset ja kõnealuste meetmete rakenduskulusid arvesse võttes tagatakse nende meetmetega võimalikule ohule vastav turvalisuse tase. 2. Võrgu ja lõppseadmete turvalisuse rikkumise konkreetse ohu korral teavitab asjaomane ühenduse institutsioon või asutus kasutajaid ohu olemasolust ning võimalikest abinõudest ja alternatiivsetest sidevahenditest. Artikkel 36 Teabevahetuse konfidentsiaalsus Ühenduse institutsioonid ja asutused tagavad telekommunikatsioonivõrkude ja lõppseadmete kaudu toimuva teabevahetuse konfidentsiaalsuse vastavalt ühenduse õiguse põhiprintsiipidele. Artikkel 37 Andmeliiklus- ja arveldusandmed 1. Pärast kõne või muu sideseansi lõppu kustutatakse või muudetakse anonüümseks kasutajatega seotud andmeliiklusandmed, mida kasutati ja hoiti telekommunikatsioonivõrgu vahendusel toimunud kõnede või muude sideseansside korral; öeldu ei mõjuta lõigete 2, 3 ja 4 kohaldamist. 2. Vajaduse korral võib Euroopa andmekaitseinspektoriga kooskõlastatud loetelus nimetatud andmeliiklusandmeid töödelda telekommunikatsiooni eelarve ja andmeliikluse haldamiseks, sealhulgas telekommunikatsioonisüsteemide seadusliku kasutuse kontrollimiseks. Nimetatud andmed kustutatakse või muudetakse anonüümseks niipea kui võimalik, aga hiljemalt kuus kuud pärast kogumist, kui neid ei ole tarvis säilitada kauem mõne õiguse tõendamiseks, teostamiseks või kaitsmiseks kohtus menetlemisel olevas asjas. 3. Andmeliiklus- ja arveldusandmeid võivad töödelda üksnes arveldamise, andmeliikluse või eelarve haldamisega tegelevad isikud. 4. Telekommunikatsioonivõrkude kasutajatel on õigus saada eristuseta arveid või muid registreeritud andmeid valitud kõnede kohta. Artikkel 38 Kasutajakataloogid 1. Elektroonilistes või trükitud kasutajakataloogides sisalduvaid isikuandmeid ning juurdepääsu sellistele kataloogidele tuleb piirata sellise määrani, mis on tingimata vajalik kataloogi konkreetsete ülesannete täitmiseks. 2. Ühenduse institutsioonid ja asutused võtavad kõik vajalikud meetmed, et takistada nimetatud kataloogides sisalduvate isikuandmete kasutamist otseturustuse eesmärkidel, olenemata sellest, kas need kataloogid on avalikkusele kättesaadavad või mitte. Artikkel 39 Helistaja ja vastuvõtja numbri kuvamisteenus ja sellest keeldumine 1. Kui pakutakse helistaja numbri kuvamisteenust, peab helistajal olema võimalus lihtsate vahenditega ja tasuta keelduda oma numbri kuvamisest. 2. Kui pakutakse helistaja numbri kuvamisteenust, peab vastuvõtjal olema võimalus lihtsate vahenditega ja tasuta keelduda sissetulevate kõnede numbrite kuvamisest. 3. Kui pakutakse vastuvõtja numbri kuvamisteenust, peab vastuvõtjal olema võimalus lihtsate vahenditega ja tasuta keelduda oma numbri kuvamisest helistajale. 4. Kui pakutakse helistaja või vastuvõtja numbri kuvamisteenust, teavitavad ühenduse institutsioonid ja asutused kasutajaid sellest ning lõigetes 1, 2 ja 3 ettenähtud võimalustest. Artikkel 40 Erandid Ühenduste institutsioonid ja asutused tagavad läbipaistvad toimingud, mida kasutades saab vältida helistaja numbri kuvamisest hoidumist, mida tehakse: a) ajutiselt, abonendi taotluse peale, kui see soovib pahatahtlike või häirivate kõnede allika kindlakstegemist; b) iga liini puhul eraldi sellistes organisatsiooniüksustes, mis tegelevad hädaabikõnedega, võimaldamaks sellistele kõnedele vastata. V PEATÜKK SÕLTUMATU JÄRELEVALVEORGAN: EUROOPA ANDMEKAITSEINSPEKTOR Artikkel 41 Euroopa andmekaitseinspektor 1. Käesolevaga luuakse sõltumatu järelevalveorgan, keda nimetatakse Euroopa andmekaitseinspektoriks. 2. Euroopa andmekaitseinspektor vastutab selle eest, et ühenduse institutsioonid ja asutused tagaksid isikuandmete töötlemisel füüsiliste isikute põhiõigused ja -vabadused, eelkõige nende õiguse eraelu puutumatusele. Euroopa andmekaitseinspektori ülesanne on jälgida ja tagada, et kohaldataks käesoleva määruse ning teiste ühenduse õigusaktide sätteid, mis käsitlevad füüsiliste isikute põhiõiguste ja -vabaduste kaitsmist isikuandmete töötlemisel ühenduse institutsioonides või asutustes, samuti ühenduse institutsioonide ja asutuste ning andmesubjektide nõustamine kõikides isikuandmete töötlemisega seotud küsimustes. Nimetatud eesmärgil täidab ta artiklis 46 ettenähtud ülesandeid ning kasutab talle artikliga 47 antud volitusi. Artikkel 42 Ametissenimetamine 1. Euroopa andmekaitseinspektori nimetavad ametisse Euroopa Parlament ja nõukogu ühisel kokkuleppel viieks aastaks, lähtudes komisjoni poolt pärast avalikku kandideerimiskutset koostatud nimekirjast. Sama protseduuri kohaselt ning samaks tähtajaks nimetatakse ametisse inspektori asetäitja, kes abistab inspektorit kõigis ülesannetes ning tegutseb tema asendajana, kui inspektorit ei ole kohal või ta ei saa oma ülesandeid täita. 2. Euroopa andmekaitseinspektor valitakse isikute hulgast, kelle sõltumatuses ei ole kahtlust ning kelle puhul tunnustatakse Euroopa andmekaitseinspektori ülesannete täitmiseks vajalike kogemuste ja oskuste olemasolu, näiteks seetõttu, et nad kuuluvad või on kuulunud direktiivi 95/46/EÜ artiklis 28 osutatud järelevalveorganitesse. 3. Euroopa andmekaitseinspektorit võib ametisse uuesti tagasi nimetada. 4. Kui tavaline asendamine või surm välja arvata, lõpevad Euroopa andmekaitseinspektori volitused ka siis, kui ta tagasi astub või kui ta lõike 5 kohaselt ametist vabastatakse. 5. Euroopa Kohus võib Euroopa andmekaitseinspektori Euroopa Parlamendi, nõukogu või komisjoni taotlusel ametist vabastada või pensioni ja muude seda asendavate soodustuste saamise õigusest ilma jätta, kui ta ei vasta enam oma ülesannete täitmiseks vajalikele tingimustele või kui ta leitakse olevat süüdi tõsistes üleastumistes. 6. Tavalise asendamise või vabatahtliku ametist lahkumise korral jääb Euroopa andmekaitseinspektor ametisse seniks, kui talle on määratud asendaja. 7. Euroopa andmekaitseinspektori suhtes kohaldatakse ka Euroopa ühenduste privileegide ja immuniteetide protokolli artikleid 12—15 ja 18. 8. Lõikeid 2—7 kohaldatakse inspektori asetäitja suhtes. Artikkel 43 Euroopa andmekaitseinspektori ülesannete täitmist, personali ja rahalisi vahendeid reguleerivad määrused ja üldtingimused 1. Euroopa Parlament, nõukogu ja komisjon määravad ühisel kokkuleppel kindlaks Euroopa andmekaitseinspektori ülesandeid ning eelkõige tema palka, toetusi ja muid töötasu asemel antavaid soodustusi reguleerivad määrused ja üldtingimused. 2. Eelarveasutus tagab, et Euroopa andmekaitseinspektorile antakse tema ülesannete täitmiseks vajalikud inimressursid ja rahalised vahendid. 3. Euroopa andmekaitseinspektori eelarve esitatakse Euroopa Liidu üldeelarve VIII jaos eraldi rubriigis. 4. Euroopa andmekaitseinspektorit abistab sekretariaat. Sekretariaadi ametnikud ja teised töötajad nimetab ametisse Euroopa andmekaitseinspektor; nad alluvad otse Euroopa andmekaitseinspektorile ning täidavad üksnes tema juhendeid. Nende arv määratakse igal aastal kindlaks eelarvemenetluse käigus. 5. Euroopa andmekaitseinspektori ametnike ja teiste töötajate suhtes kohaldatakse Euroopa ühenduste ametnike ja teiste teenistujate suhtes kohaldatavaid eeskirju ja määrusi. 6. Sekretariaadi personaliga seotud küsimustes on Euroopa andmekaitseinspektori seisund samasugune kui asutustel Euroopa ühenduste ametnike personalieeskirjade artikli 1 tähenduses. Artikkel 44 Sõltumatus 1. Euroopa andmekaitseinspektor on oma ülesannete täitmisel täielikult sõltumatu. 2. Oma kohustuste täitmisel ei taotle ega võta Euroopa andmekaitseinspektor vastu juhendeid teistelt isikutelt. 3. Euroopa andmekaitseinspektor hoidub oma kohustustega sobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul tasustataval või mittetasustataval ametikohal. 4. Euroopa andmekaitseinspektor käitub pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes väärikalt ning diskreetselt. Artikkel 45 Ametisaladus Euroopa andmekaitseinspektor ja ta personal on kohustatud nii ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust igasuguse konfidentsiaalse teabe suhtes, mis neile ametikohustuste täitmisel on teatavaks saanud. Artikkel 46 Kohustused Euroopa andmekaitseinspektor: a) kuulab ja uurib kaebusi ning teavitab andmesubjekti tulemustest mõistliku aja jooksul; b) teostab omaalgatuslikult või kaebuse alusel uurimist ning teeb tulemuse andmesubjektile teatavaks mõistliku aja jooksul; c) jälgib ning tagab, et kohaldataks käesoleva määruse ja muude ühenduse õigusaktide sätteid, mis käsitlevad füüsiliste isikute kaitsmist isikuandmete töötlemisel ühenduse institutsioonides või asutustes, välja arvatud õigusemõistmispädevuse piires tegutsevas Euroopa Ühenduste Kohtus; d) nõustab omaalgatuslikult või konsultatsiooni korras kõiki ühenduse institutsioone ja asutusi kõikides isikuandmete töötlemisega seotud küsimustes, eelkõige enne seda, kui viimati nimetatud koostavad oma sise-eeskirjad põhiõiguste ja -vabaduste kaitse kohta isikuandmete töötlemisel; e) jälgib isikuandmete kaitsmist mõjutavaid asjaomaseid arenguid, eelkõige info- ja sidetehnoloogia arengut; f) i) teeb riikides, kelle suhtes kohaldatakse direktiivi 95/46/EÜ, nimetatud direktiivi artiklis 28 osutatud siseriiklike järelevalveorganitega nende kohustuste täitmiseks vajalikku koostööd, eelkõige vahetades kõikvõimalikku kasulikku infot, paludes sellisel asutusel või organil kasutada oma volitusi või vastates sellise ametiasutuse või organi taotlusele; ii) teeb koostööd ka Euroopa Liidu lepingu VI jaotise kohaselt loodud andmekaitse valdkonna järelevalveorganitega eelkõige selleks, et parandada nende eeskirjade ja menetluste kohaldamise järjekindlust, mille järgimise eest nad vastutavad; g) võtab osa üksikisikute kaitsmist isikuandmete töötlemisel käsitleva töörühma tööst, mis on loodud direktiivi 95/46/EÜ artikli 29 kohaselt; h) määrab kindlaks, põhjendab ning avaldab artikli 10 lõike 2 punktis b, lõigetes 4, 5 ja 6, artikli 12 lõikes 2, artiklis 19 ja artikli 37 lõikes 2 nimetatud erandid, tagatised, load ja tingimused; i) peab registrit talle artikli 27 lõike 2 kohaselt teatavaks tehtud ning artikli 27 lõike 5 kohaselt registreeritud töötlemistoimingute kohta ning tagab juurdepääsu andmekaitseametnike poolt artikli 26 kohaselt peetavatele registritele; j) teostab eelkontrolli töötluste kohta, millest talle on teatatud; k) kehtestab oma töökorra. Artikkel 47 Pädevus 1. Euroopa andmekaitseinspektor võib: a) nõustada andmesubjekte nende õiguste kasutamisel; b) edastada isikuandmete töötlemist käsitlevate sätete väidetava rikkumise korral asja arutamiseks vastutavale töötlejale ning vajaduse korral teha ettepanekuid rikkumise kõrvaldamiseks ning andmesubjektide kaitse parandamiseks; c) anda käsu täita taotlusi, mis on seotud andmeid puudutavate õiguste kasutamisega, kui sellised taotlused on artikleid 13—19 rikkudes tagasi lükatud; d) vastutavat töötlejat hoiatada või teha talle märkuse; e) anda käsu kõik andmed parandada, sulgeda, kustutada või hävitada, kui neid on kasutatud isikuandmete töötlemist reguleerivaid sätteid rikkudes, ning teavitada nimetatud meetmetest kolmandaid isikuid, kellele andmed on avaldatud; f) kehtestada ajutise või tähtajatu töötlemiskeelu; g) edastada asja arutamiseks asjaomasele ühenduse institutsioonile või asutusele või vajaduse korral Euroopa Parlamendile, nõukogule ja komisjonile; h) edastada asja asutamislepingus sätestatud tingimustel arutamiseks Euroopa Ühenduste Kohtusse; i) sekkuda Euroopa Ühenduste Kohtusse antud asjade arutamisse. 2. Euroopa andmekaitseinspektoril on õigus: a) saada vastutavalt töötlejalt või ühenduse institutsioonilt või asutuselt juurdepääs kõikidele tema uurimisteks vajalikele isikuandmetele ja kogu teabele; b) pääseda kõikidesse tööruumidesse, kus vastutav töötleja või ühenduse institutsioon või asutus tegutseb, kui on põhjust arvata, et seal teostatakse käesoleva määruse reguleerimisalasse kuuluvaid toiminguid. Artikkel 48 Tegevusaruanne 1. Euroopa andmekaitseinspektor esitab igal aastal Euroopa Parlamendile, nõukogule ja komisjonile oma tegevuse aruande ning samaaegselt ka avaldab selle. 2. Euroopa andmekaitseinspektor saadab tegevusaruande teistele ühenduse institutsioonidele ja asutustele, kes võivad avaldada arvamust seoses aruande võimaliku läbivaatamisega Euroopa Parlamendis, eelkõige seoses nende meetmete kirjeldamisega, mis on vastu võetud vastusena Euroopa andmekaitseinspektori artikli 31 kohastele märkustele. VI PEATÜKK LÕPPSÄTTED Artikkel 49 Sanktsioonid Käesoleva määrusega ettenähtud kohustuste ettekavatsetud või hooletusest tingitud täitmatajätmise korral kohaldatakse Euroopa ühenduste ametniku või teenistuja suhtes distsiplinaarmenetlust Euroopa ühenduste ametnike personalieeskirjadega või teiste teenistujate teenistustingimustega määratud korras. Artikkel 50 Üleminekuperiood Ühenduse institutsioonid ja asutused tagavad, et käesoleva määruse jõustumise hetkeks juba alustatud töötlemistoimingud viiakse käesoleva määrusega kooskõlla ühe aasta jooksul nimetatud kuupäevast alates. Artikkel 51 Jõustumine Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Ühenduste Teatajas. Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides. Brüssel, 18. detsember 2000 Euroopa Parlamendi nimel President N. Fontaine Nõukogu nimel eesistuja D. Voynet [1] EÜT C 376 E, 28.12.1999, lk 24. [2] EÜT C 51, 23.2.2000, lk 48. [3] Euroopa Parlamendi 14. novembri 2000. aasta arvamus ja nõukogu 30. novembri 2000. aasta otsus. [4] EÜT L 281, 23.11.1995, lk 31. [5] EÜT L 24, 30.1.1998, lk 1. [6] EÜT L 52, 22.2.1997, lk 1. [7] EÜT L 318, 27.11.1998, lk 8. [8] EÜT L 151, 15.6.1990, lk 1. Määrust on muudetud määrusega (EÜ) nr 322/97 (EÜT L 52, 22.2.1997, lk 1). -------------------------------------------------- LISA 1. Andmekaitseametnik võib ta ametisse nimetanud ühenduse institutsioonile või asutusele anda soovitusi andmekaitse parandamiseks ning nõustada seda ja vastutavat töötlejat andmekaitsealaste sätete kohaldamise küsimustes. Lisaks võib ta omal algatusel või ta ametisse nimetanud ühenduse institutsiooni või asutuse, vastutava töötleja, asjaomase personalikomitee või iga üksikisiku taotlusel uurida tema kohustustega otseselt seotud ning talle teatavaks saanud küsimusi või juhtumeid ja anda tulemuste kohta aru uurimise taotlejale või vastutavale töötlejale. 2. Ühenduse institutsioon või asutus, kes ta ametisse nimetas, vastutav töötleja, asjaomane personalikomitee ja iga üksikisik võib andmekaitseametnikuga väljaspool ametlikke kanaleid konsulteerida kõikides käesoleva määruse tõlgendamise või kohaldamisega seotud küsimustes. 3. Kedagi ei tohi kahjustada seepärast, et ta juhtis pädeva andmekaitseametniku tähelepanu väidetavale käesoleva määruse sätete rikkumisele. 4. Iga asjaomane vastutav töötleja on kohustatud andmekaitseametnikku tema kohustuste täitmisel abistama ning vastama tema päringutele. Ametikohustuste täitmisel on andmekaitseametnikul alati juurdepääs töötlemise objektiks olevatele andmetele ja kõikidele tööruumidele, andmetöötlusseadmetele ning andmekandjatele. 5. Andmekaitseametnik vabastatakse vajaduse piires teistest ametikohustustest. Andmekaitseametnik ja ta personal, kelle suhtes kohaldatakse asutamislepingu artiklit 287, ei tohi avalikustada töökohustuste täitmise käigus saadud teavet ega dokumente. --------------------------------------------------