ISSN 1977-0650

Euroopa Liidu

Teataja

L 119

European flag  

Eestikeelne väljaanne

Õigusaktid

59. köide
4. mai 2016


Sisukord

 

I   Seadusandlikud aktid

Lehekülg

 

 

MÄÄRUSED

 

*

Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) ( 1 )

1

 

 

DIREKTIIVID

 

*

Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK

89

 

*

Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/681, 27. aprill 2016, mis käsitleb broneeringuinfo kasutamist terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks

132

 


 

(1)   EMPs kohaldatav tekst

ET

Aktid, mille peakiri on trükitud harilikus trükikirjas, käsitlevad põllumajandusküsimuste igapäevast korraldust ning nende kehtivusaeg on üldjuhul piiratud.

Kõigi ülejäänud aktide pealkirjad on trükitud poolpaksus kirjas ja nende ette on märgitud tärn.


I Seadusandlikud aktid

MÄÄRUSED

4.5.2016   

ET

Euroopa Liidu Teataja

L 119/1


EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679,

27. aprill 2016,

füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 16,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu riikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust (1),

võttes arvesse Regioonide Komitee arvamust (2),

toimides seadusandliku tavamenetluse kohaselt (3)

ning arvestades järgmist:

(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu („ELi toimimise leping“) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2)

Füüsiliste isikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks nende kodakondsusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Käesoleva määruse eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu saavutamisele, majanduslikule ja sotsiaalsele arengule, riikide majanduse tugevdamisele ja lähendamisele siseturul ning füüsiliste isikute heaolule.

(3)

Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (4) eesmärk on ühtlustada füüsiliste isikute põhiõiguste ja -vabaduste kaitset isikuandmete töötlemise toimingutel ning tagada isikuandmete vaba liikumine liikmesriikide vahel.

(4)

Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele. Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.

(5)

Siseturu toimimisest tulenev majandus- ja sotsiaalne integratsioon on isikuandmete piiriüleseid andmevoogusid märkimisväärselt suurendanud. Avaliku ja erasektori osalejate, sealhulgas füüsiliste isikute, ühenduste ja ettevõtjate vaheline isikuandmete vahetus on suurenenud kogu liidus. Liikmesriikide ametiasutusi kutsutakse liidu õiguses üles tegema koostööd ja vahetama isikuandmeid, et neil oleks võimalik täita oma ülesandeid või teha seda teise liikmesriigi ametiasutuse nimel.

(6)

Kiire tehnoloogiline areng ja üleilmastumine on tekitanud isikuandmete kaitsel uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii era- kui ka avaliku sektori asutustel kasutada isikuandmeid oma tegevuses enneolematus ulatuses. Füüsilise isikud avaldavad isikuandmeid üha avalikumalt ja ülemaailmsemalt. Tehnoloogia on põhjalikult muutnud nii majandust kui ka ühiskondlikku elu ja peaks täiendavalt hõlbustama liidusisest andmete vaba liikumist ning nende kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele edastamist, tagades samal ajal isikuandmete kõrgetasemelise kaitse.

(7)

Nende muudatuste tõttu on liidus vaja tugevat ja ühtsemat andmekaitseraamistikku ning selle täitmise tõhusat tagamist, kuna tähtis on luua usaldus, mis võimaldab digitaalsel majandusel areneda kogu siseturu ulatuses. Füüsiliste isikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus- ja tegelikku kindlust füüsiliste isikute, ettevõtjate ja avaliku sektori asutuste seisukohast.

(8)

Kui käesolevas määruses on ette nähtud eeskirjade täpsustamine või piiramine liikmesriigi õigusega, võivad liikmesriigid sidususe seisukohast vajalikul määral ja liikmesriigi õiguse sätete arusaadavaks muutmiseks isikutele, kelle suhtes neid kohaldatakse, integreerida määruse elemente oma õigusesse.

(9)

Direktiivi 95/46/EÜ eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud liidus andmekaitse rakendamise killustumist, õiguskindlusetust ega avalikkuses laialt levinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud füüsiliste isikute kaitsele. Liikmesriikide poolt tagatavate füüsiliste isikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete liidusisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende liidu õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erinevustest direktiivi 95/46/EÜ rakendamisel ja kohaldamisel.

(10)

Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. Seoses isikuandmete töötlemisega juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks peaks liikmesriikidel olema lubatud säilitada või kehtestada õigusnormid käesoleva määruse eeskirjade kohaldamise täpsustamiseks. Koostoimes andmekaitset käsitlevate üldiste ja horisontaalsete õigusaktidega, millega rakendatakse direktiivi 95/46/EÜ, on liikmesriikidel mitmeid sektoripõhiseid õigusakte valdkondades, mis vajavad spetsiifilisemaid sätted. Samuti nähakse käesoleva määrusega liikmesriikidele ette manööverdamisruum oma eeskirjade, sealhulgas isikuandmete eriliikide töötlemise eeskirjade täpsustamiseks. Sellega seoses ei välista käesolev määrus sellist liikmesriigi õigust, millega määratletakse konkreetsete töötlemisjuhtude asjaolud, sealhulgas määratakse täpsemalt kindlaks tingimused, mille alusel isikuandmete töötlemine on seaduslik.

(11)

Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.

(12)

ELi toimimise lepingu artikli 16 lõikes 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba liikumist käsitlevaid eeskirju.

(13)

Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel. Et võtta arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erilist olukorda, on käesolevas määruses ette nähtud erand andmete kogumisele kuni 250 töötajaga ettevõtete poolt. Lisaks kutsutakse liidu institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse kohaldamisel arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi. Mikro-, väikeste ja keskmise suurusega ettevõtjate määratlus peaks tuginema komisjoni soovituse 2003/361/EÜ (5) lisa artiklile 2.

(14)

Käesoleva määrusega pakutav kaitset peaks rakendama füüsilistele isikutele nende isikuandmete töötlemisel, olenemata nende kodakondsusest või elukohast. Ükski isik ei peaks nõudma käesoleva määrusega ette nähtud kaitset seoses selliste andmete töötlemisega, mis puudutavad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmeid.

(15)

Selleks et vältida normide täitmisest kõrvalehoidumise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole teatavate kriteeriumide kohaselt korrastatud, ega nende esilehed.

(16)

Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitse küsimusi ega andmete vaba liikumist, mis on seotud väljapoole liidu õiguse kohaldamisala jääva tegevusega, näiteks riigi julgeolekut puudutava tegevusega, ega isikuandmete töötlemist liikmesriikide poolt liidu ühise välis- ja julgeolekupoliitikaga seonduva tegevuse läbiviimisel.

(17)

Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. Määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada vastavalt käesoleva määrusega kehtestatud põhimõtetele ja normidele ning kohaldada käesolevast määrusest lähtuvalt. Tugeva ja ühtse andmekaitseraamistiku loomiseks liidus tuleks pärast käesoleva määruse vastuvõtmist teha määruses (EÜ) nr 45/2001 vajalikud muudatused, et võimaldada käesoleva määrusega samaaegset kohaldamist.

(18)

Käesolevat määrust ei tuleks kohaldada isikuandmete töötlemise suhtes, mida füüsiline isik teostab eranditult isiklikel või kodustel eesmärkidel ja seega väljaspool ametialast või äritegevust. Isiklik ja kodune tegevus võiks hõlmata kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis, mida tehakse sellise isikliku või koduse tegevuse raames. Käesolevat määrust tuleks aga kohaldada vastutavate töötlejate või volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid.

(19)

Füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil ning selliste andmete vaba liikumist käsitletakse eraldiseisvas liidu tasandi õigusaktis. Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate isikuandmete töötlemise toimingute suhtes. Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse kõnealustel eesmärkidel, tuleks aga reguleerida konkreetsema liidu tasandi õigusaktiga Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 (7). Liikmesriigid võivad anda pädevatele asutustele direktiivi (EL) 2016/680 tähenduses muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, käesoleva määruse kohaldamisalasse.

Nende pädevate asutuste poolt käesoleva määruse kohaldamisalasse kuuluvatel eesmärkidel teostatava isikuandmete töötlemise suhtes võivad liikmesriigid käesoleva määruse eeskirjade kohaldamise kohandamiseks säilitada või kehtestada konkreetsemad sätted. Selliste sätetega võib määratleda täpsemalt konkreetsed nõuded nende pädevate asutuste poolt teostatavale isikuandmete töötlemisele neil muudel eesmärkidel, võttes arvesse vastava liikmesriigi põhiseaduslikku, organisatsioonilist ja haldusstruktuuri. Kui isikuandmete töötlemine eraõiguslike asutuste poolt kuulub käesoleva määruse kohaldamisalasse, tuleks käesolevas määruses ette näha võimalus, et liikmesriigid saavad teatud tingimustel piirata õigusaktidega teatud kohustusi ja õigusi, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et kaitsta konkreetseid olulisi huve, sealhulgas avalik julgeolek ning süütegude tõkestamine, uurimine ja avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja ennetamine. See on asjakohane näiteks rahapesuvastaste meetmete või kohtuekspertiisi laborite tegevuse raames.

(20)

Kui käesolevat määrust kohaldatakse muu hulgas kohtute ja muude õigusasutuste tegevuse suhtes, võiks liidu või liikmesriigi õiguses täpsustada isikuandmete töötlemise toimingud ja -menetlused, mis on seotud isikuandmete töötlemisega kohtute ja muude õigusasutuste poolt. Kohtusüsteemi sõltumatuse kaitsmiseks kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsusetegemisel, ei peaks järelevalveasutuste pädevus hõlmama isikuandmete töötlemist juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni. Selliste andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi.

(21)

Käesolevat määrust kohaldatakse, ilma et see piiraks Euroopa Parlamendi ja nõukogu direktiivi 2000/31/EÜ (8), eelkõige selle artiklites 12–15 sätestatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist. Nimetatud direktiiviga püütakse kaasa aidata siseturu nõuetekohasele toimimisele, tagades infoühiskonna teenuste vaba liikumise liikmesriikide vahel.

(22)

Liidus paikneva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töödeldakse liidus või mitte. Tegevuskoht eeldab tegelikku ja tulemuslikku tegutsemist ning püsivat korda. Sellise korra õiguslik vorm (kas filiaali või juriidilisest isikust tütarettevõtja kaudu) ei ole selles osas määrav.

(23)

Selle tagamiseks, et füüsilise isikud ei jää ilma kaitsest, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool liitu asuva vastutava töötleja või volitatud töötleja poolt liidus olevate andmesubjektide isikuandmete töötlemise suhtes, kui isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega kõnealustele andmesubjektidele, sõltumata sellest, kas see on seotud maksega või mitte. Selleks et määrata kindlaks, kas selline vastutav töötleja või volitatud töötleja pakub liidus olevatele andmesubjektidele kaupu või teenuseid, tuleks kontrollida, kas on ilmne, et vastutav töötleja kavatseb pakkuda teenuseid ühe või mitme liidu liikmesriigi andmesubjektidele. Kuna üksnes juurdepääs vastutava või volitatud töötleja või vahendaja veebisaidile liidus, e-posti aadressile või muudele kontaktandmetele või vastutava töötleja asukohariigiks olevas kolmandas riigis üldiselt kasutatava keele kasutus ei ole piisav sellise kavatsuse kindlaks tegemiseks, võivad sellised tegurid nagu ühes või mitmes liikmesriigis üldiselt kasutatava keele või vääringu kasutus ning võimalus tellida kaupu ja teenuseid selles teises keeles ja/või liidus olevate klientide või kasutajate nimetamine muuta ilmseks asjaolu, et vastutav töötleja kavatseb pakkuda liidus sellistele andmesubjektidele kaupu või teenuseid.

(24)

Käesolevat määrust tuleks kohaldada ka liidu territooriumil olevate andmesubjektide isikuandmete töötlemisele mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui see on seotud selliste andmesubjektide käitumise jälgimisega niivõrd, kuivõrd see käitumine toimub liidus. Selleks et teha kindlaks, kas isikuandmete töötlemise toimingut võib pidada andmesubjekti käitumise jälgimiseks, tuleks selgitada välja, kas füüsilist isikut jälgitakse internetis, sealhulgas selliste andmetöötlusmeetodite võimaliku kasutamisega, mis hõlmavad füüsilise isiku profiilianalüüsi eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid.

(25)

Kui liikmesriigi õigust kohaldatakse rahvusvahelise avaliku õiguse alusel, tuleks käesolevat määrust kohaldada ka väljaspool liitu asuva vastutava töötleja, näiteks liikmesriigi diplomaatilise või konsulaaresinduse suhtes.

(26)

Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogilisi arenguid. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

(27)

Käesolevat määrust ei kohaldata surnuid puudutavate isikuandmete suhtes. Liikmesriikidel peaks olema võimalik ette näha surnuid puudutavate isikuandmete töötlemise eeskirjad.

(28)

Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud välistama mis tahes muid andmekaitsemeetmeid.

(29)

Selleks et luua stiimuleid pseudonümiseerimise kasutamiseks isikuandmete töötlemisel, peaks samal vastutaval töötlejal olema võimalik kasutada pseudonümiseerimismeetmeid, mis võimaldavad samal ajal üldist analüüsi, kui vastutav töötleja on võtnud tehnilised ja korralduslikud meetmed, mis on vajalikud, et tagada asjaomase andmetöötluse tegemisel käesoleva määruse rakendamine, ning sellise täiendava teabe, mis võimaldab isikuandmeid seostada konkreetse andmesubjektiga, eraldi hoidmise. Andmeid töötlev vastutav töötleja peaks tähendama sama vastutava töötleja volitatud isikuid.

(30)

Füüsilisi isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega, näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.

(31)

Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei peaks pidama vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Kõnealused avaliku sektori asutused peaksid selliseid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele.

(32)

Nõusolek tuleks anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võiks hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadmete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik ning mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.

(33)

Sageli ei ole isikuandmete kogumise ajal võimalik täielikult kindlaks määrata teadusuuringute eesmärgil toimuva andmetöötluse eesmärki. Seetõttu peaks andmesubjektidel olema võimalik anda oma nõusolek teatavates teadusuuringuvaldkondades, kui järgitakse teadusuuringuvaldkonna tunnustatud eetikanorme. Andmesubjektidel peaks olema võimalik anda oma nõusolek üksnes teatavatele teadusuuringuvaldkondadele või teadusprojektide osadele kavandatud eesmärgiga lubatud ulatuses.

(34)

Geneetilised andmed tuleks määratleda füüsilise isiku päritud või omandatud geneetiliste omadustega isikuandmetena, mis on saadud asjaomase füüsilise isiku bioloogilise proovi analüüsist, eelkõige kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või muu elemendi analüüsist, mis võimaldab saada samaväärset teavet.

(35)

Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti tervislikku seisundit käsitlevad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse tervise kohta. See hõlmab teavet füüsilise isiku kohta, mis on kogutud füüsilisele isikule tervishoiuteenuste registreerimise või osutamise käigus, nagu on osutatud Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL (9); numbrit, tähist või eritunnust, mis on füüsilisele isikule määratud tema kordumatuks tuvastamiseks tervishoiuga seotud eesmärkidel; teavet, mis on saadud mingi kehaosa või kehast pärineva aine, sealhulgas geneetiliste andmete ja bioloogiliste proovide kontrollimise või uurimise tulemusena; ja teavet teave näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi või andmesubjekti füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata sellest, kas andmete allikaks on näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in vitro diagnostika.

(36)

Vastutava töötleja peamine tegevuskoht liidus peaks olema tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja mujal liidus asuvas tegevuskohas. Sellisel juhul tuleks nimetatud muud tegevuskohta pidada peamiseks tegevuskohaks. Vastutava töötleja peamine tegevuskoht liidus tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama püsiva korra alusel läbi viidavat tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärki ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel. See kriteerium ei tohiks sõltuda sellest, kas isikuandmeid töödeldakse kõnealuses kohas. Isikuandmete töötlemise või isikuandmete töötlemise toimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseenesest ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid. Volitatud töötleja peamine tegevuskoht peaks olema tema juhatuse asukoht liidus või, kui tal ei ole liidus juhatuse asukohta, see koht, kus sooritatakse peamised isikuandmete töötlemise toimingud liidus. Juhul kui kaasatud on nii vastutav töötleja kui ka volitatud töötleja, peaks pädevaks juhtivaks järelevalveasutuseks jääma selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja peamine tegevuskoht, kuid volitatud töötleja järelevalveasutust tuleks käsitada asjaomase järelevalveasutusena ja nimetatud järelevalveasutus peaks osalema käesolevas määruses sätestatud koostöömenetluses. Kui otsuse eelnõu puudutab ainult vastutavat töötlejat, ei tuleks selle liikmesriigi või nende liikmesriikide järelevalveasutusi, kus asub volitatud töötleja üks või mitu tegevuskohta, käsitada ühelgi juhul asjaomaste järelevalveasutustena. Kui andmeid töötleb kontsern, siis tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamist tegevuskohta, välja arvatud juhul, kui töötlemise eesmärgi ja vahendid määrab kindlaks teine ettevõtja.

(37)

Kontsern peaks hõlmama kontrollivat ettevõtjat ja tema kontrolli all olevaid ettevõtjaid, kusjuures kontrolliv ettevõtja peaks saama kasutada teiste ettevõtjate üle valitsevat mõju näiteks omanikuna, rahalise osaluse kaudu, põhikirja alusel või volituse kaudu rakendada isikuandmete kaitse norme. Ettevõtjat, kes kontrollib isikuandmete töötlemist temaga seotud ettevõtjate puhul, tuleks vaadelda koos nende ettevõtjatega ühe kontsernina.

(38)

Laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega. Niisugune eriline kaitse peaks eelkõige rakenduma laste isikuandmete kasutamisel turunduse eesmärgil või isiku või kasutajaprofiili loomiseks ja laste isikuandmete kogumisel otse lastele pakutavate teenuste kasutamise puhul. Vanemliku vastutuse kandja nõusolekut ei peaks olema vaja seoses lapsele otse pakutavate ennetavate või nõustamisteenustega.

(39)

Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Kõnealune põhimõte puudutab eelkõige andmesubjektide teavitamist vastutava töötleja identiteedist ning töötlemise eesmärgist ja täiendavast teabest, et tagada asjaomaste füüsiliste isikute suhtes õiglane ja läbipaistev töötlemine ning nende õigus saada neid puudutavate isikuandmete töötlemise kohta kinnitust ja sõnumeid. Füüsilisi isikuid tuleks teavitada isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad sellise andmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal. Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. See eeldab eelkõige, et tagatakse andmete säilitamise aja piirdumine rangelt minimaalsega. Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et isikuandmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks. Selle tagamiseks, et ebaõiged isikuandmed parandatakse või kustutatakse, tuleks võtta kõik mõistlikud meetmed. Isikuandmeid tuleks töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamise tõkestamise.

(40)

Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda asjaomase andmesubjekti nõusolekul või muul õiguslikul alusel, mis on sätestatud õigusaktis, kas käesolevas määruses või käesolevas määruses osutatud muus liidu või liikmesriigi õigusaktis, sealhulgas siis, kui vastutav töötleja peab täitma talle kehtivaid juriidilisi kohustusi või kui tuleb täita lepingut, mille osaline andmesubjekt on, või selleks, et võtta andmesubjekti taotlusel enne lepingu sõlmimist meetmeid.

(41)

Kui käesolevas määruses osutatakse õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist. Selline õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine peaks olema eeldatav isikute jaoks, kelle suhtes seda kohaldatakse vastavalt Euroopa Liidu Kohtu („Euroopa Kohus“) ja Euroopa Inimõiguste Kohtu praktikale.

(42)

Kui töödeldakse andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõestada, et andmesubjekt on andnud isikuandmete töötlemise toiminguks oma nõusoleku. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõlas nõukogu direktiiviga 93/13/EMÜ (10) peaks vastutava töötleja poolt ette valmistatud nõusolekuavaldus olema arusaadav ja lihtsasti kättesaadav, selles tuleks kasutada selget ja lihtsat keelt ning selles ei tohiks olla ebaõiglaseid tingimusi. Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Nõusolekut ei tohiks lugeda vabatahtlikult antuks, kui andmesubjektil pole tõelist või vaba valikuvõimalust või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta.

(43)

Selle tagamiseks, et nõusolek on antud vabatahtlikult, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras, eriti juhul kui vastutav töötleja on avaliku sektori asutus, ning seega on ebatõenäoline, et nõusolek anti selle konkreetse olukorra kõigi asjaolude puhul vabatahtlikult. Nõusolekut ei loeta vabatahtlikuks, kui ei ole võimalik anda erinevatele isikuandmete töötlemise toimingutele eraldi nõusolekut, ehkki see on üksikutel juhtudel asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on pandud sõltuma sellisest nõusolekust, ehkki see ei ole lepingu täitmiseks vajalik.

(44)

Töötlemine tuleks lugeda seaduslikuks juhul, kui see on vajalik seoses lepinguga või on tehtud lepingu sõlmimise kavatsusega.

(45)

Kui töödeldakse vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemise alus olema sätestatud liidu või liikmesriigi õigusaktis. Käesolevas määruses ei nõuta iga üksiku isikuandmete töötlemise toimingu reguleerimiseks eraldi õigusakti. Piisata võib õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks. Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis. Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks. See, kas avaliku huvi või avaliku võimu teostamisega seotud ülesannet täitev vastutav töötleja peaks olema avaliku sektori asutus või muu avalik-õiguslik või eraõiguslik füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata liidu õiguses või kui see on avalikust huvist lähtuvalt põhjendatud, sealhulgas tervishoiuga seotud eesmärkidel, nagu rahvatervis ja sotsiaalkaitse ning tervishoiuteenuste juhtimine, siis liikmesriigi õiguses.

(46)

Isikuandmete töötlemist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks. Muu füüsilise isiku eluliste huvide alusel saaks isikuandmeid põhimõtteliselt töödelda üksnes siis, kui töötlemist ei saa ilmselgelt teostada muul õiguslikul alusel. Mõnda liiki isikuandmetöötlus võib teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.

(47)

Töötlemise õiguslikuks aluseks võib olla vastutava töötleja (sealhulgas sellise vastutava töötleja, kellele võidakse isikuandmeid avaldada, või kolmanda isiku) õigustatud huvi, tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse andmesubjekti mõistlikke ootusi, mis põhinevad tema suhtel vastutava töötlejaga. Selline õigustatud huvi võib olemas olla näiteks siis, kui andmesubjekti ja vastutava töötleja vahel on asjakohane ja sobiv suhe, näiteks kui andmesubjekt on vastutava töötleja klient või töötab tema teenistuses. Igal juhul tuleks õigustatud huvi olemasolu hoolikalt hinnata, sealhulgas seda, kas andmesubjekt võib andmete kogumise ajal ja kontekstis mõistlikkuse piires eeldada, et isikuandmeid võidakse sellel otstarbel töödelda. Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada edasist töötlemist. Arvestades, et avaliku sektori asutuste jaoks peab isikuandmete töötlemise õigusliku aluse kehtestama seadusandja õigusaktiga, ei tohiks töötlemise puhul kohaldada sellist õiguslikku alust, mida avaliku sektori asutused teostavad oma ülesannete täitmiseks. Pettuste vältimiseks rangelt vajalik isikuandmete töötlemine on samuti asjaomase vastutava töötleja õigustatud huvi. Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.

(48)

Vastutavatel töötlejatel, kes on osa kontsernist või keskasutusega seotud institutsioonist, võib olla õigustatud huvi edastada isikuandmeid kontserni piires sisehalduse eesmärkidel, sealhulgas klientide või töötajate isikuandmete töötlemine. Kontserni piires kolmandas riigis asuvale ettevõtjale isikuandmete edastamise üldpõhimõtted jäävad samaks.

(49)

Isikuandmete töötlemine sellisel määral, mis on rangelt vajalik ja proportsionaalne võrgu- ja infoturbe (s.o võrgu või infosüsteemi võime kaitsta end teatava kindlusega õnnetuste või ebaseadusliku või pahatahtliku tegevuse eest, mis seavad ohtu salvestatud või edastatud isikuandmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ning nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate seotud teenuste turvalisuse) tagamiseks avaliku sektori asutuste, infoturbeintsidentidega tegelevate rühmade (CERT), arvutiturbe juhtumitele reageerimise rühmade (CSIRT), elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt, kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib näiteks hõlmata elektroonilise side võrkudele loata juurdepääsu ja ründekoodi levitamise takistamist ning teenusetõkestamise rünnete ja arvuti- ja elektroonilise side süsteemide kahjustamise peatamist.

(50)

Isikuandmete töötlemine muudel eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti. Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist. Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu või liikmesriigi õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks. Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena. Liidu või liikmesriigis õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks. Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

Kui andmesubjekt on andnud nõusoleku või kui töötlemine põhineb liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, millega kaitsta eelkõige üldist avalikku huvi pakkuvaid olulisi eesmärke, peaks vastutaval töötlejal olema lubatud isikuandmeid edasi töödelda, olenemata eesmärkidele vastavusest. Igal juhul tuleks tagada käesolevas määruses sätestatud põhimõtete kohaldamine ja eelkõige andmesubjekti teavitamine kõnealustest muudest eesmärkidest ja tema õigustest, sealhulgas õigusest esitada vastuväiteid. Seda, et vastutav töötleja teatab võimalikest süütegudest või avalikku julgeolekut ähvardavatest ohtudest ning edastab sama kuriteoga või avalikku julgeolekut ähvardavate ohtudega seotud üksikjuhtumi või mitme juhtumi korral asjakohased isikuandmed pädevale asutusele, tuleks pidada vastutava töötleja õigustatud huvides olevaks. Selline edastamine vastutava töötleja õigustatud huvides või isikuandmete edasine töötlemine peaks aga olema keelatud, kui töötlemine ei ühildu õigusliku, kutsealase või muu siduva saladuste hoidmise kohustusega.

(51)

Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud üksnes biomeetriliste andmete määratlusega, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud käesolevas määruses sätestatud konkreetsetel juhtudel, kui töötlemine on lubatud, võttes arvesse seda, et liikmesriikide õiguses võib kehtestada konkreetseid andmekaitse-eeskirju, et kohandada käesoleva määruse eeskirjade kohaldamist juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Lisaks sellise töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid eeskirju, eelkõige seoses seadusliku töötlemise tingimustega. Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

(52)

Isikuandmete eriliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka juhul, kui see on sätestatud liidu või liikmesriigi õiguses, ja eeldusel, et kehtestatakse asjakohased kaitsemeetmed, et kaitsta isikuandmeid ja muid põhiõigusi, kui see on avalikes huvides, eelkõige isikuandmete töötlemine tööõiguse, sotsiaalkaitseõiguse, sealhulgas pensionide valdkonnas ning terviseturbe, -seire ja hoiatamisega seotud eesmärkidel, nakkushaiguste ennetamine ja tõrje ning muud tõsised terviseohud. Sellise erandi võib teha tervisega seotud eesmärkidel, sealhulgas rahvatervise ja tervishoiuteenuste korraldamise valdkonnas, eelkõige selleks, et tagada tervisekindlustussüsteemis hüvitisi ja teenuseid puudutavate nõuete rahuldamiseks kasutatavate menetluste kvaliteet ja kulutasuvus, või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Erand peaks võimaldama selliste isikuandmete töötlemist ka siis, kui see on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks sõltumata sellest, kas see toimub kohtumenetluse, haldusmenetluse või kohtuvälise menetluse raames.

(53)

Tugevamat kaitset väärivate isikuandmete eriliike tuleks töödelda üksnes tervisega seotud eesmärkidel, kui need eesmärgid on vaja saavutada füüsiliste isikute ja kogu ühiskonna hüvanguks, eelkõige tervishoiu- või sotsiaalhoolekandeteenuste ja -süsteemide juhtimise kontekstis, sealhulgas selliste andmete töötlemisel juhtkonna ja kesksete riiklike terviseasutuste poolt sellistel eesmärkidel nagu kvaliteedikontroll, juhtimisteave ning tervishoiu- või sotsiaalhoolekandesüsteemi üldine riiklik ja kohalik järelevalve ning tervishoiu või sotsiaalhoolekande järjepidevuse ja piiriülese tervishoiu või terviseturbe tagamine, seire ja hoiatamise eesmärkidel või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil liidu või liikmesriigi õiguse alusel, mis peab vastama avalikule huvile, ning rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringute jaoks. Seetõttu tuleks käesolevas määruses ette näha ühtsed tervisealaste isikuandmete eriliikide töötlemise tingimused konkreetsete vajaduste osas, eelkõige juhul, kui selliseid andmeid töötlevad teatavatel tervishoiuga seotud eesmärkidel isikud, kellel on juriidiline kohustus hoida ametisaladust. Liidu või liikmesriigi õiguses tuleks ette näha konkreetsed ja sobivad meetmed, et kaitsta füüsiliste isikute põhiõigusi ja isikuandmeid. Liikmesriikidel peaks olema lubatud säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega. See ei tohiks aga takistada isikuandmete vaba liikumist liidus, kui neid tingimusi kohaldatakse selliste andmete piiriülese töötlemise suhtes.

(54)

Isikuandmete eriliike võib olla vaja töödelda avalikes huvides rahvatervisega seotud valdkondades ilma andmesubjekti nõusolekuta. Sellisel töötlemisel tuleks kohaldada sobivaid ja konkreetseid meetmeid, et kaitsta füüsiliste isikute õigusi ja vabadusi. Selles kontekstis tuleks mõistet „rahvatervis“ tõlgendada vastavalt Euroopa Parlamendi ja nõukogu määrusele (EÜ) nr 1338/2008 (11), mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, nimelt tervislik seisund, sealhulgas haigestumus ja puuded, tervislikku seisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud, näiteks tööandjad või kindlustus- ja pangandusettevõtjad.

(55)

Lisaks sellele töötlevad ametiasutused isikuandmeid avalike huvide tagamiseks konstitutsiooniõiguses või rahvusvahelises avalikus õiguses sätestatud ametlikult tunnustatud religioossete ühenduste eesmärkide saavutamiseks.

(56)

Kui valimisprotsessi käigus näeb demokraatlik süsteem liikmesriigis ette, et poliitilised parteid koguvad isikuandmeid inimeste poliitiliste vaadete kohta, võib selliste andmete töötlemine olla lubatud avalike huvidega seotud põhjustel ja tingimusel, et kehtestatakse vajalikud kaitsemeetmed.

(57)

Juhul kui vastutav töötleja töötleb selliseid isikuandmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima andmesubjekti tuvastamiseks täiendavat teavet ainult käesoleva määruse sätete järgimiseks. Vastutav töötleja ei tohiks aga keelduda sellise täiendava teabe vastuvõtmisest, mida andmesubjekt esitab oma õiguste kasutamise toetamiseks. Tuvastamine peaks hõlmama andmesubjekti digitaalset tuvastamist, näiteks sellise autentimise mehhanismi abil nagu samad volitused, mida andmesubjekt kasutab vastutava töötleja pakutavasse sidusteenusesse sisselogimiseks.

(58)

Läbipaistvuse põhimõte eeldab, et üldsusele või andmesubjektile suunatud teave on kokkuvõtlik, lihtsalt kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud ning samuti tuleks vajaduse korral täiendavalt kasutada visualiseerimist. Sellise teabe võib esitada elektrooniliselt, näiteks avalikkusele suunatud teabe puhul veebisaidi kaudu. Eriti asjakohane on see muudes olukordades, mille puhul osapoolte arvukuse ja kasutatava tehnoloogia keerukuse tõttu on andmesubjektil raske teada saada ja mõista, kas kogutakse tema isikuandmeid, kes neid kogub ja millisel eesmärgil, nagu näiteks veebireklaami puhul. Kuna lapsed väärivad erilist kaitset, peaks laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles, mis on lapsele kergesti arusaadav.

(59)

Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid. Vastutav töötleja peaks samuti kättesaadavaks tegema vahendid, millega taotluse saab esitada elektrooniliselt, eriti kui isikuandmeid töödeldakse elektrooniliste vahenditega. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul ning kui vastutav töötleja ei kavatse andmesubjekti taotlust rahuldada, siis seda põhjendama.

(60)

Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. Lisaks tuleks andmesubjekti teavitada profiilianalüüsi olemasolust ja sellise analüüsi tagajärgedest. Kui isikuandmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud isikuandmeid esitama, ja selliste andmete esitamata jätmise tagajärgedest. Sellise teabe võib esitada koos standardsete ikoonidega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, peaksid need olema masinloetavad.

(61)

Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle juhtumi asjaoludest olenevalt kas andmesubjektilt andmete kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid hangitakse muust allikast. Kui isikuandmeid võib õiguspäraselt avaldada muule vastuvõtjale, tuleks andmesubjekti sellest teavitada andmete esmakordsel avaldamisel. Kui vastutav töötleja kavatseb isikuandmeid töödelda muul eesmärgil kui see, milleks neid koguti, peaks vastutav töötleja esitama andmesubjektile enne andmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu vajaliku teabe. Kui andmesubjektile ei saa esitada isikuandmete päritolu, sest kasutatud on mitut allikat, tuleks esitada üldteave.

(62)

Teabe esitamise kohustust ei ole siiski vaja kehtestada juhul, kui andmesubjektil on see teave juba olemas, juhul, kui isikuandmete dokumenteerimine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suurt jõupingutust. Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui andmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Sellisel juhul tuleks arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki asjakohaseid vastuvõetud kaitsemeetmeid.

(63)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised. Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate. Võimaluse korral peaks vastutav töötleja saama anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega. See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. Kui vastutav töötleja töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et andmesubjekt täpsustaks enne andmete esitamist, millise teabe või milliste isikuandmete töötlemise toimingutega taotlus seotud on.

(64)

Vastutav töötleja peaks kasutama juurdepääsu taotleva andmesubjekti isiku tuvastamiseks kõiki mõistlikke meetmeid, seda eelkõige sidusteenuste ja võrguidentifikaatorite korral. Vastutav töötleja ei tohiks isikuandmeid säilitada üksnes selleks, et suuta reageerida võimalikele päringutele.

(65)

Andmesubjektil peaks olema õigus nõuda teda käsitlevate isikuandmete parandamist ja „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu või liikmesriigi õigust. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui isikuandmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on töötlemisele antud nõusoleku tagasi võtnud või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmesubjektil peaks olema võimalik seda õigust kasutada, vaatamata sellele, et ta ei ole enam laps. isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks, juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, rahvatervise valdkonna avalikes huvides, avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

(66)

Selleks et tugevdada võrgukeskkonnas õigust olla unustatud, tuleks laiendada õigust andmete kustutamisele, kohustades isikuandmed avaldanud vastutavat töötlejat võtma tarvitusele mõistlikke abinõusid, sealhulgas rakendades tehnilisi meetmeid, et teavitada selliseid isikuandmeid töötlevaid vastutavaid töötlejaid asjaolust, et andmesubjekt taotleb neilt kõnealustele isikuandmetele osutavate linkide või andmekoopiate või -korduste kustutamist. Seda tehes peaks vastutav töötleja võtma mõistlikke meetmeid, võttes arvesse vastutavale töötlejale vastutavale töötlejale kättesaadavat tehnoloogiat ja vahendeid, sealhulgas tehnilisi meetmeid, et teavitada isikuandmeid töötlevaid vastutavaid töötlejaid andmesubjekti taotlusest.

(67)

Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud isikuandmete ajutist ümberpaigutamist teise töötlemissüsteemi, valitud isikuandmete muutmist kasutajatele kättesaamatuks või avaldatud andmete ajutist kõrvaldamist veebisaidilt. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega selliselt, et isikuandmeid enam edasi ei töödelda ja neid ei saa enam muuta. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis selgelt määratleda.

(68)

Selleks et veelgi tugevdada kontrolli oma andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada neid teisele vastutavale töötlejale. Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. See õigus peaks olema kasutatav juhul, kui andmesubjekt esitas isikuandmed omaenda nõusoleku alusel või kui töötlemine on vajalik lepingu täitmiseks. See nõue ei peaks olema kohaldatav, kui töötlemine põhineb muul õiguslikul alusel kui nõusolek või leping. Seda õigust ei tohiks selle laadi tõttu kasutada vastutavate töötlejate suhtes, kes töötlevad isikuandmeid oma avalike kohustuste täitmisel. Seda ei tuleks seega kohaldada eelkõige siis, kui isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu kasutamiseks. Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme. Kui teatud isikuandmed puudutavad enam kui üht andmesubjekti, ei tohiks isikuandmete saamise õigus piirata teiste andmesubjektide käesoleva määruse kohaseid õigusi ja vabadusi. Lisaks ei tohiks see õigus piirata andmesubjekti käesoleva määruse kohast õigust nõuda oma isikuandmete kustutamist ja selle õiguse piiranguid ning ei tohiks eelkõige tähendada andmesubjekti poolt lepingu täitmiseks esitatud teda käsitlevate isikuandmete kustutamist sel määral ja nii kaua, kui isikuandmed on vajalikud selle lepingu täitmiseks. Kui see on tehniliselt teostatav, peaks andmesubjektil olema õigus sellele, et isikuandmed edastatakse otse ühelt vastutavalt töötlejalt teisele.

(69)

Kui isikuandmeid võidakse seaduslikult töödelda sellepärast, et töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või seoses vastutava töötleja või kolmanda isiku õigustatud huviga, peaks andmesubjektil olema ikkagi õigus tema konkreetse olukorraga seotud isikuandmete töötlemine vaidlustada. Vastutav töötleja peaks tõendama, et tema mõjuvad õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

(70)

Kui isikuandmeid töödeldakse otseturunduse eesmärgil, peaks andmesubjektil olema õigus oma isikuandmete nii algse kui ka edasise töötlemise, sealhulgas otseturundusega seotud profiilianalüüsi tegemise suhtes igal ajal ja tasuta vastuväiteid esitada. Andmesubjekti tähelepanu tuleks selgesõnaliselt juhtida sellele õigusele ning see esitatakse selgelt ja eraldi igasugusest muust teabest.

(71)

Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes andmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat ja meedet sisaldada võivat otsust, millel on teda puudutavad õiguslikud tagajärjed või mis avaldab talle samamoodi märkimisväärset mõju, nagu veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta. Selline töötlemine hõlmab igasuguses isikuandmete automatiseeritud töötlemises seisnevat profiilianalüüsi, mille käigus hinnatakse füüsilise isikuga seotud isiklikke aspekte, mille eesmärk on eelkõige selliste aspektide analüüsimine ja prognoosimine, mis on seotud töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega, kui see toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle samamoodi märkimisväärset mõju. Sellisel töötlemisel, sealhulgas profiilianalüüsil põhinev otsuste tegemine peaks aga olema lubatud siis, kui see on sõnaselgelt lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, sealhulgas pettuste ja maksudest kõrvalehoidumise järelevalve ja ennetamise eesmärkidel, mida teostatakse vastavalt liidu institutsioonide või riiklike järelevalveasutuste normidele, standarditele ja soovitustele, ning vastutava töötleja osutatava teenuse turvalisuse ja usaldusväärsuse tagamiseks, või kui see on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks või siis, kui andmesubjekt on andnud selleks oma selgesõnalise nõusoleku. Igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid, mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ning õigust seda otsust vaidlustada. Selline meede ei tohiks puudutada last.

Selleks et tagada andmesubjekti suhtes õiglane ja läbipaistev töötlemine, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti, peaks vastutav töötleja kasutama profiilianalüüsiks asjakohaseid matemaatilisi või statistilisi menetlusi, rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada eelkõige ebaõigeid isikuandmeid põhjustavate tegurite korrigeerimine ja vigade tegemise ohu minimeerimine, ning tagama isikuandmete turvalisuse selliselt, et võetakse arvesse potentsiaalset ohtu andmesubjekti huvidele ja õigustele ning ennetatakse muu hulgas diskrimineerivat mõju füüsilistele isikutele rassi või etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, geneetilise või tervisliku seisundi või seksuaalse sättumuse alusel või mille tulemuseks on sellise mõjuga meetmed. Automatiseeritud otsuste tegemine ja profiilianalüüs konkreetsete isikuandmete liikide põhjal peaks olema lubatud ainult eritingimustel.

(72)

Profiilianalüüsi suhtes kohaldatakse käesolevas määruses sätestatud isikuandmete töötlemist reguleerivaid eeskirju, näiteks töötlemise õiguslikke aluseid või andmekaitse põhimõtteid. Käesoleva määrusega loodud Euroopa Andmekaitsenõukogul („andmekaitsenõukogu“) peaks olema võimalik andma sellekohaseid suuniseid.

(73)

Piirangud, mis puudutavad konkreetseid põhimõtteid ja õigust saada teavet, andmetega tutvuda, nõuda nende parandamist ja kustutamist või õigust andmeid ühest süsteemist teise üle kanda, õigust esitada vastuväiteid, profiilianalüüsil põhinevaid otsuseid, samuti andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning vastutavate töötlejate teatavaid seonduvaid kohustusi, võib kehtestada liidu või liikmesriigi õiguses, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne selleks, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetustele reageerimisel, süütegude tõkestamine, uurimine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine või nende ennetamine või reguleeritud kutsealade ametieetika rikkumise ennetamine, liidu või liikmesriigi muu üldise avaliku huvi, eelkõige liidu või liikmesriigi olulise majandus- või finantshuvi oluline eesmärk; üldisest avalikust huvist lähtuvate avalike registrite pidamine, arhiveeritud isikuandmete täiendav töötlemine endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevusega seotud konkreetse teabe andmiseks, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse, sealhulgas sotsiaalkaitse, rahvatervis ja humanitaareesmärgid. Nimetatud piirangud peaksid vastama hartas ning Euroopa inimõiguste ja põhivabaduste kaitsekonventsioonis sätestatud nõuetele.

(74)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

(75)

Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel või prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid; kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

(76)

Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks andmetöötlustoimingutega kaasneb oht või suur oht.

(77)

Suuniseid asjakohaste meetmete rakendamiseks ja nõuete täitmise tõendamiseks vastutava töötleja või volitatud töötleja poolt, eelkõige seoses töötlemisega seotud ohu kindlakstegemisega, selle päritolu, laadi, tõenäosuse ja tõsiduse hindamisega ning ohu leevendamiseks kasutatavate parimate tavade kindlakstegemisega võib anda eelkõige heakskiidetud toimimisjuhenditega, heakskiidetud sertifikaatidega, andmekaitsenõukogu esitatud suunistega või andmekaitseametniku antud juhistega. Andmekaitsenõukogu võib anda ka suuniseid isikuandmete töötlemise toimingute kohta, mille puhul loetakse ebatõenäoliseks, et tekib suur oht füüsiliste isikute õigustele ja vabadustele, ning määrata kindlaks, millised meetmed võivad olla sellistel juhtudel piisavad sellise ohu käsitlemiseks.

(78)

Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete täitmine. Selleks et olla võimeline tõendama käesoleva määruse täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis vastavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest, isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest, vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid. Selliste rakenduste, teenuste ja toodete väljatöötamisel, kavandamisel, valimisel ja kasutamisel, mis põhinevad isikuandmete töötlemisel või mille käigus töödeldakse isikuandmeid nende ülesannete täitmiseks, tuleks nende toodete, teenuste ja rakenduste tootjaid innustada võtma selliste toodete, teenuste ja rakenduste väljatöötamisel ja kavandamisel arvesse õigust andmekaitsele ning tagama asjakohaselt teaduse ja tehnoloogia viimast arengut arvestades, et vastutavad töötlejad ja volitatud töötlejad saaksid täita oma andmekaitsealaseid kohustusi. Riigihangete kontekstis tuleks samuti võtta arvesse lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid.

(79)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava kontrolli ja nende võetavate meetmetega eeldab käesolevas määruses sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

(80)

Kui väljaspool liitu asuv vastutav töötleja või volitatud töötleja töötleb liidus olevate andmesubjektide isikuandmeid ja tema isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele liidus, olenemata sellest, kas andmesubjekt peab nende eest maksma, või selliste andmesubjektide käitumise jälgimisega, kui see käitumine toimub liidus, peaks vastutav töötleja või volitatud töötleja nimetama esindaja, välja arvatud juhul, kui ta töödeldakse juhtumipõhiselt, ei hõlma isikuandmete eriliikide suures ulatuses töötlemist või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist ning selle tulemusel ei ohustata tõenäoliselt füüsiliste isikute õigusi ja vabadusi, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või kui vastutav töötleja on avaliku sektori asutus või organ. Esindaja peaks tegutsema vastutava töötleja või volitatud töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused. Esindaja peaks olema vastutava töötleja või volitatud töötleja kirjaliku volitusega selgesõnaliselt määratud tegutsema vastutava töötleja või volitatud töötleja nimel seoses kohustustega, mida nad peavad käesoleva määruse kohaselt täitma. Sellise esindaja määramine ei mõjuta vastutava töötleja või volitatud töötleja käesoleva määruse kohaseid kohustusi. Selline esindaja peaks täitma oma ülesandeid vastavalt vastutavalt töötlejalt või volitatud töötlejalt saadud volitustele, sealhulgas tegema pädevate järelevalveasutustega koostööd igasugustes meetmetes, mis võetakse käesoleva määruse täitmise tagamiseks. Määratud esindaja suhtes tuleks kohaldada täitemenetlust, kui vastutav töötleja ega volitatud töötleja ei täida käesoleva määruse sätteid.

(81)

Kui vastutava töötleja nimel töötleb andmeid volitatud töötleja, peaks vastutav töötleja kasutama käesoleva määruse nõuete täitmise tagamiseks isikuandmete töötlemise toimingute usaldamisel volitatud töötlejale ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele. Seda, et volitatud töötleja järgib heakskiidetud toimimisjuhendit või heakskiidetud sertifitseerimismehhanismi, võib kasutada elemendina, mis tõendab vastutava töötleja kohustuste täitmist. Volitatud töötleja peaks andmeid töötlema volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärgid, isikuandmete liik ja andmesubjektide kategooriad ning peaks arvesse võtma volitatud töötleja konkreetseid ülesandeid ja kohustusi seoses teostatava töötlemisega ning ohtu andmesubjekti õigustele ja vabadustele. Vastutav töötleja ja volitatud töötleja võivad teha otsuse kasutada individuaalset lepingut või lepingu tüüptingimusi, mille on vastu võtnud kas otseselt komisjon või järelevalveasutus kooskõlas järjepidevuse mehhanismiga ja seejärel komisjon. Pärast vastutava töötleja nimel töötlemise lõpetamist peaks volitatud töötleja isikuandmed vastutava töötleja valikul kas tagastama või kustutama, välja arvatud juhul, kui volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õiguse kohaselt tuleb isikuandmeid säilitada.

(82)

Käesoleva määruse täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja säilitama andmeid tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta. Vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema need salvestatud andmed taotluse korral järelevalveasutusele kättesaadavaks, et neid saaks kasutada nimetatud isikuandmete töötlemise toimingute kontrollimiseks.

(83)

Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

(84)

Käesoleva määruse järgimise parandamiseks juhtudel, kus isikuandmete töötlemise toimingud kujutavad endast füüsiliste isikute õigustele ja vabadustele tõenäoliselt suurt ohtu, peaks vastutav töötleja vastutama andmekaitsealase mõjuhinnangu tegemise eest, et hinnata eelkõige selle ohu päritolu, laadi, eripära ja tõsidust. Hinnangu tulemust tuleks arvestada asjakohaste meetmete kindlaksmääramisel, mis tuleb võtta selle tõendamiseks, et isikuandmete töötlemine on käesoleva määrusega kooskõlas. Kui andmekaitsealane mõjuhinnang näitab, et isikuandmete töötlemise toimingutega kaasneb suur oht, mida vastutav töötleja ei saa leevendada kättesaadava tehnoloogia ja rakendamise maksumuse osas asjakohaste meetmetega, tuleks enne töötlemist konsulteerida järelevalveasutusega.

(85)

Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, materiaalse või mittemateriaalse kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata tühistamine, maine kahjustamine, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et on toimunud isikuandmetega seotud rikkumine, peaks vastutav töötleja teatama isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui vastutav töötleja suudab kooskõlas vastutamise põhimõttega tõendada, et selle rikkumise tulemusena ei teki tõenäoliselt ohtu füüsilise isiku õigustele ja vabadustele. Kui 72 tunni jooksul teatamine ei ole võimalik, tuleks teatisele lisada selle hilinemise põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta.

(86)

Vastutav töötleja peaks ilma põhjendamatu viivituseta teavitama andmesubjekti isikuandmetega seotud rikkumisest, kui rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et võimaldada andmesubjektil võtta vajalikke ettevaatusabinõusid. Teates tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teade tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjakohaste asutuste nagu näiteks õiguskaitseasutuste suunistest. Näiteks kahju tekkimise otsese ohu leevendamise vajadus eeldaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete isikuandmetega seonduvate rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist.

(87)

Tuleks kontrollida, kas kõiki asjakohaseid tehnilisi kaitsemeetmeid ja korralduslikke meetmeid on rakendatud, et teha viivitamata kindlaks, kas isikuandmetega seotud rikkumine on toimunud, ning teavitada sellest kohe järelevalveasutust ning andmesubjekti. Asjaolu, et teavitamine toimus põhjendamatu viivituseta, tuleks kindlaks teha, arvestades eelkõige isikuandmetega seotud rikkumise laadi, tõsidust ja tagajärgi ning kahjulikku mõju andmesubjektile. Sellise teavitamise järel võib asjasse sekkuda järelevalveasutus, kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega.

(88)

Isikuandmetega seotud rikkumisest teatamise vormide ja menetluste kohta üksikasjalike eeskirjade koostamisel tuleks nõuetekohaselt arvesse võtta ka nimetatud rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid või ei olnud kaitstud asjakohaste tehnoloogilise kaitse meetmetega, mis vähendab tõhusalt identiteedipettuse või muu väärkasutuse tõenäosust. Lisaks tuleks sellistes eeskirjades ja menetlustes arvesse võtta õiguskaitseasutuste õigustatud huve juhtudel, kui varajane avalikustamine võib tarbetult takistada isikuandmetega seotud rikkumise asjaolude uurimist.

(89)

Direktiivis 95/46/EÜ nähti ette üldine kohustus teatada isikuandmete töötlemisest järelevalveasutustele. Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid ei ole alati aidanud parandada isikuandmete kaitset. Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile isikuandmete töötlemise toimingute liikidele, mis kujutavad oma laadi, ulatuse, konteksti ja eesmärkide poolest tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele. Sellised isikuandmete töötlemise toimingute liigid võivad olla need, mis hõlmavad eelkõige uue tehnoloogia kasutamist või on uut tüüpi ning mille puhul vastutav töötleja ei ole varem andmekaitsealast mõjuhinnangut teostanud või kus toimingud muutuvad vajalikuks seoses esmasest töötlemisest möödunud ajaga.

(90)

Sellistel juhtudel peaks vastutav töötleja suure ohu konkreetse tõenäosuse ja tõsiduse hindamiseks, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke ning ohu tõsidust, koostama enne töötlemist andmekaitsealase mõjuhinnangu. Nimetatud mõjuhinnang peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme selle ohu leevendamiseks ja isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

(91)

Seda tuleks eelkõige kohaldada ulatuslike isikuandmete töötlemise toimingute puhul, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ja mis võivad mõjutada paljusid andmesubjekte ning mis kujutavad endast tõenäoliselt suurt ohtu, näiteks nende andmete tundlikkuse tõttu, kui vastavalt tehnoloogiliste teadmiste tasemele kasutatakse ulatuslikult uut tehnoloogiat, samuti muude isikuandmete töötlemise toimingute puhul, mis kujutavad endast suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige juhul, kui andmesubjektidel on nende toimingute tõttu raskem oma õigusi kasutada. Andmekaitsealane mõjuhinnang tuleks teha ka juhtudel, kus isikuandmeid töödeldakse selleks, et võtta vastu otsuseid konkreetsete füüsiliste isikute kohta pärast millist tahes füüsiliste isikutega seotud isiklike aspektide profiilianalüüsil põhinevat süstemaatilist ja põhjalikku hindamist või pärast seda, kui töödeldakse eriliikidesse kuuluvaid isikuandmeid, biomeetrilisi andmeid või andmeid süüteoasjades süüdimõistvate kohtuotsuste ja rikkumiste või nendega seotud turvameetmete kohta. Andmekaitsealast mõjuhinnangut on samuti vaja avalike alade ulatusliku jälgimise puhul, eriti kui kasutatakse elektroonilisi optikaseadmeid, või mis tahes muude toimingute puhul, kui pädev järelevalveasutus leiab, et töötlemine võib kujutada endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige sellepärast, et need takistavad andmesubjektidel õiguse või teenuse või lepingu kasutamist, või sellepärast, et neid teostatakse süstemaatiliselt suures ulatuses. Isikuandmete töötlemist ei tuleks lugeda ulatuslikuks, kui töötlemine puudutab patsientide või klientide isikuandmete töötlemist üksiku arsti, muu tervishoiutöötaja või juristi poolt. Sellistel juhtudel ei peaks andmekaitsealane mõjuhinnang olema kohustuslik.

(92)

On juhtumeid, mille puhul võib olla mõistlik ja säästlik hõlmata andmekaitsealase mõjuhinnanguga rohkem kui üht projekti, näiteks juhul, kui avaliku sektori asutused või organid kavatsevad kasutusele võtta ühise rakenduse või töötlemisplatvormi või mitu vastutavat töötlejat kavatseb kasutusele võtta ühise rakenduse või töötlemiskeskkonna kogu tööstusharus või allharus või laialdaselt kasutatava horisontaalse tegevuse puhul.

(93)

Selliste liikmesriigi õigusaktide vastuvõtmisel, millele avaliku sektori asutuse või organi ülesannete täitmine tugineb ja millega reguleeritakse kõnealuseid konkreetseid isikuandmete töötlemise toiminguid või nende kogumit, võib liikmesriik pidada vajalikuks viia selline hindamine läbi enne isikuandmete töötlemise toimingute alustamist.

(94)

Kui andmekaitsealane mõjuhinnang näitab, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole võimalik kättesaadava tehnoloogia ja rakendamiskulude seisukohast mõistlike meetmetega leevendada, tuleks enne isikuandmete töötlemise toimingute alustamist konsulteerida järelevalveasutusega. Selline suur oht tekib tõenäoliselt isikuandmete teatud liiki töötluse ning töötlemisulatuse ja -sageduse tulemusena, mille tagajärjel võib tekkida ka kahju füüsilise isiku õigustele ja vabadustele või sekkumine nendesse. Järelevalveasutus peaks vastama konsulteerimistaotlusele konkreetse ajavahemiku jooksul. Järelevalveasutuse reaktsiooni puudumine selle ajavahemiku jooksul ei tohiks aga mõjutada järelevalveasutuse sekkumist kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega, sealhulgas õigust keelata isikuandmete töötlemise toiminguid. Kõnealuse konsulteerimisprotsessi osana võib asjaomase töötlemise suhtes tehtud andmekaitsealase mõjuhinnangu tulemuse esitada järelevalveasutusele, eelkõige seoses meetmetega, mis on ette nähtud füüsiliste isikute õigusi ja vabadusi ähvardavate ohtude leevendamiseks.

(95)

Volitatud töötleja peaks abistama vajaduse ja taotluse korral vastutavat töötlejat, et tagada kooskõla kohustustega, mis tulenevad andmekaitsealaste mõjuhinnangute teostamisest ja järelevalveasutusega eelnevast konsulteerimisest.

(96)

Samuti tuleks järelevalveasutusega konsulteerida siis, kui valmistatakse ette õiguslikku või reguleerivat meedet, milles nähakse ette isikuandmete töötlemine, et tagada kavandatava töötlemise kooskõla käesoleva määrusega ning eelkõige leevendada andmesubjekti ähvardavat ohtu.

(97)

Kui töötlemist teostab avaliku sektori asutus, välja arvatud kohtud või sõltumatud õigusasutused, kui nad teevad menetlusotsuseid, töötlejaks on erasektoris vastutava töötleja, kelle põhitegevus hõlmab isikuandmete töötlemise toiminguid, mis eeldavad ulatuslikku regulaarset ja süstemaatilist järelevalvet andmesubjektide üle, või kui vastutava töötleja või volitatud töötleja põhitegevus hõlmab isikuandmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist, peaks vastutavat töötlejat või volitatud töötlejat abistama andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes kontrollib käesoleva määruse täitmist asutuse või töötleja poolt. Erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena. Erialaste teadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt teostatavatele andmetöötlustoimingutele ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele. Sellistel andmekaitseametnikel, sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil.

(98)

Vastutavate töötlejate ja volitatud töötlejate eri kategooriaid esindavaid ühendusi ja muid asutusi tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse teatavates sektorites toimuva töötlemise eriomadusi ning mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi. Eelkõige võiks selliste toimimisjuhenditega kindlaks määrata vastutavate töötlejate ja volitatud töötlejate kohustused, võttes arvesse isikuandmete töötlemisest tõenäoliselt tekkivat ohtu füüsiliste isikute õigustele ja vabadustele.

(99)

Toimimisjuhendi koostamisel või sellise juhendi muutmisel või laiendamisel peaksid vastutavate töötlejate või volitatud töötlejate kategooriaid esindavad ühendused ja muud asutused konsulteerima asjakohaste sidusrühmadega, sealhulgas võimaluse korral andmesubjektidega, ning võtma arvesse konsulteerimiste käigus saadud ettepanekuid ja väljendatud seisukohti.

(100)

Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, andmekaitsepitserite ja -märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti hinnata asjakohaste toodete ja teenuste andmekaitse taset.

(101)

Isikuandmete piiriülene liikumine liitu mitte kuuluvatesse riikidesse ja rahvusvahelistele organisatsioonidele ning nendest riikidest ja organisatsioonidest liitu on vajalik rahvusvahelise kaubanduse ja koostöö laiendamiseks. Selliste andmevoogude suurenemine on laiendanud isikuandmete kaitsega seonduvate väljakutsete ja probleemide ringi. Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taset, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis. Igal juhul tohib andmeid kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastada ainult käesolevat määrust täielikult järgides. Andmeid tohiks edastada ainult siis, kui vastutav töötleja ja volitatud töötleja täidavad käesolevas määruses sätestatud tingimusi isikuandmete edastamise kohta, arvestades muid käesoleva määruse sätteid.

(102)

Käesolev määrus ei piira liidu ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid. Liikmesriigid võivad sõlmida rahvusvahelisi lepinguid, mis hõlmavad isikuandmete edastamist kolmandatele riikidele või rahvusvahelistele organisatsioonidele, kui kõnealused lepingud ei mõjuta käesolevat määrust ega mis tahes muid liidu õiguse sätteid ning nendes nähakse ette andmesubjektide põhiõiguste piisaval tasemel kaitse.

(103)

Komisjon võib kogu liidu osas otsustada, et kolmas riik, territoorium või kindlaksmääratud sektor või rahvusvaheline organisatsioon pakuvad isikuandmete kaitset piisaval tasemel, tagades seega kogu liidus selle kolmanda riigi ja rahvusvahelise organisatsiooni osas õiguskindluse ja ühtsuse, mille puhul loetakse, et nad tagavad isikuandmete kaitse piisaval tasemel. Sellisel juhul võib isikuandmete edastamine kõnealusesse riiki või kõnealusele rahvusvahelisele organisatsioonile toimuda ilma, et oleks vaja saada täiendav luba. Komisjon võib samuti otsustada sellise otsuse tagasi võtta, teavitades sellest kolmandat riiki või rahvusvahelist organisatsiooni ja esitades talle täieliku põhjenduse.

(104)

Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või territooriumi või kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust. Võttes vastu kaitse piisavuse otsust seoses territooriumi või kindlaksmääratud sektoriga kolmandas riigis, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte. Kolmas riik peaks võtma kohustusi, millega tagatakse piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui isikuandmeid töödeldakse ühes või mitmes konkreetses sektoris. Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ja nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse.

(105)

Lisaks kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelistele kohustustele peaks komisjon võtma arvesse kohustusi, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, samuti selliste kohustuste rakendamist. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ja selle lisaprotokolliga. Kolmandate riikide või rahvusvaheliste organisatsioonide kaitse taseme hindamisel peaks komisjon konsulteerima andmekaitsenõukoguga.

(106)

Komisjon peaks teostama järelevalvet otsuste toimimise üle, milles käsitletakse kaitse taset kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis, ning direktiivi 95/46/EÜ artikli 25 lõike 6 või artikli 26 lõike 4 alusel vastu võetud otsuste toimimise üle. Komisjon peaks oma kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi. Nimetatud korrapärast läbivaatamist tuleks teostada asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning võtta tuleks arvesse kõiki asjaomaseid arenguid kolmandas riigis või rahvusvahelises organisatsioonis. Järelevalve ja korrapäraste läbivaatamiste teostamisel peaks komisjon võtma arvesse Euroopa Parlamendi ja nõukogu ning samuti teiste asjakohaste asutuste ja allikate arvamusi ja järeldusi. Komisjon peaks mõistliku aja jooksul hindama viimati nimetatud otsuste toimimist ja esitama kõigi asjakohaste järelduste kohta aruande Euroopa Parlamendi ja nõukogu määruse (EL) nr 182/2011 (12) kohasele komiteele, mis on asutatud käesoleva määruse alusel, samuti Euroopa Parlamendile ja nõukogule.

(107)

Komisjon võib tunnistada, et kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis ei tagata enam piisaval tasemel andmekaitset. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva määruse nõudeid, mis on seotud edastamisega asjaomaste kaitsemeetmete abil, sealhulgas siduvad kontsernisisesed eeskirjad ja erandid konkreetsetes olukordades. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid. Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada.

(108)

Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad kontsernisisesed eeskirjad, komisjoni vastu võetud standardsed andmekaitseklauslid, järelevalveasutuse vastu võetud standardsed andmekaitseklauslid või järelevalveasutuse heaks kiidetud lepingu tüüptingimused. Need kaitsemeetmed peaksid tagama liidu siseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis. Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Andmeid võivad edastada ka avaliku sektori asutused või organid koos kolmandate riikide avaliku sektori asutuste või organitega või rahvusvaheliste organisatsioonidega, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, nähes ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele. Pädeva järelevalveasutuse luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

(109)

Vastutavale töötlejale või volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid andmekaitseklausleid ei tohiks takistada vastutavat töötlejat või volitatud töötlejat lisamast standardsed andmekaitseklauslid laiemasse lepingusse, nagu näiteks kahe volitatud töötleja vahelisse lepingusse, ega lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ja -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid.

(110)

Kontsern või ühise majandustegevusega tegelevate ettevõtjate rühm peaks saama andmete rahvusvahelise edastamise korral liidust samasse ühise majandustegevusega tegelevasse kontserni või ettevõtjate rühma kuuluvatele organisatsioonidele kasutada heakskiidetud siduvaid kontsernisiseseid eeskirju, kui sellised eeskirjad hõlmavad kõiki olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada sobivad kaitsemeetmed isikuandmete edastamise eri liikide puhul.

(111)

Andmete edastamine peaks olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma selgesõnalise nõusoleku, kui edastamine on juhtumipõhine ja vajalik seoses lepingu või õigusliku nõudega, sõltumata sellest, kas tegemist on kohtumenetluse, haldusmenetluse või mõne kohtuvälise menetluse, sealhulgas reguleerivate asutuste vaheliste menetlustega. Andmete edastamine peaks olema võimalik ka juhul, kui see on vajalik seoses liidu või liikmesriigi õiguses sätestatud kaaluka avaliku huviga või kui edastatakse andmeid, mis pärinevaid seadusega loodud registrist, mis on mõeldud kasutamiseks avalikkusele või kõigile õigustatud huviga isikutele. Viimati nimetatud juhul ei tohiks edastada kõiki isikuandmeid ega registris sisalduvate andmete kõiki liike ja juhul, kui register on mõeldud kasutamiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad, võttes täielikult arvesse andmesubjekti huve ja põhiõigusi.

(112)

Nimetatud erandeid tuleks kohaldada eelkõige sellise andmeedastuse puhul, mis on nõutav ja vajalik avalikust huvist tulenevatel kaalukatel põhjustel, näiteks andmete rahvusvahelisel vahetamisel konkurentsiasutuste vahel, maksu- ja tolliasutuste vahel, finantsjärelevalveasutuste vahel, sotsiaalkindlustuse või rahvatervise eest vastutavate asutuste vahel, näiteks nakkushaiguste suhtes kontaktsete isikute väljaselgitamisel või spordis dopingu kasutamise vähendamiseks ja/või kaotamiseks. Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik selliste huvide kaitsmiseks, mis on olulised andmesubjekti või muu isiku eluliste huvide, sealhulgas füüsilise puutumatuse, või elu kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma. Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piiranguid konkreetset liiki isikuandmete edastamisele kolmandasse riiki või rahvusvahelisele organisatsioonile. Liikmesriigid peaksid teatama sellistest otsustest komisjonile. Nõusoleku andmiseks füüsiliselt või õiguslikult võimetu andmesubjekti isikuandmete mis tahes edastamist rahvusvahelisele humanitaarorganisatsioonile, eesmärgiga täita Genfi konventsioonide kohast ülesannet või austada relvastatud konfliktides kohaldatavat rahvusvahelist humanitaarõigust võiks lugeda vajalikuks avalikust huvist tuleneval kaalukal põhjusel või põhjusel, et see on andmesubjekti jaoks eluliselt tähtis.

(113)

Edastamine, mida saab pidada mittekorduvaks ning mis puudutab üksnes piiratud arvu andmesubjekte, võiks samuti toimuda vastutava töötleja mõjuvates õigustatud huvides, kui andmesubjekti huvid või õigused ja vabadused ei kaalu neid huve üles ja kui vastutav töötleja on hinnanud andmeedastuse kõiki asjaolusid. Vastutav töötleja peaks pöörama erilist tähelepanu isikuandmete laadile, kavandatud isikuandmete töötlemise toimingu või isikuandmete töötlemise toimingute eesmärgile ja kestusele ning samuti olukorrale andmete päritoluriigis, kolmandas riigis ja lõplikus sihtriigis ning tagama seoses isikuandmete töötlemisega sobivad kaitsemeetmed füüsiliste isikute põhiõiguste ja -vabaduste kaitsmiseks. Selline edastamine peaks olema võimalik ainult ülejäänud juhtudel, kui ükski muudest edastamispõhjustest ei ole kohaldatav. Teadus- või ajaloouuringute või statistilise eesmärgi osas tuleks võtta arvesse ühiskonna õiguspäraseid ootusi, et teadmisi laiendatakse. Vastutav töötleja peaks teatama edastamisest järelevalveasutusele ja andmesubjektile.

(114)

Igal juhul, kui komisjon ei ole teinud otsust kolmanda riigi andmekaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, millega antakse andmesubjektidele neid puudutava töötlemise korral liidus kohtulikult kaitstavad ja tõhusad õigused pärast selliste andmete edastamist, nii et neil on jätkuvalt samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid.

(115)

Mõned kolmandad riigid võtavad vastu seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide kohtualluvusse kuuluvate füüsiliste ja juriidiliste isikute töötlustoiminguid. Need võivad hõlmata kolmanda riigi kohtu või haldusasutuse otsuseid, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist ning mis ei põhine rahvusvahelisel lepingul, näiteks kolmanda riigi ja liidu või liikmesriigi vahel kehtiva vastastikuse õigusabi lepingul. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taseme saavutamist. Andmete edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas liidu või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse.

(116)

Isikuandmete liikumine üle piiride liidust välja võib raskendada füüsiliste isikute võimalusi kasutada õigust andmete kaitsele, eelkõige kaitsta end sellise teabe ebaseadusliku kasutamise ja avaldamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega teostada uurimist väljapoole oma riigi piire jäävates küsimustes. Nende piiriülese koostöö püüdlusi võivad takistada ka tõkestamiseks ja kaitsemeetmete kehtestamiseks ebapiisavad volitused, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid. Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet ja teostada uurimist teiste riikide järelevalveasutustega. Rahvusvaheliste koostöömehhanismide väljatöötamiseks, et hõlbustada ja pakkuda rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, peaksid komisjon ja järelevalveasutused vahetama teavet ja tegema oma volituste täitmisega seotud tegevuses koostööd kolmandate riikide pädevate asutustega vastastikkuse alusel ja kooskõlas käesoleva määrusega.

(117)

Liikmesriikides selliste järelevalveasutuste loomine, kes on volitatud täiesti sõltumatult oma ülesandeid täitma ja volitusi kasutama, on oluline tegur füüsiliste isikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriikidel peaks olema võimalik looma rohkem kui ühe järelevalveasutuse oma põhiseaduse, organisatsioonilise ja haldusstruktuuri kohaselt.

(118)

Järelevalveasutuste sõltumatus ei tohiks tähendada seda, et järelevalveasutustele ei saa kohaldada kontrolli- või järelevalvemehhanismi seoses nende rahaliste kulutustega või kohtulikku kontrolli.

(119)

Kui liikmesriik loob mitu järelevalveasutust, peaks ta seadusega kehtestama mehhanismid, millega tagatakse nende järelevalveasutuste tõhus osalemine järjepidevuse mehhanismis. Eelkõige peaks kõnealune liikmesriik määrama järelevalveasutuse, kes tegutseb keskse kontaktpunktina nende asutuste tõhusaks osalemiseks mehhanismis, et tagada kiire ja takistusteta koostöö teiste järelevalveasutustega, andmekaitsenõukogu ja komisjoniga.

(120)

Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja infrastruktuur, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla regiooni või riigi üldeelarve osa.

(121)

Järelevalveasutuse liikmele või liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis õigusaktiga ning neis tuleks eelkõige ette näha see, et liikmed peaks valitsuse või valitsuse liikme või parlamendi või parlamendi koja ettepaneku alusel nimetama läbipaistva menetluse teel ametisse asjaomase liikmesriigi parlament, valitsus, liikmesriigi riigipea, parlamendikoda või liikmesriigi õiguse kohaselt volitatud sõltumatu asutus. Järelevalveasutuse sõltumatuse tagamiseks peaks liige või liikmed käituma ausalt, hoiduma oma kohustustega kokku sobimatust tegevusest ja ei peaks töötama oma ametiaja jooksul ühelgi sobimatul tasustataval või mittetasustataval ametikohal. Järelevalveasutusel peaks olema oma töötajad, kelle valib järelevalveasutus või liikmesriigi õiguse kohaselt asutatud sõltumatu asutus ning kes peaksid alluma ainult järelevalveasutuse liikme või liikmete juhtimisele.

(122)

Järelevalveasutus peaks olema oma liikmesriigi territooriumil pädev täitma talle käesoleva määrusega antud volitusi ja ülesandeid. Eelkõige peaks see hõlmama töötlemist, mis leiab aset vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tema liikmesriigi territooriumil, isikuandmete töötlemist, mida teostavad avaliku sektori või eraõiguslikud asutused avalikes huvides, töötlemist, mis mõjutab andmesubjekte tema liikmesriigi territooriumil, või töötlemist, mida teostab vastutav töötleja või volitatud töötleja, kelle tegevuskoht ei asu liidus, kuid sihtandmesubjektide elukoht on tema territooriumil. See peaks hõlmama andmesubjektide esitatud kaebuste menetlemist, käesoleva määruse kohaldamist käsitlevate uurimiste läbiviimist ning avalikkuse teadlikkuse tõstmist isikuandmete töötlemisega seotud ohtudest, eeskirjadest, tagatistest ja õigustest.

(123)

Järelevalveasutused peaksid jälgima käesoleva määruse sätete kohaldamist ja aitama kaasa selle ühtsele kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga, ilma et liikmesriikide vahel oleks vaja sõlmida vastastikuse abi andmise või koostöö tegemise lepingut.

(124)

Kui isikuandmeid töödeldakse toimub vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames liidus ning vastutaval töötlejal või volitatud töötlejal on tegevuskoht enamas kui ühes liikmesriigis või kui liidus asuva vastutava töötleja või volitatud töötleja ainsa tegevuskoha tegevuse raames toimuv töötlemine mõjutab oluliselt või võib oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis, peaks juhtiva asutuse rolli täitma vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus või vastutava töötleja või volitatud töötleja ainsa tegevuskoha järelevalveasutus. See asutus peaks tegema koostööd muude asjaomaste asutustega, kuna vastutava töötleja või volitatud töötleja tegevuskoht asub nende liikmesriigi territooriumil, kuna see mõjutab oluliselt nende territooriumil elavaid andmesubjekte või kuna neile on esitatud kaebus. Juhul kui kõnealuses liikmesriigis mitte elav andmesubjekt on esitanud kaebuse, peaks järelevalveasutus, kellele selline kaebus esitati, olema samuti asjaomane järelevalveasutus. Seoses oma ülesannetega anda suuniseid kõikides käesoleva määruse kohaldamist puudutavates küsimustes, peaks andmekaitsenõukogul olema võimalik välja anda suuniseid eelkõige kriteeriumide kohta, mida tuleb arvesse võtta, et teha kindlaks, kas kõnealusel töötlemisel on andmesubjektidele oluline mõju rohkem kui ühes liikmesriigis, ning mida saab pidada asjakohaseks ja põhjendatud vastuväiteks.

(125)

Juhtiv asutus peaks olema pädev võtma vastu siduvaid otsuseid meetmete kohta, millega kohaldatakse talle käesoleva määrusega antud volitusi. Juhtiva asutuse ülesannete täitmisel peaks järelevalveasutus kaasama asjaomased järelevalveasutused tihedalt otsustamisprotsessi ja koordineerima nende tegevust selles. Kui tuleb võtta vastu otsus andmesubjekti kaebus täielikult või osaliselt tagasi lükata, peaks selle otsuse vastu võtma järelevalveasutus, kellele see kaebus esitati.

(126)

Otsuses peaksid ühiselt kokku leppima juhtiv järelevalveasutus ja asjaomased järelevalveasutused ning see peaks olema suunatud vastutava töötleja ja volitatud töötleja peamisele või ainsale tegevuskohale ning olema vastutava töötleja ja volitatud töötleja jaoks siduv. Vastutav töötleja või volitatud töötleja peaksid võtma vajalikud meetmed, et tagada käesoleva määruse järgimine ning juhtiva järelevalveasutuse poolt vastutava töötleja ja volitatud töötleja peamisele tegevuskohale teatavaks tehtud liidu töötlemistegevust käsitleva otsuse rakendamine.

(127)

Järelevalveasutus, kes ei tegutse juhtiva järelevalveasutusena, peaks olema pädev käsitlema kohalikke juhtumeid, kui vastutava töötleja või volitatud töötleja tegevuskoht asub rohkem kui ühes liikmesriigis, kuid konkreetne töötlemine puudutab ainult ühes liikmesriigis toimuvat töötlemist ja hõlmab ainult selles ühes liikmesriigis asuvaid andmesubjekte, näiteks kui tegemist on töötajate isikuandmete töötlemisega asjaomase liikmesriigi konkreetses töösuhete kontekstis. Sellistel juhtudel peaks järelevalveasutus teavitama juhtivat järelevalveasutust viivitamata sellest küsimusest. Pärast teavituse saamist peaks juhtiv järelevalveasutus otsustama, kas ta tegeleb juhtumiga vastavalt juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vahelist koostööd käsitlevatele sätetele („ühtse kontaktpunkti mehhanism“) või peaks juhtumiga tegelema teda teavitanud järelevalveasutus kohalikul tasandil. Selle üle otsustamisel, kas ta tegeleb juhtumiga, peaks juhtiv järelevalveasutus arvesse võtma seda, kas teda teavitanud järelevalveasutuse liikmesriigis on vastutava töötleja või volitatud töötleja tegevuskoht, et tagada vastutava töötleja või volitatud töötleja suhtes tehtud otsuse tõhus täitmine. Kui juhtiv järelevalveasutus otsustab juhtumiga tegeleda, peaks teda teavitanud järelevalveasutusel olema võimalik esitada otsuse eelnõu, mida juhtiv järelevalveasutus peaks oma ühtse kontaktpunkti mehhanismi raames tehtava otsuse ettevalmistamisel täiel määral arvesse võtma.

(128)

Juhtivat järelevalveasutust ja ühtset kontaktpunkti mehhanismi käsitlevaid eeskirju ei peaks kohaldama juhul, kui töötlejateks on avaliku sektori või eraõiguslikud asutused avalikes huvides. Sellistel juhtudel peaks ainsaks järelevalveasutuseks, kes on pädev kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud, olema selle liikmesriigi järelevalveasutus, kus kõnealune avaliku sektori asutus või eraõiguslik asutus asub.

(129)

Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja tõhusad volitused, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning ilma et see piiraks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ja volitused osaleda kohtumenetlustes. Need volitused peaksid hõlmama ka õigust kehtestada ajutine või alaline töötlemispiirang, sealhulgas töötlemiskeeld. Liikmesriigid võivad kindlaks määrata muud käesoleva määruse kohased isikuandmete kaitsega seotud ülesanded. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriikide õiguses sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid; austama isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi menetlusõiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Järelevalveasutuse õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitanud järelevalveasutus ja meetme esitamise kuupäev ning järelevalveasutuse juhi või tema poolt volitatud liikme allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile. See ei tohiks välistada liikmesriigi menetlusnormidest tulenevaid täiendavaid nõudeid. Selliste õiguslikult siduvate otsuste vastuvõtmine viitab võimalusele, et see võib otsuse vastu võtnud järelevalveasutuse liikmesriigis tuua kaasa kohtuliku kontrolli.

(130)

Kui järelevalveasutus, kellele kaebus esitati, ei ole juhtiv järelevalveasutus, peaks juhtiv järelevalveasutus tegema tihedat koostööd kaebuse saanud järelevalveasutusega kooskõlas käesoleva määruse koostööd ja järjepidevust käsitlevate sätetega. Sellistel juhtudel peaks juhtiv järelevalveasutus tegema õiguslike tagajärgede tekitamise eesmärgiga meetmeid võttes (sealhulgas trahve määrates) kõik, et võtta arvesse selle järelevalveasutuse seisukohta, kellele kaebus esitati ja kellele peaks jääma pädevus viia koostöös juhtiva järelevalveasutusega läbi uurimist oma liikmesriigi territooriumil.

(131)

Kui vastutava töötleja või volitatud töötleja töötlemistegevuse suhtes peaks juhtiva järelevalveasutusena tegutsema mõni muu järelevalveasutus, kuid kaebuse või võimaliku rikkumise sisu puudutab vastutava töötleja või volitatud töötleja töötlemistegevust ainult selles liikmesriigis, kus kaebus esitati või võimalik rikkumine tuvastati, ja see ei mõjuta oluliselt või tõenäoliselt ei mõjuta oluliselt andmesubjekte teistes liikmesriikides, siis peaks järelevalveasutus, kellele kaebus esitati või kes tuvastas olukorra või sai muul viisil teada olukorrast, mis võib tuua kaasa käesoleva määruse rikkumise, püüdma saavutada volitatud töötlejaga kokkuleppe ning kui see ei õnnestu, kasutama kõiki oma volitusi. See peaks hõlmama konkreetset töötlemist, mis toimub järelevalveasutuse liikmesriigi territooriumil või seoses selle liikmesriigi territooriumil asuvate andmesubjektidega; töötlemist, mis toimub seoses järelevalveasutuse liikmesriigi territooriumil asuvatele andmesubjektidele spetsiaalselt suunatud kaupade või teenuste pakkumisega; või töötlemist, mida peab hindama liikmesriigi õiguse kohaseid juriidilisi kohustusi arvestades.

(132)

Järelevalveasutuste avalikkusele suunatud teadlikkuse tõstmise meetmed peaksid hõlmama vastutavatele töötlejatele ja volitatud töötlejatele, sealhulgas mikro-, väikestele ja keskmise suurusega ettevõtjatele ning samuti füüsilistele isikutele suunatud konkreetseid meetmeid, eelkõige hariduse kontekstis.

(133)

Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva määruse järjekindel kohaldamine ja täitmine siseturul. Vastastikust abi taotlev järelevalveasutus võib võtta vastu ajutise meetme, kui ta ei ole saanud vastastikuse abi taotlusele vastust kuu aja jooksul pärast seda kui teine järelevalveautus on taotluse kätte saanud.

(134)

Järelevalveasutus peaks vajaduse korral osalema koos teiste järelevalveasutustega ühisoperatsioonides. Taotluse saanud järelevalveasutus peaks olema kohustatud taotlusele vastama konkreetse ajavahemiku jooksul.

(135)

Selleks et tagada käesoleva määruse ühtne kohaldamine kogu liidus, tuleks kehtestada järelevalveasutuste vaheliseks koostööks järjepidevuse mehhanism. Nimetatud mehhanismi tuleks eelkõige kohaldada juhul, kui järelevalveasutus kavatseb vastu võtta meetme, mille eesmärk on tekitada õiguslikke tagajärgi seoses isikuandmete töötlemise toimingutega, mis mõjutavad oluliselt märkimisväärset arvu andmesubjekte mitmes liikmesriigis. Mehhanismi tuleks kohaldada ka siis, kui mis tahes asjaomane järelevalveasutus või komisjon taotleb sellise küsimuse käsitlemist järjepidevuse mehhanismi raames. Nimetatud mehhanism ei tohiks piirata ühtegi meedet, mis komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel.

(136)

Järjepidevuse mehhanismi kohaldamise korral peaks andmekaitsenõukogu esitama kindlaksmääratud ajavahemiku jooksul oma arvamuse, kui nii otsustatakse liikmete häälteenamusega või kui seda taotleb mis tahes asjaomane järelevalveasutus või komisjon. Andmekaitsenõukogul peaks olema samuti volitused võtta vastu õiguslikult siduvaid otsuseid järelevalveasutuste vaheliste vaidluste puhul. Sel eesmärgil peaks ta põhimõtteliselt välja andma õiguslikult siduvaid otsuseid, millel on kahe kolmandiku tema liikmete toetus, selgelt kindlaks määratud juhtudel, kui järelevalveasutustel esineb lahkarvamusi, eelkõige juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelise koostöökorra raames seoses juhtumi sisuga, nimelt küsimuses, kas käesolevat määrust on rikutud.

(137)

Selleks et kaitsta andmesubjektide õigusi ja vabadusi, võib olla vaja tegutseda kiiresti, eriti siis, kui on olemas oht, et andmesubjekti õiguse kasutamise võimalus võib olla oluliselt takistatud. Järelevalveasutusel peaks seega olema võimalik võtta oma liikmesriigi territooriumil vastu asjakohaselt põhjendatud ajutisi meetmeid kindlaksmääratud kehtivusajaga, mis ei tohiks olla pikem kui kolm kuud.

(138)

Sellise mehhanismi kohaldamine peaks olema järelevalveasutuse sellise meetme seaduslikkuse tingimuseks, mille eesmärk on tekitada õiguslikke tagajärgi, kui selle rakendamine on kohustuslik. Muudel piiriülese tähtsusega juhtudel tuleks kohaldada juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelist koostöökorda ning asjaomaste järelevalveasutuste vahel võiks pakkuda vastastikust abi ja teostada ühisoperatsioone kahe- või mitmepoolsel alusel, ilma järjepidevuse mehhanismi kasutamata.

(139)

Käesoleva määruse ühtse kohaldamise huvides tuleks luua andmekaitsenõukogu sõltumatu liidu ametina. Oma eesmärkide täitmiseks peaks andmekaitsenõukogul olema juriidilise isiku staatus. Andmekaitsenõukogu peaks esindama selle eesistuja. Andmekaitsenõukogu peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma füüsiliste isikute kaitseks seoses isikuandmete töötlemisega. Sinna peaksid kuuluma liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor või nende vastavad esindajad. Komisjon peaks osalema andmekaitsenõukogu tegevuses ilma hääleõiguseta ja Euroopa andmekaitseinspektoril peaks olema kindlaksmääratud hääleõigus. Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamisele kogu liidus, sealhulgas nõustades komisjoni, eelkõige seoses kolmandate riikide või rahvusvaheliste organisatsioonide isikuandmete kaitse tasemega, ning edendades järelevalveasutuste koostööd kogu liidus. Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult.

(140)

Andmekaitsenõukogu peaks abistama sekretariaat, kelle töö tagab Euroopa Andmekaitseinspektor. Andmekaitseinspektori töötajad, kes on seotud andmekaitsenõukogule käesoleva määrusega antud ülesannete täitmisega, peaksid oma ülesannete täitmisel järgima ainult andmekaitsenõukogu eesistuja juhiseid ja talle alluma.

(141)

Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile. Järelevalveasutus peaks võtma meetmed kaebuste esitamise lihtsustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, ilma muude sidevahendite kasutamist välistamata.

(142)

Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel järelevalveasutusele kaebust või kasutama andmesubjektide nimel õigust õiguskaitsevahendile või kasutama andmesubjektide nimel õigust saada hüvitist, kui hüvitis on asjaomase liikmesriigi õiguses ette nähtud. Liikmesriigid võivad sätestada, et sellisel asutusel, organisatsioonil või ühingul oleks õigus esitada andmesubjekti poolsest volitamisest sõltumata sellises liikmesriigis kaebus ja tal peaks olema õigus tõhusale õiguskaitsevahendile, kui tal on põhjust arvata, et andmesubjekti õigusi on rikutud isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Sellisele asutusele, organisatsioonile või ühingule ei või anda õigust nõuda andmesubjekti nimel hüvitist, kui andmesubjekt ei ole selleks volitust andnud.

(143)

Igal füüsilisel või juriidilisel isikul on õigus esitada Euroopa Kohtule andmekaitsenõukogu otsuste tühistamiseks hagi ELi toimimise lepingu artiklis 263 sätestatud tingimustel. Kui selliste otsuste adressaadiks olevad asjaomased järelevalveasutused soovivad esitada hagi otsuste tühistamiseks, peavad nad tegema seda kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates sellest, kui otsused neile teatavaks tehti. Kui andmekaitsenõukogu otsused puudutavad otseselt ja isiklikult vastutavat töötlejat, volitatud töötlejat või kaebuse esitajat, võivad nad esitada hagi selliste otsuste tühistamiseks kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates asjaomaste otsuste avaldamisest andmekaitsenõukogu veebisaidil. Ilma et see piiraks seda ELi toimimise lepingu artiklist 263 tulenevat õigust, peaks igal füüsilisel või juriidilisel isikul olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on selle isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Õigus tõhusale õiguskaitsevahendile ei hõlma siiski järelevalveasutuste õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi menetlusõigusega. Nendel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

Kui järelevalveasutus jätab kaebuse rahuldamata või lükkab selle tagasi, võib kaebuse esitaja esitada hagi samas liikmesriigis asuvatele kohtutele. Käesoleva määruse kohaldamisega seotud õiguskaitsevahendite osas võivad liikmesriigi kohtud taotleda, või ELi toimimise lepingu artiklis 267 ette nähtud juhtumil, peavad liikmesriigi kohtud taotlema Euroopa Kohtult eelotsust liidu õiguse, sealhulgas käesoleva määruse tõlgendamise küsimuses, kui nad on seisukohal, et kohtuotsuse tegemiseks on vaja sellekohast otsust. Kui järelevalveasutuse otsus, millega rakendatakse andmekaitsenõukogu otsust, vaidlustatakse riiklikus kohtus ja küsimuseks on andmekaitsenõukogu otsuse kehtivus, ei ole kõnealusel riiklikul kohtul õigust kuulutada andmekaitsenõukogu otsust õigustühiseks, vaid ta peab esitama kehtivuse küsimuse Euroopa Kohtule kooskõlas ELi toimimise lepingu artikliga 267, nii nagu seda on tõlgendanud Euroopa Kohus, juhul kui ta peab otsust õigustühiseks. Riiklik kohus ei saa siiski esitada andmekaitsenõukogu otsuse kehtivust puudutavat küsimust füüsilise või juriidilise isiku taotlusel, kellel oli võimalus esitada hagi kõnealuse otsuse tühistamiseks, eelkõige juhul, kui see otsus teda otseselt ja isiklikult puudutas, kuid ELi toimimise lepingu artiklis 263 sätestatud ajavahemiku jooksul ta seda ei teinud.

(144)

Kui kohtul, kus algatati menetlus järelevalveasutuse otsuse vastu, on põhjust arvata, et teise liikmesriigi pädevas kohtus on algatatud menetlus seoses sama töötlemisega, näiteks sama vastutava töötleja või volitatud töötleja töötlemistegevusega seotud samas asjas või kasutades sama hagi alust, peaks ta võtma ühendust selle kohtuga, et kinnitada sellise seotud menetluse olemasolu. Kui need seotud menetlused on käimas teise liikmesriigi kohtus, võib mis tahes kohus, välja arvatud kohus, kuhu pöörduti esimesena, peatada oma menetluse, või võib ühe osapoole taotlusel loobuda pädevusest esimesena hagi saanud kohtu kasuks, kui nimetatud kohtul on kõnealuse menetluse suhtes pädevus ja tema asukohariigi õigus võimaldab selliste seotud menetluste liitmist. Menetlused loetakse omavahel seotuks, kui nad on sedavõrd tihedalt seotud, et eri menetlustest tulenevate vastuoluliste otsuste ohu vältimiseks oleks soovitav neid menetleda ning otsuseid teha üheskoos.

(145)

Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalik esitada hagi kohtule liikmesriigis, kus on vastutava töötleja või volitatud töötleja tegevuskoht, või andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on liikmesriigi avaliku sektori asutus, kes teostab oma avalikku võimu.

(146)

Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas. Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid. Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud. Kui vastutavad töötlejad või volitatud töötlejad on seotud sama töötlemisega, tuleks vastutav töötleja või volitatud töötleja võtta vastutusele kogu kahju eest. Ent kui nad on kooskõlas liikmesriigi õigusega ühendatud sama kohtumenetlusega, võib hüvitamise jagada vastavalt vastutava töötleja või volitatud töötleja vastutusele töötlemisel tekitatud kahju eest, tingimusel et tagatud on andmesubjekti kantud kahju täielik ja tõhus hüvitamine. Vastutav töötleja või volitatud töötleja, kes on maksnud täieliku hüvitise, võib hiljem algatada regressihagi teiste sama töötlemisega seotud vastutavate töötlejate või volitatud töötlejate vastu.

(147)

Kui käesolevas määruses sisalduvad konkreetsed kohtualluvuse eeskirjad, eelkõige seoses menetlustega, kus vastutava töötleja või volitatud töötleja suhtes kasutatakse hüvitisega õiguskaitsevahendit, ei peaks üldise kohtualluvuse eeskirjad, nagu Euroopa Parlamendi ja nõukogu määruses (EL) nr 1215/2012 (13) sisalduvad eeskirjad, mõjutama selliste konkreetsete eeskirjade kohaldamist.

(148)

Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve lisaks käesoleva määruse kohaselt järelevalveasutuse poolt kehtestatud asjakohastele meetmetele või nende asemel. Väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, võib trahvi asemel teha noomituse. Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele. Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetlust.

(149)

Liikmesriikidel peaks olema võimalik kehtestada käesoleva määruse, sealhulgas käesoleva määruse kohaselt ja piires vastu võetud liikmesriigi õigusnormide, rikkumise eest kohaldatavaid kriminaalkaristusi käsitlevaid eeskirju. Need kriminaalkaristused võivad hõlmata käesoleva määruse rikkumisega saadud kasu äravõtmist. Kriminaalkaristuste määramine selliste liikmesriigi normide rikkumise eest ja väärteokaristuste määramine ei tohiks aga rikkuda ne bis in idem põhimõtet, nagu seda on tõlgendanud kohus.

(150)

Selleks et tugevdada ja ühtlustada väärteokaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused määrata trahve. Käesolevas määruses tuleks loetleda rikkumised, sätestada asjaomaste trahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev järelevalveasutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. Kui trahv on määratud ettevõtjale, tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 toodud määratlusest. Kui trahvid määratakse isikule, kes ei ole ettevõtja, peaks järelevalveasutus sobiva trahvisumma määramisel arvesse võtma üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku olukorda. Trahvide ühesuguse kohaldamise parandamiseks võib kasutada ka järjepidevuse mehhanismi. See, kas ja kui palju tuleks avaliku sektori asutustele määrata trahve, peaks olema liikmesriikide otsustada. Trahvi määramine või hoiatuse tegemine ei mõjuta järelevalveasutuse muude volituste rakendamist ega muude määruse kohaste karistuste määramist.

(151)

Taani ja Eesti õigussüsteem ei võimalda määrata trahve käesolevas määruses sätestatu kohaselt. Trahve käsitlevaid eeskirju saab kohaldada selliselt, et Taanis määrab trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames, tingimusel et eeskirjade sellisel kohaldamisel nimetatud liikmesriikides on samaväärne toime nagu järelevalveasutuste määratud trahvidel. Sellepärast peaksid pädevad riiklikud kohtud võtma arvesse trahvi algatava järelevalveasutuse soovitust. Igal juhul peaksid määratavad trahvid olema tõhusad, proportsionaalsed ja heidutavad.

(152)

Kui käesolevas määruses ei ühtlustata väärteokaristusi või vajaduse korral muudel juhtudel, näiteks määruse tõsise rikkumise puhul, peaksid liikmesriigid rakendama süsteemi, mis näeb ette tõhusad, proportsionaalsed ja heidutavad karistused. Selliste karistuste laad, kriminaal- või väärteokaristus, tuleks kindlaks määrata liikmesriigi õigusega.

(153)

Liikmesriikide õiguses tuleks omavahel viia vastavusse eeskirjad, mis reguleerivad sõna- ja teabevabadust, sealhulgas ajakirjanduslikku, akadeemilist, kunstilist või kirjanduslikku eneseväljendust, ja käesoleva määruse kohane õigus isikuandmete kaitsele. Juhul kui isikuandmeid töödeldakse üksnes ajakirjanduslikul eesmärgil või akadeemilise, kunstilise või kirjandusliku eneseväljenduse eesmärgil, tuleks vajaduse korral kohaldada erandeid või vabastusi käesoleva määruse teatavatest sätetest, et viia omavahel vastavusse isikuandmete kaitse õigus ning sõna- ja teabevabadus, mis on sätestatud harta artikliga 11. Seda tuleks kohaldada eelkõige audiovisuaalvaldkonnas isikuandmete töötlemise suhtes ning uudiste arhiivide ja perioodikaraamatukogude puhul. Seepärast peaksid liikmesriigid vastu võtma seadusandlikud meetmed, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamiseks. Liikmesriigid peaksid sellised vabastused ja erandid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste, koostöö ja ühtsuse ning andmete töötlemise eriolukordade kohta. Kui sellised vabastused või erandid on liikmesriigiti erinevad, tuleks kohaldada selle liikmesriigi õigust, mida kohaldatakse vastutava töötleja suhtes. Selleks et võtta arvesse sõnavabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone, näiteks ajakirjandust, laialt.

(154)

Käesoleva määruse kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet. Üldsuse juurdepääsu ametlikele dokumentidele võib käsitleda avaliku huvina. Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid peaks sel asutusel olema võimalik avalikustada siis, kui avalikustamine on ette nähtud liidu õiguses või selle liikmesriigi õiguses, kellele kõnealune avaliku sektori asutus või organ allub. Selliste õigusaktidega tuleks üldsuse juurdepääs ametlikele dokumentidele ja avaliku sektori valduses oleva teabe taaskasutamine viia vastavusse õigusega isikuandmete kaitsele ning nendega võib seega näha ette vajaliku vastavusseviimise õigusega isikuandmete kaitsele vastavalt käesolevale määrusele. Viide avaliku sektori asutustele ja organitele peaks selles kontekstis hõlmama kõiki asutusi või muid organeid, mida reguleeritakse dokumentidele üldsuse juurdepääsu käsitleva liikmesriigi õigusega. Euroopa Parlamendi ja nõukogu direktiiv 2003/98/EÜ (14) ei kahjusta ega mõjuta füüsiliste isikute kaitse taset isikuandmete töötlemisel, nagu see on ette nähtud liidu ja liikmesriigi õigusega, ning eelkõige ei muuda see käesolevas määruses sätestatud kohustusi ja õigusi. Eelkõige ei tohiks kõnealust direktiivi kohaldada selliste dokumentide suhtes, millele juurdepääs on välistatud või piiratud juurdepääsukorraga isikuandmete kaitse tõttu, ning dokumentide osade suhtes, mis on selle korra alusel juurdepääsetavad ning sisaldavad isikuandmeid, mille taaskasutamine on seaduses sätestatud sellise õigusakti rikkumisena, millega reguleeritakse füüsiliste isikute kaitset isikuandmete töötlemisel.

(155)

Liikmesriigi õiguses või kollektiivlepingutes (sealhulgas ettevõttesisesed lepingud) võib ette näha erieeskirjad, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige tingimused, mille kohaselt võib töösuhete kontekstis isikuandmeid töödelda töötaja nõusolekul, seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega.

(156)

Avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes tuleks kohaldada kooskõlas käesoleva määrusega asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks. Nende kaitsemeetmetega tuleks tagada tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil peab toimuma siis, kui vastutav töötleja on hinnanud nende eesmärkide täitmise teostatavust, töödeldes isikuandmeid, mis ei võimalda või enam ei võimalda andmesubjekte tuvastada, tingimusel et olemas on asjakohased kaitsemeetmed (näiteks isikuandmete pseudonümiseerimine). Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmete töötlemisele, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil. Liikmesriikidel peaks olema õigus määrata konkreetsetel tingimustel ja andmesubjektidele mõeldud asjakohaste kaitsemeetmete olemasolul spetsifikatsioonid ja erandid seoses teabenõuetega, õigusega andmeid parandada ja kustutada, õigusega olla unustatud, andmete töötlemise piiranguga ja andmete ülekandmise õigusega ning õigusega esitada vastuväiteid isikuandmete töötlemisel, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil. Kõnealused tingimused ja kaitsemeetmed võivad sisaldada andmesubjektidele mõeldud konkreetseid menetlusi nende õiguste kasutamiseks, kui see on asjakohane konkreetse töötlemise eesmärkide alusel, ning tehnilisi ja korralduslikke meetmeid, mille eesmärk on vähendada miinimumini isikuandmete töötlemist kooskõlas proportsionaalsuse ja vajalikkuse põhimõttega. Isikuandmete töötlemine teadusuuringute eesmärgil peaks samuti olema kooskõlas muude asjakohaste õigusaktidega, näiteks kliinilisi uuringuid käsitlevate õigusaktidega.

(157)

Registritest saadava teabe sidumise teel võivad teadlased saada uusi väärtuslikke teadmisi näiteks selliste laialtlevinud terviseseisundite kohta nagu südame-veresoonkonna haigused, vähk ja depressioon jne. Registrite alusel saab uuringutulemusi parendada, kuna need saadakse suuremast valimist. Sotsiaalteaduste valdkonnas võimaldavad registritel põhinevad teadusuuringud teadlastel saada olulisi teadmisi paljude sotsiaalsete tingimuste nagu näiteks töötus, ja haridus pikaajalisest vastavusest muude elutingimustega. Registrite alusel saadud uuringutulemused annavad usaldusväärseid ja kvaliteetseid teadmisi, mis võivad olla aluseks teadmistepõhise poliitika sõnastamisele ja rakendamisele, parandada paljude inimeste elukvaliteeti ja suurendada sotsiaalteenuste tõhusust. Teadusuuringute hõlbustamiseks võib isikuandmeid töödelda teadusuuringute eesmärgil, mille suhtes kohaldatakse asjakohaseid tingimusi ja kaitsemeetmeid, mis on sätestatud liidu või liikmesriigi õiguses.

(158)

Kui isikuandmeid töödeldakse arhiveerimise eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes, pidades silmas, et käesolevat määrust ei tuleks kohaldada surnuid puudutavate isikuandmete suhtes. Avaliku sektori asutustel või avalik-õiguslikel või eraõiguslikel organitel, kellel on avalikku huvi pakkuvad andmed, peaksid olema teenistused, kellel on kooskõlas liidu või liikmesriigi õigusega juriidiline kohustus omandada, säilitada, hinnata, korraldada, kirjeldada, edendada ja levitada üldist avalikku huvi pakkuvaid püsiva väärtusega andmeid ning anda nende kohta teavet ja tagada neile juurdepääs. Liikmesriikidel peaks samuti olema lubatud ette näha isikuandmete täiendavat täiendavat töötlemist arhiveerimise eesmärgil näiteks selleks, et anda konkreetset teavet seoses endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevuse, genotsiidi, inimsusevastaste kuritegude, eelkõige holokausti, või sõjakuritegudega.

(159)

Kui isikuandmeid töödeldakse teadusuuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes. Käesoleva määruse tähenduses tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada laialt nii, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid. Lisaks tuleks seejuures arvesse võtta ELi toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum. Teadusuuringute eesmärk peaks hõlmama ka rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringuid. Teadusuuringute eesmärgil isikuandmete töötlemise eripära arvessevõtmiseks tuleks kohaldada eritingimusi eelkõige seoses isikuandmete avaldamise või muul viisil avalikustamisega teadusuuringute eesmärgi kontekstis. Kui teadusuuringute tulemus eelkõige tervishoiu kontekstis loob aluse täiendavateks meetmeteks andmesubjekti huvides, tuleks nende meetmete suhtes kohaldada käesoleva määruse üldiseid eeskirju.

(160)

Kui isikuandmeid töödeldakse ajaloouuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes. See peaks hõlmama ka ajaloouuringuid ja genealoogilisi uuringuid, pidades silmas, et käesolevat määrust ei tuleks kohaldada surnute suhtes.

(161)

Kliinilisi uuringuid hõlmavates teadusuuringutes osalemiseks nõusoleku küsimiseks tuleks kohaldada Euroopa Parlamendi ja nõukogu määruse (EL) nr 536/2014 (15) asjakohaseid sätteid.

(162)

Kui isikuandmeid töödeldakse statistilisel eesmärgil, tuleks käesolevat määrust kohaldada sellise töötlemise suhtes. Liidu või liikmesriigi õiguses tuleks käesoleva määruse piires määrata kindlaks statistiline sisu, juurdepääsukontroll, statistilisel eesmärgil andmete töötlemise spetsifikatsioonid ja asjakohased meetmed, et kaitsta andmesubjekti õigusi ja vabadusi ning tagada statistika konfidentsiaalsus. Statistiline eesmärk tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud statistikauuringute või statistika koostamise jaoks. Koostatud statistikat võib edasi kasutada muudel eesmärkidel, sealhulgas teadusuuringute eesmärgil. Statistiline eesmärk eeldab, et statistilisel eesmärgil toimuva töötlemise tulemus ei ole isikuandmed, vaid koondandmed, ning et seda tulemust või isikuandmeid ei kasutata ühtegi konkreetset füüsilist isikut puudutavate meetmete või otsuste toetamiseks.

(163)

Konfidentsiaalne teave, mida liidu ja riiklikud statistikaasutused koguvad Euroopa ja riikliku ametliku statistika koostamiseks, peaks olema kaitstud. Euroopa statistikat tuleks arendada, koostada ja levitada kooskõlas statistikaalaste põhimõtetega, mis on sätestatud ELi toimimise lepingu artikli 338 lõikes 2, samas kui riiklik statistika peaks olema kooskõlas ka liikmesriigi õigusega. Euroopa statistika statistiliste andmete konfidentsiaalsust on täiendavalt täpsustatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 223/2009 (16).

(164)

Seoses järelevalveasutuste volitustega saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs isikuandmetele ning ruumidele, võivad liikmesriigid õigusaktiga ja käesoleva määruse piires vastu võtta konkreetseid eeskirju, et kaitsta ameti- või muu samaväärse saladuse hoidmise kohustusi niivõrd, kuivõrd see on vajalik isikuandmete kaitse õiguse ühildamiseks ametisaladuse hoidmise kohustusega. See ei piira liikmesriikide olemasolevaid kohustusi võtta vastu eeskirju ametisaladuse hoidmise kohta, kui see on nõutav liidu õigusega.

(165)

Käesoleva määrusega austatakse ega piirata staatust, mis kehtivate riigiõiguslike normide kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud ELi toimimise lepingu artiklis 17.

(166)

Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ja tagada liidus isikuandmete vaba liikumine, tuleks komisjonile anda ELi toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Eelkõige tuleks võtta vastu delegeeritud õigusaktid sertifitseerimismehhanismide kriteeriumide ja nõuete, standardsete ikoonide kujul esitatava teabe ning selliste ikoonide esitamise korra kohta. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil. Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

(167)

Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks komisjonile anda käesolevas määruses sätestatud rakendusvolitused. Kõnealuseid volitusi tuleks kasutada vastavalt määrusele (EL) nr 182/2011. Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks.

(168)

Kontrollimenetlust tuleks kasutada järgmiste rakendusaktide vastuvõtmiseks: vastutavate töötlejate ja volitatud töötlejate vaheliste ning volitatud töötlejate omavaheliste lepingute tüüptingimusi käsitlevad rakendusaktid; toimimisjuhendid; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, territooriumi või kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; standardsed kaitseklauslid; vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise elektroonilise teabevahetuse vormid ja menetlused siduvate kontsernisiseste eeskirjade jaoks; ja vastastikune abi; järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korraldus, arvestades, et need on üldise iseloomuga.

(169)

Komisjon peaks vastu võtma viivitamata kohaldatavad rakendusaktid, kui kättesaadavatest tõenditest selgub, et kolmanda riigi, territooriumi või kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse on ebapiisava tasemega, ning kui see on vajalik eriti kiireloomulistel juhtudel.

(170)

Kuna käesoleva määruse eesmärki, nimelt tagada kogu liidus füüsiliste isikute kaitse võrdväärne tase ja isikuandmete vaba liikumine, ei suuda liikmesriigid piisavalt saavutada, küll aga saab seda selle ulatuse ja toime tõttu on paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu (ELi leping) artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

(171)

Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks. Käesoleva määruse kohaldamise alguskuupäeval juba teostatav töötlemine tuleks viia käesoleva määrusega kooskõlla kahe aasta jooksul pärast käesoleva määruse jõustumist. Kui töödeldakse direktiivi 95/46/EÜ kohase nõusoleku alusel, ei ole, juhul kui nõusolek on antud kooskõlas käesoleva määruste tingimustega, andmesubjektil vaja oma nõusolekut uuesti anda selleks, et vastutav töötleja saaks jätkata sellist töötlemist pärast käesoleva määruse kohaldamise alguskuupäeva. Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load jäävad kehtima nende muutmise, asendamise või kehtetuks tunnistamiseni.

(172)

Euroopa Andmekaitseinspektoriga konsulteeriti vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2 ning ta esitas oma arvamuse 7. märtsil 2012. aastal (17).

(173)

Käesolevat määrust tuleks kohaldada kõigil isikuandmete töötlemise valdkonna põhiõiguste ja -vabaduste kaitsmisega seotud juhtudel, mille suhtes ei kohaldata sama eesmärgiga konkreetseid kohustusi, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2002/58/EÜ (18), sealhulgas vastutava töötleja kohustusi ja füüsiliste isikute õigusi. Käesoleva määruse ja direktiivi 2002/58/EÜ seose täpsustamiseks tuleks direktiivi vastavalt muuta. Pärast käesoleva määruse vastuvõtmist tuleks direktiiv 2002/58/EÜ läbi vaadata, eelkõige selleks, et tagada kooskõla käesoleva määrusega,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

Üldsätted

Artikkel 1

Reguleerimisese ja eesmärgid

1.   Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.

2.   Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

3.   Isikuandmete vaba liikumist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel.

Artikkel 2

Sisuline kohaldamisala

1.   Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2.   Käesolevat määrust ei kohaldata, kui

a)

isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;

b)

liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;

c)

isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus;

d)

isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.

3.   Liidu institutsioonide, organite ja asutuste poolt isikuandmete töötlemise suhtes kohaldatakse määrust (EÜ) nr 45/2001. Määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemisele kohaldatavaid liidu õigusakte tuleb kooskõlas artikliga 98 kohandada vastavalt käesoleva määruse põhimõtetele ja normidele.

4.   Käesolev määrus ei piira direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate õigusnormide kohaldamist.

Artikkel 3

Territoriaalne kohaldamisala

1.   Käesolevat määrust kohaldatakse liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse liidus või väljaspool liitu.

2.   Käesolevat määrust kohaldatakse liidus asuvate andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui andmete töötlemine on seotud

a)

liidus asuvatele andmesubjektidele kaupade ja teenuste pakkumisega, olenemata sellest, kas andmesubjekt peab maksma tasu, või

b)

nende tegevuse jälgimisega, kui see tegevus toimub liidus.

3.   Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust.

Artikkel 4

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)   „isikuandmed“– igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)   „isikuandmete töötlemine“– isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)   „isikuandmete töötlemise piiramine“– säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

4)   „profiilianalüüs“– igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

5)   „pseudonümiseerimine“– isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)   „andmete kogum“– isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

7)   „vastutav töötleja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)   „volitatud töötleja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

9)   „vastuvõtja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

10)   „kolmas isik“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

11)   andmesubjekti „nõusolek“– vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

12)   „isikuandmetega seotud rikkumine“– turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

13)   „geneetilised andmed“– isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

14)   „biomeetrilised andmed“– konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

15)   „terviseandmed“– füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

16)   „peamine tegevuskoht“

a)

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

b)

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

17)   „esindaja“– liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja või volitatud töötleja on kirjalikult artikli 27 kohaselt määranud ja kes esindab vastutavat töötlejat või volitatud töötlejat seoses nende käesolevast määrusest tulenevate vastavate kohustustega;

18)   „ettevõtja“– majandustegevusega tegelev füüsiline või juriidiline isik, olenemata selle õiguslikust vormist, sealhulgas partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

19)   „kontsern“– kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

20)   „siduvad kontsernisisesed eeskirjad“– isikuandmete kaitse põhimõtted, millest vastutav töötleja või volitatud töötleja, kelle asukoht on liikmesriigi territooriumil, lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus või ühise majandustegevusega tegelevate ettevõtjate rühmas tegutsevale vastutavale töötajale või volitatud töötlejale;

21)   „järelevalveasutus“– liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

22)   „asjaomane järelevalveasutus“– järelevalveasutus, kes on isikuandmete töötlemisega seotud, kuna

a)

vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)

asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)

kõnealusele järelevalveasutusele on esitatud kaebus;

23)   „isikuandmete piiriülene töötlemine“– kas

a)

isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)

isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

24)   „asjakohane ja põhjendatud vastuväide“– vastuväide kavandatavale otsusele seoses sellega, kas käesolevat määrust on rikutud või kas seoses vastutava töötleja või volitatud töötlejaga kavandatud meede on määrusega kooskõlas, mis näitab selgelt, kui suurt ohtu kujutab endast kavandatav otsus seoses andmesubjektide põhiõiguste ja -vabadustega ning, kui see on asjakohane, isikuandmete vaba liikumisega liidus;

25)   „infoühiskonna teenus“– teenus, mis vastab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (19) artikli 1 lõike 1 punktile b;

26)   „rahvusvaheline organisatsioon“– organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või mis tahes muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.

II PEATÜKK

Põhimõtted

Artikkel 5

Isikuandmete töötlemise põhimõtted

1.   Isikuandmete töötlemisel tagatakse, et

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)

isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2.   Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

Artikkel 6

Isikuandmete töötlemise seaduslikkus

1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)

andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)

isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)

isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;

d)

isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

e)

isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)

isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

2.   Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis.

3.   Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

a)

liidu õigusega või

b)

vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.

4.   Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

a)

seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)

isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)

isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 9 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 10;

d)

kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)

asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.

Artikkel 7

Nõusoleku andmise tingimused

1.   Kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

2.   Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist käesoleva määruse rikkumisega, ei ole siduv.

3.   Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest enne nõusoleku andmist. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine.

4.   Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku isikuandmine andmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.

Artikkel 8

Tingimused, mida kohaldatakse lapse nõusolekule seoses infoühiskonna teenustega

1.   Kui kohaldatakse artikli 6 lõike 1 punkti a seoses infoühiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete töötlemine seaduslik ainult juhul kui laps on vähemalt 16-aastane. Kui laps on noorem kui 16-aastane, on selline isikuandmete töötlemine seaduslik üksnes sellisel juhul ja sellises ulatuses, kui selleks on sellise nõusoleku või loa andnud isik, kellel on lapse suhtes vanemlik vastutus.

Liikmesriigid võivad seadusega sätestada madalama asjaomase vanuse, tingimusel et selline madalam vanus ei ole vähem kui 13 aastat.

2.   Vastutav töötleja teeb kättesaadavat tehnoloogiat arvesse võttes mõistlikud jõupingutused selleks, et kontrollida sellistel juhtudel, et nõusoleku või loa on andnud isik, kellel on lapse suhtes vanemlik vastutus.

3.   Lõige 1 ei mõjuta liikmesriikide üldist lepinguõigust, näiteks õigusnorme, mis käsitlevad lapsega seotud lepingu kehtivust, koostamist ja mõju.

Artikkel 9

Isikuandmete eriliikide töötlemine

1.   Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2.   Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

a)

andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada;

b)

töötlemine on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või liikmesriigi õiguse kohase kollektiivlepinguga, millega kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks;

c)

töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

d)

töödeldakse poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning tingimusel, et töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning et isikuandmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta;

e)

töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud;

f)

töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni;

g)

töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu või liikmesriigi õiguse alusel ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ja tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks;

h)

töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud;

i)

töötlemine on vajalik rahvatervise valdkonna avalikes huvides, nagu kaitse suure piiriülese terviseohu korral või kõrgete kvaliteedi- ja ohutusnõuete tagamine tervishoiu ning ravimite või meditsiiniseadmete puhul, tuginedes liidu või liikmesriigi õigusele, millega nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õiguste ja vabaduste kaitseks, eelkõige ametisaladuse hoidmine,

j)

töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 83 lõikele 1, tuginedes liidu või liikmesriigi õigusele, ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ning tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

3.   Lõikes 1 osutatud isikuandmeid võib töödelda lõike 2 punktis h osutatud eesmärkidel, kui neid andmeid töötleb töötaja, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus, või kui neid andmeid töödeldakse sellise isiku vastutusel või kui neid andmeid töötleb mõni teine isik, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel samuti saladuse hoidmise kohustus.

4.   Liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega.

Artikkel 10

Süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemine

Süüteoasjades süüdimõistvate kohtuotsuste ja süütegude või nendega seotud turvameetmetega seotud isikuandmeid töödeldakse artikli 6 lõike 1 kohaselt ainult ametiasutuse järelevalve all või siis, kui töötlemine on lubatud liidu või liikmesriigi õigusega, milles on sätestatud asjakohased kaitsemeetmed andmesubjektide õiguste ja vabaduste kaitseks. Süüteoasjades süüdimõistvate kohtuotsuste terviklikku registrit peetakse ainult ametiasutuse järelevalve all.

Artikkel 11

Töötlemine, mille käigus ei nõuta isiku tuvastamist

1.   Kui vastutav töötleja töötleb isikuandmeid eesmärkidel, mille puhul ei nõuta või enam ei nõuta andmesubjekti tuvastamist vastutava töötleja poolt, ei ole vastutav töötleja kohustatud säilitama, hankima ega töötlema lisateavet, et tuvastada andmesubjekt ainult käesoleva määruse järgimiseks.

2.   Kui vastutav töötleja on käesolevas artikli lõikes 1 osutatud juhtudel võimeline tõendama, et ta ei suuda andmesubjekti tuvastada, teavitab ta vastavalt andmesubjekti, kui see on võimalik. Sellistel juhtudel ei kohaldata artikleid 15–20, välja arvatud juhul, kui andmesubjekt esitab enda tuvastamist võimaldavat lisateavet, et kasutada nende artiklite kohaseid õigusi.

III PEATÜKK

Andmesubjekti õigused

1. jagu

Läbipaistvus ja sellega seotud kord

Artikkel 12

Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord

1.   Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.

2.   Vastutav töötleja aitab kaasa artiklite 15–22 kohaste andmesubjekti õiguste kasutamisele. Artikli 11 lõikes 2 osutatud juhtudel ei keeldu vastutav töötleja meetmete võtmisest andmesubjekti taotlusel tema artiklite 15–22 kohaste õiguste kasutamiseks, välja arvatud juhul, kui vastutav töötleja tõendab, et ta ei suuda andmesubjekti tuvastada.

3.   Vastutav töötleja esitab andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe artiklite 15–22 kohase taotluse alusel võetud meetmete kohta. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, võttes arvesse taotluse keerukust ja hulka. Vastutav töötleja teavitab andmesubjekti igast taolisest pikendamisest ja viivituse põhjustest ühe kuu jooksul alates taotluse saamisest. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.

4.   Kui vastutav töötleja ei võta meetmeid vastavalt andmesubjekti taotlusele, teatab ta andmesubjektile viivituseta ja hiljemalt ühe kuu jooksul alates taotluse saamisest meetmete võtmata jätmise põhjused ning selgitab talle võimalust esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

5.   Artiklite 13 ja 14 kohase teabe esitamine ning artiklite 15–22 ja 34 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja kas:

a)

küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või

b)

keelduda taotletud meetmete võtmisest.

Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

6.   Kui vastutaval töötlejal on põhjendatud kahtlused artiklites 15–21 osutatud taotlust esitava füüsilise isiku identiteedi suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist, piiramata seejuures artikli 11 kohaldamist.

7.   Andmesubjektidele artiklite 13 ja 14 kohaselt edastatava teabe võib anda koos standardsete ikoonide esitamisega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, on need masinloetavad.

8.   Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks ikoonidega esitatav teave ja standardsete ikoonide esitamise kord.

2. jagu

Teave ja juurdepääs isikuandmetele

Artikkel 13

Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt

1.   Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

a)

vastutava töötleja ning kui kohaldatav, siis vastutava töötleja esindaja nimi ja kontaktandmed;

b)

asjakohasel juhul andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise eesmärk ja õiguslik alus;

d)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

e)

asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta,

f)

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2.   Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

a)

isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)

teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

c)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

d)

teave õiguse kohta esitada kaebus järelevalveasutusele;

e)

teave selle kohta, kas isikuandmete esitamine on õigusaktist või lepingust tulenev kohustus või lepingu sõlmimiseks vajalik nõue, samuti selle kohta, kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama, ning selliste andmete esitamata jätmise võimalike tagajärgede kohta, ning

f)

teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3.   Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne andmete edasist isikuandmete töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

4.   Lõikeid 1, 2 ja 3 ei kohaldata, kui ja sel määral mil andmesubjektil on see teave juba olemas.

Artikkel 14

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1.   Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)

vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)

asjakohasel juhul andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise eesmärk ja õiguslik alus;

d)

asjaomaste isikuandmete liigid;

e)

asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

f)

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2.   Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)

isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)

teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)

kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)

teave õiguse kohta esitada kaebus järelevalveasutusele;

f)

teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)

teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3.   Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)

mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)

kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)

kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4.   Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5.   Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

a)

andmesubjektil on see teave juba olemas;

b)

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)

isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)

isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

Artikkel 15

Andmesubjekti õigus tutvuda andmetega

1.   Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

a)

töötlemise eesmärk;

b)

asjaomaste isikuandmete liigid;

c)

vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)

teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)

teave õiguse kohta esitada kaebus järelevalveasutusele;

g)

kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)

teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

2.   Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, on andmesubjektil õigus olla teavitatud edastamisega seoses artikli 46 kohaselt kehtestatavatest asjakohastest kaitsemeetmetest.

3.   Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt taotleb lisakoopiaid, võib vastutav töötleja küsida mõistlikku tasu halduskulude katmiseks. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.

4.   Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.

3. jagu

Parandamine ja kustutamine

Artikkel 16

Õigus andmete parandamisele

Andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse andmete töötlemise eesmärke, on andmesubjektil õigus nõuda mittetäielike isikuandmete täiendamist, sealhulgas täiendava õiendi esitamise teel.

Artikkel 17

Õigus andmete kustutamisele („õigus olla unustatud“)

1.   Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

a)

isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)

andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 6 lõike 1 punktile a või artikli 9 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;

c)

andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid või andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 2 kohaselt;

d)

isikuandmeid on töödeldud ebaseaduslikult;

e)

isikuandmed tuleb kustutada selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust;

f)

isikuandmeid koguti seoses artikli 8 lõikes 1 osutatud infoühiskonna teenuste pakkumisega.

2.   Juhul kui vastutav töötleja on isikuandmed avalikustanud ja peab lõike 1 kohaselt isikuandmed kustutama, võtab vastutav töötleja kättesaadavat tehnoloogiat ja rakendamise kulusid arvestades tarvitusele mõistlikud abinõud, sealhulgas tehnilised meetmed, et teavitada kõnealuseid isikuandmeid töötlevaid vastutavaid töötlejaid sellest, et andmesubjekt taotleb neilt kõnealustele isikuandmetele osutavate linkide või andmekoopiate või -korduste kustutamist.

3.   Lõikeid 1 ja 2 ei kohaldata sel määral mil isikuandmete töötlemine on vajalik

a)

sõna- ja teabevabaduse õiguse teostamiseks;

b)

selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust, mis näeb ette isikuandmete töötlemise, või täita avalikes huvides olevat ülesannet või teostada vastutava töötleja avalikku võimu;

c)

rahvatervise valdkonnas avaliku huviga seotud põhjustel kooskõlas artikli 9 lõike 2 punktidega h ja i ning artikli 9 lõikega 3;

d)

avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil kooskõlas artikli 89 lõikega 1 sel määral mil lõikes 1 osutatud õigus tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral, või

e)

õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Artikkel 18

Õigus isikuandmete töötlemise piiramisele

1.   Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:

a)

andmesubjekt vaidlustab isikuandmete õigsuse, ajaks, mis võimaldab vastutaval töötlejal isikuandmete õigsust kontrollida;

b)

isikuandmete töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle isikuandmete kustutamist, vaid kasutamise piiramist;

c)

vastutav töötleja ei vaja isikuandmeid enam töötlemise eesmärkidel, kuid need on andmesubjektile vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks,

d)

andmesubjekt on esitanud isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt vastuväite, ajaks, kuni kontrollitakse, kas vastutava töötleja õiguspärased põhjused kaaluvad üles andmesubjekti põhjused.

2.   Kui isikuandmete töötlemist on lõike 1 kohaselt piiratud, võib selliseid isikuandmeid töödelda (välja arvatud säilitamine) ainult andmesubjekti nõusolekul või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või teise füüsilise või juriidilise isiku õiguste kaitsmiseks või seoses liidu või liikmesriigi olulise avaliku huviga.

3.   Vastutav töötleja teavitab lõike 1 kohaselt isikuandmete töötlemise piiramist nõudnud andmesubjekti enne isikuandmete töötlemise piiramise lõpetamist.

Artikkel 19

Kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisest

Vastutav töötleja edastab teabe isikuandmete parandamise, kustutamise või isikuandmete töötlemise piiramise kohta vastavalt artiklile 16, artikli 17 lõikele 1 ja artiklile 18 kõigile vastuvõtjatele, kellele isikuandmed on avaldatud, välja arvatud juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi. Vastutav töötleja teavitab andmesubjekti nendest vastuvõtjatest andmesubjekti taotlusel.

Artikkel 20

Andmete ülekandmise õigus

1.   Andmesubjektil on õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale töötlejale, ilma et vastutav töötleja, kellele kõnealused isikuandmed on esitatud, seda takistaks, kui

a)

töötlemine põhineb artikli 6 lõike 1 punktis a või artikli 9 lõike 2 punktis a osutatud nõusolekul või artikli 6 lõike 1 punktis b osutatud lepingul ning

b)

töödeldakse automatiseeritult.

2.   Kui andmesubjekt kasutab lõike 1 kohaselt andmete ülekandmise õigust, on tal õigus nõuda, et vastutav töötleja edastab andmed otse teisele vastutavale töötlejale, kui see on tehniliselt teostatav.

3.   Käesoleva artikli lõikes 1 nimetatud õiguse kasutamine ei piira artikli 17 kohaldamist. Seda õigust ei kohaldata töötlemise suhtes, mis on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

4.   Lõikes 1 osutatud õigus ei kahjusta teiste isikute õigusi ja vabadusi.

4. jagu

Õigus esitada vastuväiteid ja automatiseeritud töötlusel põhinevate üksikotsuste tegemine

Artikkel 21

Õigus esitada vastuväiteid

1.   Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

2.   Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sealhulgas profiilianalüüsi suhtes sel määral mil see on seotud kõnealuse otseturundusega.

3.   Kui andmesubjekt esitab vastuväiteid otseturunduse eesmärgil toimuva andmete töötlemise suhtes, ei tohi isikuandmeid sellisel eesmärgil enam töödelda.

4.   Hiljemalt andmesubjekti esmakordsel teavitamisel juhitakse andmesubjekti tähelepanu selgesõnaliselt lõigetes 1 ja 2 osutatud õigusele ning vastav teave esitatakse selgelt ja eraldi igasugusest muust teabest.

5.   Infoühiskonna teenuste kasutamisega seoses ja direktiivi 2002/58/EÜ sätetest olenemata võib andmesubjekt kasutada oma õigust esitada vastuväiteid, tehes seda automatiseeritud vahendite teel, mis põhinevad tehnilistel kirjeldustel.

6.   Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks.

Artikkel 22

Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs

1.   Andmesubjektil on õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

2.   Lõiget 1 ei kohaldata, kui otsus

a)

on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks;

b)

on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks, või

c)

põhineb andmesubjekti selgesõnalisel nõusolekul.

3.   Lõike 3 punktides a ja c osutatud juhtudel rakendab vastutav töötleja asjakohaseid meetmeid, et kaitsta andmesubjekti õigusi ja vabadusi ning õigustatud huve, vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada otsus.

4.   Lõikes 2 osutatud otsused ei tohi põhineda artikli 9 lõikes 1 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui kohaldatakse artikli 9 lõike 2 punkti a või g ning kehtestatud on asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

5. jagu

Piirangud

Artikkel 23

Piirangud

1.   Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada

a)

riigi julgeolek;

b)

riigikaitse;

c)

avalik julgeolek;

d)

süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

e)

liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;

f)

kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;

g)

reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

h)

jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a – e ja g osutatud juhtudel;

i)

andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

j)

tsiviilõiguslike nõuete täitmise tagamine.

2.   Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:

a)

töötlemise või selle kategooriate eesmärgid;

b)

isikuandmete liigid;

c)

kehtestatud piirangute ulatus;

d)

kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)

vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)

säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;

g)

andmesubjektide õigusi ja vabadusi ähvardavad ohud ning

h)

andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.

IV PEATÜKK

Vastutav töötleja ja volitatud töötleja

1. jagu

Üldkohustused

Artikkel 24

Vastutava töötleja vastutus

1.   Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2.   Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

3.   Vastutava töötleja kohustuste järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

Artikkel 25

Lõimitud andmekaitse ja vaikimisi andmekaitse

1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

2.   Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

3.   Käesoleva artikli lõigetes 1 ja 2 sätestatud nõuete järgimise tõendamise elemendina võib kasutada artikli 42 kohast heakskiidetud sertifitseerimismehhanismi.

Artikkel 26

Kaasvastutavad töötlejad

1.   Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2.   Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi vastutava töötleja suhtes ja vastu.

Artikkel 27

Väljaspool liitu asuvate vastutavate töötlejate või volitatud töötlejate esindajad

1.   Kui kohaldatakse artikli 3 lõiget 2, siis määrab vastutav töötleja või volitatud töötleja kirjalikult oma esindaja liidus.

2.   Nõuet ei kohaldata:

a)

kui isikuandmete töötlemine on juhtumipõhine, see ei hõlma artikli 9 lõikes 1 osutatud isikuandmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist ning ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või

b)

avaliku sektori asutuse või organi suhtes.

3.   Esindaja asukoht peab olema ühes liikmesriikidest, kus asuvad andmesubjektid, kelle isikuandmeid töödeldakse neile kaupade või teenuste pakkumise korral või kelle käitumist jälgitakse.

4.   Vastutav töötleja või volitatud töötleja volitab esindajat suhtlema lisaks vastutavale töötlejale või volitatud töötlejale või tema asemel eelkõige järelevalveasutuste ja andmesubjektidega kõigis isikuandmete töötlemisega seotud küsimustes, et tagada käesoleva määruse järgimine.

5.   Vastutava töötleja või volitatud töötleja poolt esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja või volitatud töötleja enda suhtes.

Artikkel 28

Volitatud töötleja

1.   Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2.   Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3.   Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

a)

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)

tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)

võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)

järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)

võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)

aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)

pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)

teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4.   Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5.   Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6.   Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7.   Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8.   Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9.   Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10.   Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

Artikkel 29

Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel

Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

Artikkel 30

Isikuandmete töötlemise toimingute registreerimine

1.   Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:

a)

vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)

töötlemise eesmärgid;

c)

andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

d)

vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid;

e)

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid;

f)

võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

g)

võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

2.   Volitatud töötleja või asjakohasel juhul volitatud töötleja esindaja peab kõigi vastutava töötleja nimel tehtavate isikuandmete isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:

a)

volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)

vastutava töötleja nimel tehtava töötlemise kategooriad;

c)

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid;

d)

võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

3.   Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.

4.   Taotluse korral teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja registri kättesaadavaks järelevalveasutusele.

5.   Lõigetes 1 ja 2 osutatud kohustusi ei kohaldata vähem kui 250 töötajaga ettevõtjale või organisatsioonile, välja arvatud juhul, kui tema teostatav töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, töötlemine ei ole juhtumipõhine või töödeldakse artikli 9 lõikes 1 osutatud isikuandmete eriliike või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.

Artikkel 31

Koostöö järelevalveasutusega

Vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja teeb oma ülesannete täitmise käigus taotluse korral koostööd järelevalveasutusega.

2. jagu

Isikuandmete turvalisus

Artikkel 32

Töötlemise turvalisus

1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

a)

isikuandmete pseudonümiseerimine ja krüpteerimine;

b)

võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

c)

võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;

d)

tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

2.   Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

3.   Käesoleva artikli lõikes 1 osutatud nõuete järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

4.   Vastutav töötleja ja volitatud töötleja võtavad meetmeid selleks, et tagada, et vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, töötlevad isikuandmeid ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

Artikkel 33

Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1.   Isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest artikli 55 kohasele pädevale järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.

2.   Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.

3.   Lõikes 1 osutatud teates esitatakse vähemalt järgmine teave:

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;

b)

teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)

kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)

kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

4.   Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.

5.   Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle mõju ja võetud parandusmeetmed. Dokumendid võimaldavad järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist.

Artikkel 34

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1.   Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab vastutav töötleja andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.

2.   Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 33 lõike 3 punktides b, c ja d osutatud teave ja meetmed.

3.   Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta juhul, kui on täidetud järgmised tingimused.

a)

vastutav töötleja on kehtestanud asjakohased tehnilised ja korralduslikud kaitsemeetmed ja neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

b)

vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või

c)

see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul tehakse avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

4.   Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib järelevalveasutus pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, seda vastutavalt töötlejalt nõuda või otsustada, et esineb üks lõikes 3 osutatud tingimustest.

3. jagu

Andmekaitsealane mõjuhinnang ja eelnev konsulteerimine

Artikkel 35

Andmekaitsealane mõjuhinnang

1.   Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2.   Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.

3.   Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:

a)

füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)

artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)

avalike alade ulatuslik süstemaatiline jälgimine.

4.   Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.

5.   Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.

6.   Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.

7.   Mõjuhinnang peab hõlmama vähemalt järgmist:

a)

kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)

isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)

lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)

ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8.   Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.

9.   Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10.   Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.

11.   Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 36

Eelnev konsulteerimine

1.   Vastutav töötleja konsulteerib enne isikuandmete töötlemist järelevalveasutusega, kui artikli 35 kohasest andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohu leevendamiseks võetavate meetmete puudumise korral suur oht.

2.   Kui järelevalveasutus on seisukohal, et lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesolevat määrust, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, siis annab järelevalveasutus hiljemalt kaheksa nädala jooksul alates konsulteerimise taotluse kättesaamisest vastutavale töötlejale ja asjakohasel juhul volitatud töötlejale kirjalikult nõu ja ta võib kasutada artiklis 58 osutatud õigusi. Seda tähtaega võib pikendada kuue nädala võrra, arvestades kavandatava isikuandmete töötlemise keerukust. Järelevalveasutus teavitab pikendatud tähtaja kohaldamise korral vastutavat töötlejat ja asjakohasel juhul volitatud töötlejat kõigist sellistest pikendamistest ühe kuu jooksul alates konsulteerimise taotluse kättesaamisest, sealhulgas viivituse põhjustest. Need tähtajad võib peatada seniks, kuni järelevalveasutus on saanud kogu teabe, mida ta on küsinud seoses konsulteerimisega.

3.   Järelevalveasutusega lõike 1 kohaselt konsulteerimisel esitab vastutav töötleja järelevalveasutusele järgmise teabe:

a)

kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad, eelkõige seoses töötlemisega kontsernis;

b)

kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)

ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)

kui see on asjakohane, siis andmekaitseametniku kontaktandmed;

e)

artiklis 35 sätestatud andmekaitsealane mõjuhinnang ning

f)

kogu muu järelevalveasutuse taotletud teave.

4.   Liikmesriik konsulteerib järelevalveasutusega, kui koostamisel on riigi parlamendis vastu võetava õigusliku meetme ettepanek või sellisel õiguslikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.

5.   Olenemata lõikest 1 võib liikmesriigi õigusega ette näha, et vastutavad töötlejad peavad konsulteerima järelevalveasutustega ja saama neilt eelneva loa, kui vastutav töötleja kavatseb töödelda isikuandmeid vastutava töötleja poolt avalikes huvides täidetava ülesande raames, mis hõlmab sellist isikuandmete töötlemist seoses sotsiaalkaitse ja rahvatervisega.

4. jagu

Andmekaitseametnik

Artikkel 37

Andmekaitseametniku määramine

1.   Vastutav töötleja ja volitatud töötleja määravad andmekaitseametniku, kui

a)

isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;

b)

vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või

c)

vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

2.   Kontsern võib määrata ühe andmekaitseametniku, tingimusel et andmekaitseametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest.

3.   Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme sellise asutuse või organi jaoks määrata ühe andmekaitseametniku olenevalt nende organisatsioonilisest struktuurist ja suurusest.

4.   Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja või volitatud töötleja või nende kategooriaid esindavad ühendused ja muud organid määrata andmekaitseametniku või nad peavad seda tegema, kui see on nõutav liidu või liikmesriigi õigusega. Andmekaitseametnik võib tegutseda selliste vastutavaid töötlejaid või volitatud töötlejaid esindavate ühenduste ja muude organite heaks.

5.   Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 39 osutatud ülesandeid.

6.   Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita ülesandeid teenuslepingu alusel.

7.   Vastutav töötleja või volitatud töötleja avaldab andmekaitseametniku kontaktandmed ning teatab need järelevalveasutusele.

Artikkel 38

Andmekaitseametniku ametiseisund

1.   Vastutav töötleja ja volitatud töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.

2.   Vastutav töötleja ja volitatud töötleja toetavad andmekaitseametnikku artiklis 39 osutatud ülesannete täitmisel, andes talle nende ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja isikuandmete töötlemise toimingutele.

3.   Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik ei saa nende ülesannete täitmise suhtes juhiseid. Vastutav töötleja või volitatud töötleja ei saa teda tema ülesannete täitmise eest ametist vabastada ega karistada. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

4.   Andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ning nende käesolevast määrusest tulenevate õiguste kasutamisega.

5.   Andmekaitseametniku suhtes kehtib tema ülesannete täitmisel vastavalt liidu või liikmesriigi õigusele saladuse hoidmise või konfidentsiaalsuse nõue.

6.   Andmekaitseametnik võib täita muid ülesandeid ja kohustusi. Vastutav töötleja või volitatud töötleja tagab, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti.

Artikkel 39

Andmekaitseametniku ülesanded

1.   Andmekaitseametnikul on vähemalt järgmised ülesanded:

a)

teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad käesolevast määrusest ja muudest liidu või liikmesriikide andmekaitsenormidest;

b)

jälgida käesoleva määruse, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;

c)

anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist vastavalt artiklile 35;

d)

teha koostööd järelevalveasutusega, ning

e)

tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna, sealhulgas artiklis 36 osutatud eelneva konsulteerimise osas, ning konsulteerida vajaduse korral ka muudes küsimustes.

2.   Andmekaitseametnik võtab oma ülesannete täitmisel asjakohaselt arvesse isikuandmete töötlemise toimingutega seotud ohtu, arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke.

5. jagu

Toimimisjuhendid ja sertifitseerimine

Artikkel 40

Toimimisjuhendid

1.   Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2.   Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

a)

isikuandmete õiglane ja läbipaistev töötlemine;

b)

vastutava töötleja õigustatud huvid teatud kontekstis;

c)

isikuandmete kogumine;

d)

isikuandmete pseudonümiseerimine;

e)

üldsuse ja andmesubjektide teavitamine;

f)

andmesubjektide õiguste kasutamine;

g)

laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)

artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)

isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)

isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)

vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

3.   Peale selle, et käesoleva artikli lõike 5 kohaselt heaks kiidetud ja käesoleva artikli lõike 9 kohaselt terves liidus kehtivaks tunnistatud toimimisjuhendeid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võivad neid järgida ka vastutavad töötlejad ja volitatud töötlejad, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, et tagada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus artikli 46 lõike 2 punktis e osutatud tingimustel asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

4.   Käesoleva artikli lõike 2 kohane toimimisjuhend peab sisaldama mehhanisme, mis võimaldavad artikli 41 lõikes 1 osutatud asutusel teha kohustuslikku järelevalvet selle üle, et toimimisjuhendit täitma kohustunud vastutav töötleja või volitatud töötleja järgib seda, ilma et see piiraks artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5.   Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

6.   Kui toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend kiidetakse vastavalt lõikele 5 heaks ning kui asjaomane toimimisjuhend ei ole seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, registreerib ja avaldab järelevalveasutus toimimisjuhendi.

7.   Kui toimimisjuhendi kavand on seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, siis esitab artikli 55 kohaselt pädev järelevalveasutus toimimisjuhendi enne selle heakskiitmist artiklis 63 osutatud menetluse kohaselt andmekaitsenõukogule, kes esitab arvamuse selle kohta, kas toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab käesoleva artikli lõikes 3 osutatud olukorras asjakohased kaitsemeetmed.

8.   Kui lõikes 7 osutatud arvamuses kinnitatakse, et toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab lõikes 3 osutatud olukorras asjakohased kaitsemeetmed, siis esitab andmekaitsenõukogu oma arvamuse komisjonile.

9.   Komisjon võib rakendusaktidega otsustada, et talle vastavalt käesoleva artikli lõikele 8 esitatud heakskiidetud toimimisjuhendid, muudatused ja laiendused kehtivad terves liidus. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

10.   Komisjon tagab asjakohase teavituse lõike 9 kohase otsusega terves liidus kehtivaks tunnistatud heakskiidetud toimimisjuhenditest.

11.   Andmekaitsenõukogu koondab kõik heakskiidetud toimimisjuhendid, muudatused ja laiendused registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 41

Heakskiidetud toimimisjuhendite järgimise järelevalve

1.   Ilma et see mõjutaks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, võib artikli 40 kohase toimimisjuhendi järgimise üle järelevalvet teostada asutus, kellel on toimimisjuhendi sisu osas asjakohased ekspertteadmised ja kes on selleks pädeva järelevalveasutuse poolt akrediteeritud.

2.   Lõikes 1 osutatud asutust võib akrediteerida teostama toimimisjuhendi järgimise üle järelevalvet, kui nimetatud asutus:

a)

on pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi toimimisjuhendi sisu osas;

b)

on kehtestanud menetlused, mis võimaldavad tal hinnata vastutavate töötlejate ja volitatud töötlejate sobivust toimimisjuhendi kohaldamiseks, teostada järelevalvet selle sätete järgimise üle ja vaadata korrapäraselt üle selle toimimist;

c)

on kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt toimimisjuhendi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

d)

tõendab pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3.   Pädev järelevalveasutus esitab käesoleva artikli lõikes 1 osutatud asutuse akrediteerimise kriteeriumide kavandi andmekaitsenõukogule vastavalt artiklis 63 osutatud järjepidevuse mehhanismile.

4.   Ilma et see mõjutaks pädeva järelevalveasutuse ülesandeid ja volitusi ning VIII peatüki sätete kohaldamist, võtab käesoleva artikli lõikes 1 osutatud asutus toimimisjuhendi rikkumise korral vastutava töötleja või volitatud töötleja poolt piisavaid kaitsemeetmeid kasutades asjakohased meetmed, sealhulgas vastutava töötleja või volitatud töötleja toimimisjuhendis osalemise peatamine või välistamine. Asutus teavitab pädevat järelevalveasutust sellistest meetmetest ja nende võtmise põhjustest.

5.   Pädev järelevalveasutus tühistab lõikes 1 osutatud asutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed ei vasta käesolevale määrusele.

6.   Käesolevat artiklit ei kohaldata isikuandmete töötlemisele avaliku sektori asutuste ja organite poolt.

Artikkel 42

Sertifitseerimine

1.   Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2.   Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3.   Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4.   Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5.   Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6.   Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7.   Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8.   Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 43

Sertifitseerimisasutused

1.   Ilma et see piiraks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, väljastab sertifikaadi ja pikendab seda sertifitseerimisasutus, millel on andmekaitse vallas asjakohased ekspertteadmised, olles enne järelevalveasutust teavitanud, et see saaks vajaduse korral kasutada oma volitusi vastavalt artikli 58 lõike 2 punktile h. Liikmesriik kehtestab, kas need sertifitseerimisasutused akrediteerib üks või mõlemad järgmistest:

a)

artikli 55 või 56 kohaselt pädev järelevalveasutus;

b)

Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (20) kohaselt, kooskõlas standardiga EN-ISO/IEC 17065/2012 ning artiklite 55 või 56 kohaselt pädeva järelevalveasutuse kehtestatud täiendavate nõuete kohaselt nimetatud riiklik akrediteerimisasutus.

2.   Lõikes 1 osutatud sertifitseerimisasutusi võib kooskõlas nimetatud lõikega akrediteerida üksnes juhul, kui need on

a)

pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi sertifitseerimise sisu osas;

b)

võtnud endale kohustuse järgida artikli 42 lõikes 5 osutatud kriteeriume, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu;

c)

kehtestanud andmekaitsesertifikaatide, -pitserite ja -märgiste väljastamise, korrapärase läbivaatamise ja tagasivõtmise menetlused;

d)

kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt sertifikaadi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

e)

tõendanud pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3.   Käesoleva artikli lõigetes 1 ja 2 osutatud sertifitseerimisasutuste akrediteerimine toimub kriteeriumide alusel, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu. Kui akrediteerimine toimub käesoleva artikli lõike 1 punkti c kohaselt, täiendavad need nõuded määruses (EÜ) nr 765/2008 sätestatud nõudeid ja tehnilisi eeskirju, mis kirjeldavad sertifitseerimisasutuste kasutatavaid meetodeid ja menetlusi.

4.   Lõikes 1 osutatud sertifitseerimisasutused vastutavad sertifikaadi väljastamiseks või sellise sertifikaadi tagasivõtmiseks kasutatava asjakohase hindamise eest, ilma et see mõjutaks vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest. Akrediteering antakse maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni sertifitseerimisasutus vastab käesolevas artiklis sätestatud nõuetele.

5.   Lõikes 1 osutatud sertifitseerimisasutus esitab pädevale järelevalveasutusele taotletud sertifikaadi väljastamise või sertifikaadi tagasivõtmise põhjused.

6.   Järelevalveasutus avaldab kergesti kättesaadaval kujul käesoleva artikli lõikes 3 osutatud nõuded ja artikli 42 lõikes 5 osutatud kriteeriumid. Järelevalveasutus edastab need nõuded ja kriteeriumid ka andmekaitsenõukogule. Euroopa Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

7.   Ilma et see piiraks VIII peatüki kohaldamist, tühistab pädev järelevalveasutus või riiklik akrediteerimisasutus käesoleva artikli lõikes 1 osutatud sertifitseerimisasutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

8.   Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks nõuded, mida tuleb arvesse võtta artikli 42 lõikes 1 osutatud andmekaitse sertifitseerimise mehhanismide puhul.

9.   Komisjon võib võtta vastu rakendusakte sertifitseerimismehhanismide ning pitserite ja -märgiste tehniliste standardite ning kasutuselevõtu edendamise ja tunnustamise mehhanismide kohta. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

V PEATÜKK

Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele

Artikkel 44

Edastamise üldpõhimõtted

Töödeldavate või pärast kolmandale riigile või rahvusvahelisele organisatsioonile edastamist töötlemiseks ette nähtud isikuandmete edastamine toimub ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kooskõlas käesoleva määruse teiste sätetega käesolevas peatükis sätestatud tingimused, sealhulgas juhul, kui kolmas riik või rahvusvaheline organisatsioon saadab isikuandmed edasi muule kolmandale riigile või rahvusvahelisele organisatsioonile. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute kaitse taset ei kahjustata.

Artikkel 45

Edastamine kaitse piisavuse otsuse alusel

1.   Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.

2.   Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:

a)

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ning andmesubjektide tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

b)

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja nende täitmise tagamise eest, sealhulgas piisavate täitmise tagamise volituste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c)

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

3.   Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Kõnealune rakendusakt võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

4.   Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada käesoleva artikli lõike 3 kohaselt vastu võetud otsuste ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsuste toimimist.

5.   Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon vastu otsuse, et kolmas riik, territoorium või nimetatud riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab rakendusaktidega käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.

6.   Komisjon alustab asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.

7.   Käesoleva artikli lõike 5 kohane otsus ei mõjuta artiklite 46–49 kohaseid isikuandmete edastamisi kõnealusele kolmandale riigile, territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.

8.   Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil kolmandate riikide, territooriumide, kolmanda riigi kindlaksmääratud sektorite ja rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.

9.   Otsused, mille komisjon on vastu võtnud direktiivi 95/46/EÜ artikli 25 lõike 6 alusel, jäävad jõusse, kuni neid käesoleva artikli lõike 3 või 5 kohaselt vastu võetud komisjoni otsusega muudetakse, need asendatakse või kehtetuks tunnistatakse.

Artikkel 46

Edastamine asjakohaste kaitsemeetmete kohaldamisel

1.   Artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.

2.   Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha

a)

õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

b)

siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47;

c)

komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

d)

järelevalveasutuse poolt vastu võetud ja komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

e)

artikli 40 kohase heakskiidetud toimimisjuhendiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas, või

f)

artikli 42 kohase heakskiidetud sertifitseerimismehhanismiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas.

3.   Pädeva järelevalveasutuse loal võib lõikes 1 osutatud asjakohased kaitsemeetmed sätestada ka eelkõige

a)

vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

b)

sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

4.   Käesoleva artikli lõikes 3 osutatud juhtudel kohaldab järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi.

5.   Liikmesriigi või järelevalveasutuse poolt direktiivi 95/46/EÜ artikli 26 lõike 2 alusel antud load jäävad kehtima, kuni järelevalveasutus neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab. Otsused, mille komisjon on vastu võtnud vastavalt direktiivi 95/46/EÜ artikli 26 lõikele 4, jäävad jõusse, kuni neid käesoleva artikli lõike 2 kohaselt vastu võetud komisjoni otsusega vajaduse korral muudetakse, need asendatakse või kehtetuks tunnistatakse.

Artikkel 47

Siduvad kontsernisisesed eeskirjad

1.   Pädev järelevalveasutus kiidab kooskõlas artiklis 63 sätestatud järjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et

a)

need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist;

b)

nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning

c)

need vastavad lõikes 2 sätestatud nõuetele.

2.   Lõikes 1 osutatud siduvates kontsernisisestes eeskirjades määratakse kindlaks vähemalt järgmised elemendid:

a)

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed;

b)

isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed;

c)

nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

d)

üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;

e)

andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni;

f)

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav;

g)

kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta;

h)

kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle;

i)

kaebuse esitamise menetlused;

j)

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad;

k)

mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi;

l)

mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused;

m)

mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning

n)

asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs.

3.   Komisjon võib määratleda vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

Artikkel 48

Andmete edastamine või avaldamine juhtudel, kui see ei ole liidu õiguse kohaselt lubatud

Kolmanda riigi kohtu või haldusasutuse otsust, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist, võib tunnustada ja selle mis tahes viisil täitmisele pöörata üksnes siis, kui kõnealune otsus põhineb nõude esitanud kolmanda riigi ja liidu või liikmesriigi vahel kehtival rahvusvahelisel lepingul, näiteks vastastikuse õigusabi lepingul, ilma et see piiraks muid käesoleva peatüki kohaseid edastamise aluseid.

Artikkel 49

Erandid konkreetsetes olukordades

1.   Artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult ühel järgmistest tingimustest:

a)

andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

b)

edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

c)

edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

d)

edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

e)

edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

f)

edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

g)

edastamine tehakse registrist, mis liidu või liikmesriigi õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, nagu konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu või liikmesriigi õigusega ette nähtud.

Kui edastamise aluseks ei saa olla artikli 45 või 46 sätted, sealhulgas siduvaid kontsernisiseseid eeskirju käsitlevad sätted, ning kui ükski käesoleva lõike esimese lõigu kohane konkreetseks olukorraks ette nähtud erand ei ole kohaldatav, võib kolmandale riigile või rahvusvahelisele organisatsioonile andmeid edastada üksnes juhul, kui edastamine ei ole korduv, puudutab ainult piiratud arvu andmesubjekte, on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks. Vastutav töötleja teatab edastamisest järelevalveasutusele. Lisaks artiklites 13 ja 14 osutatud teabele teavitab vastutav töötleja andmesubjekte edastamisest ja vastutava töötleja poolt kaitstavatest õigustatud huvidest.

2.   Lõike 1 esimese lõigu punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid ega kõiki isikuandmete liike. Kui register on ette nähtud tutvumiseks õigustatud huviga isikutele, toimub edastamine vaid nende isikute taotlusel või juhul, kui nemad on vastuvõtjad.

3.   Lõike 1 esimese lõigu punkte a, b ja c ning lõike 1 teist lõiku ei kohaldata avalikku võimu teostavate riigiasutuste toimingute suhtes.

4.   Lõike 1 esimese lõigu punktis d osutatud avalik huvi on tunnustatud liidu õiguses või selle liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

5.   Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piirangud eri liiki isikuandmete edastamiseks kolmandale riigile või rahvusvahelisele organisatsioonile. Liikmesriigid teatavad sellistest sätetest komisjonile.

6.   Vastutav töötleja või volitatud töötleja kannab artiklis 30 osutatud registrisse hindamise ja käesoleva artikli lõike 1 teises lõigus osutatud sobivad kaitsemeetmed.

Artikkel 50

Isikuandmete kaitseks tehtav rahvusvaheline koostöö

Komisjon ja järelevalveasutused võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et

a)

töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusa täitmise tagamist;

b)

osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitsemeetmeid ning muid põhiõigusi ja -vabadusi;

c)

kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)

edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvuse osas valitsevate lahkarvamuste küsimuses.

VI PEATÜKK

Sõltumatud järelevalveasutused

1. jagu

Sõltumatus

Artikkel 51

Järelevalveasutus

1.   Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).

2.   Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga.

3.   Kui ühes liikmesriigis on asutatud rohkem kui üks järelevalveasutus, määrab liikmesriik selle järelevalveasutuse, kes esindab teisi andmekaitsenõukogus, ja näeb ette mehhanismi, millega tagatakse, et teised järelevalveasutused täidavad artiklis 57 osutatud järjepidevuse mehhanismiga seotud eeskirju.

4.   Liikmesriik teavitab komisjoni käesoleva peatüki alusel vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ja annab viivitamata teada nende edaspidistest muudatustest.

Artikkel 52

Sõltumatus

1.   Järelevalveasutus tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2.   Järelevalveasutuse liige või liikmed on oma käesoleva määrusega kooskõlas olevate ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning ei küsi ega võta vastu juhiseid mitte kelleltki.

3.   Järelevalveasutuse liige või liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul sobimatul tasustatud või tasustamata ametikohal.

4.   Liikmesriik tagab, et järelevalveasutusel oleks inim-, tehnilised ja rahalised ressursid ning ruumid ja infrastruktuur oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.

5.   Liikmesriik tagab, et järelevalveasutusel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele.

6.   Liikmesriik tagab, et järelevalveasutuse üle teostatakse finantskontrolli, mis ei mõjuta asutuse sõltumatust ning et igal järelevalveasutusel on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest.

Artikkel 53

Järelevalveasutuse liikmetele esitatavad üldtingimused

1.   Liikmesriigid tagavad, et nende järelevalveasutuste liikme peab läbipaistva menetluse teel ametisse nimetama kas

asjaomase liikmesriigi parlament;

asjaomase liikmesriigi valitsus;

asjaomase liikmesriigi riigipea või

asjaomase liikmesriigi õiguse kohaselt ametisse nimetama volitatud sõltumatu asutus.

2.   Igal liikmel on oma kohustuste täitmiseks ja volituste kasutamiseks vajalik kvalifikatsioon, kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.

3.   Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või kohustusliku pensionilemineku korral kooskõlas asjaomase liikmesriigi õigusega.

4.   Liige vabastatakse ametist ainult tõsise üleastumise korral või juhul, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele.

Artikkel 54

Järelevalveasutuse asutamise eeskirjad

1.   Liikmesriik sätestab õigusega:

a)

järelevalveasutuse asutamise;

b)

järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused;

c)

eeskirjad ja menetlused järelevalveasutuse liikme või liikmete ametisse nimetamiseks;

d)

järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 24. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust;

e)

selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning

f)

tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid.

2.   Järelevalveasutuse liige või liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii ametiaja jooksul kui ka pärast seda hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis on neile teatavaks saanud nende ülesannete täitmisel või volituste kasutamisel. Liikmete ametiaja jooksul kohaldatakse seda ametisaladuse hoidmise kohustust eelkõige juhtudel, kui füüsilised isikud teavitavad käesoleva määruse rikkumistest.

2. jagu

Pädevus, ülesanded ja volitused

Artikkel 55

Pädevus

1.   Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.

2.   Kui töötlejad on avaliku sektori või eraõiguslikud asutused, kes tegutsevad artikli 6 lõike 1 punktide c või e alusel, on pädevaks asutuseks asjaomase liikmesriigi järelevalveasutus. Sel juhul artiklit 56 ei kohaldata.

3.   Järelevalveasutused ei ole pädevad korraldama järelevalvet isikuandmete töötlemise toimingute üle, mida kohtud teevad oma õigust mõistvat funktsiooni täites.

Artikkel 56

Juhtiva järelevalveasutuse pädevus

1.   Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.

2.   Erandina lõikest 1 on järelevalveasutus pädev menetlema talle esitatud kaebust või käesoleva määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte.

3.   Käesoleva artikli lõikes 2 osutatud juhtudel teavitab järelevalveasutus sellest küsimusest viivitamatult juhtivat järelevalveasutust. Kolme nädala jooksul pärast teavitamist otsustab juhtiv järelevalveasutus, kas ta asub juhtumit kooskõlas artiklis 60 sätestatuga menetlema, võttes arvesse seda, kas vastutava töötleja või volitatud töötleja tegevuskoht on teda teavitanud järelevalveasutuse liikmesriigis.

4.   Kui juhtiv järelevalveasutus otsustab juhtumit käsitleda, kohaldatakse artiklis 60 sätestatud menetlust. Juhtivat järelevalveasutust teavitanud järelevalveasutus võib juhtivale järelevalveasutusele esitada otsuse eelnõu. Juhtiv järelevalveasutus võtab seda eelnõu täiel määral arvesse artikli 60 lõikes 3 osutatud otsuse eelnõu ettevalmistamisel.

5.   Kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda, käsitleb seda juhtumit kooskõlas artiklitega 61 ja 62 see järelevalveasutus, kes juhtivat järelevalveasutust teavitas.

6.   Piiriülese isikuandmete töötlemise toimingu puhul on vastutava töötleja või volitatud töötleja ainus partner juhtiv järelevalveasutus.

Artikkel 57

Ülesanded

1.   Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

a)

jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

b)

suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

c)

nõustab kooskõlas liikmesriigi õigusega riigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)

edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

e)

annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

f)

käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 80 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)

teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

h)

toimetab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

i)

jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogiate ning kaubandustavade arengut;

j)

võtab vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud lepingu tüüptingimused;

k)

koostab ja säilitab loetelu seoses artikli 35 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

l)

annab nõu artikli 36 lõikes 2 osutatud isikuandmete töötlemise toimingute osas;

m)

ergutab artikli 40 lõike 1 kohaste toimimisjuhendite koostamist, esitab oma arvamuse piisavaid tagatisi pakkuvate toimimisjuhendite kohta ja kiidab need heaks kooskõlas artikli 40 lõikega 5;

m)

ergutab artikli 42 lõike 1 kohaselt andmetekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kehtestamist ning kiidab artikli 42 lõike 5 kohaselt sertifitseerimise kriteeriumid heaks;

o)

vaatab vajaduse korral korrapäraselt läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

p)

koostab ja avaldab artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohase sertifitseerimisasutuse akrediteerimise tingimused;

q)

akrediteerib artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohaselt sertifitseerimisasutuse;

r)

kinnitab artikli 46 lõikes 3 osutatud lepinguklauslid ja -sätted;

s)

kiidab heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad;

t)

annab panuse andmekaitsenõukogu tegevusse;

u)

peab asutusesisest registrit käesoleva määruse rikkumiste ja võetud meetmete kohta, eelkõige kooskõlas artikli 58 lõikega 2 tehtud hoiatuste ja kehtestatud karistuste kohta ning

v)

täidab mis tahes muid isikuandmete kaitsega seotud ülesandeid.

2.   Järelevalveasutus võtab meetmeid lõike 1 punktis b osutatud kaebuste esitamise lihtsustamiseks, näiteks koostab kaebuste esitamise vormi, mida saab täita ka elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3.   Järelevalveasutus täidab oma ülesandeid andmesubjekti ja asjakohasel juhul andmekaitseametniku jaoks tasuta.

4.   Kui taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama taotluse selgelt põhjendamatut või ülemäärast iseloomu.

Artikkel 58

Volitused

1.   Järelevalveasutusel on järgmised uurimisvolitused:

a)

anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

b)

viia läbi uurimisi andmekaitseauditi kujul;

c)

vaadata läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

d)

teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

e)

saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, ning

f)

saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja mis tahes ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2.   Järelevalveasutusel on järgmised parandusvolitused:

a)

hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)

teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)

anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)

anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

e)

anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

f)

kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

g)

anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

h)

võtta sertifikaat tagasi või anda sertifitseerimisasutusele korraldus võtta tagasi artiklite 42 ja 43 alusel väljastatud sertifikaat või anda sertifitseerimisasutusele korraldus jätta sertifikaat väljastamata, kui sertifitseerimise nõuded ei ole täidetud või ei ole enam täidetud;

i)

määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

j)

anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3.   Järelevalveasutusel on järgmised lubavad ja nõuandvad volitused:

a)

nõustada vastutavat töötlejat kooskõlas artiklis 36 osutatud eelneva konsulteerimise menetlusega;

b)

esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele;

c)

anda luba artikli 36 lõikes 5 osutatud töötlemiseks, kui liikmesriigi õigus sellist eelnevat luba nõuab;

d)

esitada arvamus ja kiita heaks toimimisjuhendite kavandid vastavalt artikli 40 lõikele 5;

e)

akrediteerida sertifitseerimisasutused vastavalt artiklile 43;

f)

väljastada sertifikaate ja kiita heaks sertifitseerimise kriteeriumid kooskõlas artikli 42 lõikega 5;

g)

võtta vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud andmekaitse tüüpklauslid;

h)

kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused;

i)

kinnitada artikli 46 lõike 3 punktis b osutatud halduskokkulepped;

j)

kiita heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad.

4.   Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

5.   Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.

6.   Liikmesriik võib seadusega ette näha, et tema järelevalveasutusel on täiendavad volitused lisaks lõigetes 1, 1b ja 1c osutatud volitustele. Volituste kasutamine ei tohi kahjustada VII peatüki tõhusat toimimist.

Artikkel 59

Tegevusaruanne

Järelevalveasutus koostab oma tegevuse kohta aastaaruande, mis võib sisaldada teavitatud rikkumiste ja artikli 58 lõike 2 kohaselt võetud meetmete loetelu. Aruanne edastatakse riigi parlamendile, valitsusele ja muudele liikmesriigi õigusega kindlaks määratud asutustele. Aruanne tehakse kättesaadavaks avalikkusele, Euroopa Komisjonile ja andmekaitsenõukogule.

VII PEATÜKK

Koostöö ja järjepidevus

1. jagu

Koostöö

Artikkel 60

Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö

1.   Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.

2.   Juhtiv järelevalveasutus võib teistelt asjaomastelt järelevalveasutustelt igal ajal nõuda artikli 61 kohase vastastikuse abi osutamist ning läbi viia artikli 62 kohaseid ühisoperatsioone, eelkõige uurimiste läbiviimiseks või teises liikmesriigis asuva vastutava töötleja või volitatud töötleja suhtes võetud meetme rakendamise järelevalveks.

3.   Juhtiv järelevalveasutus edastab küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele. Ta esitab otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võtab asjakohaselt arvesse nende seisukohti.

4.   Kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on käesoleva artikli lõike 3 kohaselt otsuse eelnõu osas konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks artiklis 63 osutatud järjepidevuse mehhanismi raames.

5.   Kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse lõikes 4 osutatud menetlust kahe nädala jooksul.

6.   Juhul kui ükski teine asjaomane järelevalveasutus ei ole juhtiva järelevalveasutuse esitatud otsuse eelnõule lõigetes 4 ja 5 osutatud tähtaja jooksul vastuväidet esitanud, loetakse, et juhtiv järelevalveasutus ja asjaomased järelevalveasutused on otsuse eelnõus kokkuleppele jõudnud ja see on nende jaoks siduv.

7.   Juhtiv järelevalveasutus võtab otsuse vastu ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitab teisi asjaomaseid järelevalveasutusi ja andmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjustest. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.

8.   Erandina lõikest 7, juhul kui kaebus jäetakse rahuldamata või lükatakse tagasi, võtab järelevalveasutus, kellele kaebus esitati, otsuse vastu ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat.

9.   Kui juhtiv järelevalveasutus ja asjaomased järelevalveasutused nõustuvad, et osa kaebusest jäetakse rahuldamata või lükatakse tagasi ja asjaomase kaebuse teine osa võetakse menetlusse, siis võetakse vastu otsus kaebuse menetletava osa kohta. Juhtiv järelevalveasutus võtab vastu otsuse vastutavat töötlejat puudutavate menetlustega seotud osa kohta ja teeb selle teatavaks oma liikmesriigis asuva vastutava töötleja või volitatud töötleja peamisele või ainsale tegevuskohale ning teavitab sellest kaebuse esitajat, samas kui kaebuse esitaja liikmesriigi järelevalveasutus võtab vastu otsuse asjaomase kaebuse rahuldamata jäetud või tagasi lükatud osa kohta ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat või volitatud töötlejat.

10.   Pärast seda, kui juhtiva järelevalveasutuse otsus on lõigete 7 ja 9 kohaselt vastutavale töötlejale või volitatud töötlejale teatavaks tehtud, võtab vastutav töötleja või volitatud töötleja vajalikud meetmed isikuandmete töötlemise toimingute osas tehtud otsuse täitmise tagamiseks kõigis liidus asuvates tegevuskohtades. Vastutav töötleja või volitatud töötleja teavitab otsuse täitmiseks võetud meetmetest juhtivat järelevalveasutust, kes teavitab teisi asjaomaseid järelevalveasutusi.

11.   Kui asjaomasel järelevalveasutusel on erandlike asjaolude korral põhjust arvata, et andmesubjektide huvide kaitsmiseks tuleb tegutseda kiiresti, kohaldatakse artiklis 66 osutatud kiirmenetlust.

12.   Juhtiv järelevalveasutus ja teised asjaomased järelevalveasutused esitavad kõnealuse artikli alusel nõutava teabe üksteisele elektroonilisel teel, kasutades selleks tüüpvormi.

Artikkel 61

Vastastikune abi

1.   Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.

2.   Järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise läbiviimise kohta.

3.   Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatavat teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.

4.   Taotluse saanud järelevalveasutus ei või abitaotluse täitmisest keelduda, välja arvatud juhul, kui

a)

ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või

b)

taotluse täitmine rikuks käesolevat määrust või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigusega.

5.   Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse rahuldamisest keeldumise põhjendused vastavalt lõikele 4.

6.   Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe reeglina elektroonilisel teel, kasutades selleks tüüpvormi.

7.   Taotluse saanud järelevalveasutused vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta. Järelevalveasutused võivad kokku leppida eeskirjades, mille kohaselt nad hüvitavad üksteisele vastastikuse abi osutamisel erandjuhtudel tekkivad konkreetsed kulud.

8.   Kui järelevalveasutus ei esita käesoleva artikli lõikes 5 osutatud teavet ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, võib taotluse esitanud järelevalveasutus võtta oma liikmesriigi territooriumil kooskõlas artikli 55 lõikega 1 vastu ajutise meetme. Sellisel juhul loetakse, et täidetud on artikli 66 lõike 1 kohane kiireloomulise tegutsemise vajadus ning andmekaitsenõukogu peab kiiresti vastu võtma artikli 66 lõike 2 kohase siduva otsuse.

9.   Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige käesoleva artikli lõikes 6 osutatud tüüpvormi. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 62

Järelevalveasutuste ühisoperatsioonid

1.   Järelevalveasutused viivad asjakohasel juhul läbi ühisoperatsioone, sealhulgas ühiseid uurimisi ja ühiseid täitmise tagamise meetmeid, milles osalevad teiste liikmesriikide järelevalveasutuste liikmed või töötajad.

2.   Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui isikuandmete töötlemise toimingud tõenäoliselt võivad oluliselt mõjutada märkimisväärset arvu andmesubjekte rohkem kui ühes liikmesriigis, on kõnealuse liikmesriigi järelevalveasutusel õigus ühisoperatsioonides osaleda. Artikli 56 lõike 1 või 4 kohaselt pädev järelevalveasutus esitab kõnealuse liikmesriigi järelevalveasutusele kutse asjaomastes ühisoperatsioonides osalemiseks ja vastab viivitamata järelevalveasutuse osalemistaotlusele.

3.   Järelevalveasutus võib kooskõlas liikmesriigi õigusega ning lähetava järelevalveasutuse loal anda volitusi, sealhulgas uurimisvolitusi lähetava järelevalveasutuse liikmetele või töötajatele, kes on kaasatud ühisoperatsioonidesse, või, vastuvõtva järelevalveasutuse liikmesriigi õiguses lubatud ulatuses, lubada lähetava järelevalveasutuse liikmetel või töötajatel kasutada oma uurimisvolitusi kooskõlas lähetava järelevalveasutuse liikmesriigi õigusega. Selliseid uurimisvolitusi võib kasutada ainult vastuvõtva järelevalveasutuse juhendamisel ning selle asutuse liikmete või töötajate juuresolekul. Lähetava järelevalveasutuse liikmete või töötajate suhtes kohaldatakse vastuvõtva järelevalveasutuse liikmesriigi õigust.

4.   Kui lähetava järelevalveasutuse töötajad tegutsevad kooskõlas lõikega 1 teises liikmesriigis, on vastuvõtva järelevalveasutuse liikmesriik vastutav nende tegevuse eest, sealhulgas nende poolt läbi viidud operatsioonide käigus põhjustatud mis tahes kahju eest kooskõlas selle liikmesriigi õigusega, kelle territooriumil nad tegutsevad.

5.   Liikmesriik, kelle territooriumil kahju tekitati, hüvitab sellise kahju nendel tingimustel, mida kohaldatakse tema enda töötajate tekitatud kahju puhul. Lähetava järelevalveasutuse liikmesriik, kelle töötajad on tekitanud kahju teise liikmesriigi territooriumil viibivale isikule, hüvitab nimetatud teisele liikmesriigile täielikult kõik summad, mida see on sellistele isikutele tasunud.

6.   Ilma et see piiraks liikmesriikide õiguste kasutamist kolmandate isikute suhtes ja välja arvatud lõike 5 puhul, hoiduvad kõik liikmesriigid nõudmast lõikes 1 sätestatud juhtudel hüvitust teiselt liikmesriigilt seoses lõikes 4 osutatud kahjuga.

7.   Kui kavandatakse ühisoperatsiooni ja järelevalveasutus ei täida ühe kuu jooksul käesoleva artikli lõike 2 teises lauses sätestatud kohustust, võib teine järelevalveasutus võtta vastu ajutise meetme oma liikmesriigi territooriumil vastavalt artiklile 55. Sellisel juhul loetakse, et täidetud on artikli 66 lõike 1 kohane kiireloomulise tegutsemise vajadus ning Euroopa Andmekaitsenõukogu peab artikli 66 lõike 2 kohaselt kiiresti esitama arvamuse või vastu võtma siduva otsuse.

2. jagu

Järjepidevus

Artikkel 63

Järjepidevuse mehhanism

Selleks et aidata käesolevat määrust kogu liidus järjepidevalt kohaldada, teevad järelevalveasutused koostööd üksteisega ja asjakohasel juhul komisjoniga käesolevas jaos sätestatud järjepidevuse mehhanismi kaudu.

Artikkel 64

Andmekaitsenõukogu arvamus

1.   Andmekaitsenõukogu esitab arvamuse alati, kui pädev järelevalveasutus kavatseb vastu võtta mis tahes järgmise meetme. Sellega seoses edastab pädev järelevalveasutus andmekaitsenõukogule otsuse eelnõu, kui

a)

selle eesmärk on võtta vastu selline isikuandmete töötlemise toimingute loetelu, mille puhul kohaldatakse artikli 35 lõike 4 kohast andmekaitsealase mõjuhinnangu nõuet;

b)

see on seotud artikli 40 lõike 7 kohase küsimusega selle kohta, kas toimimisjuhendi kavand või selle muudatused või laiendused on vastavuses käesoleva määrusega;

c)

selle eesmärk on heaks kiita kriteeriumid artikli 41 lõike 3 kohaseks asutuse või artikli 43 lõike 3 kohaseks sertifitseerimisasutuse akrediteerimiseks;

d)

selle eesmärk on määrata kindlaks artikli 46 lõike 2 punktis d ja artikli 28 lõikes 8 osutatud andmekaitse standardklauslid;

e)

selle eesmärk on kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused või

f)

selle eesmärk on kiita heaks siduvad kontsernisisesed eeskirjad artikli 47 tähenduses.

2.   Pädev järelevalveasutus, andmekaitsenõukogu eesistuja või komisjon võib taotleda mis tahes üldkohaldatava või rohkem kui ühes liikmesriigis mõju avaldava küsimuse puhul, et seda käsitleks arvamuse esitamiseks andmekaitsenõukogu, eelkõige juhul, kui pädev järelevalveasutus ei täida vastastikuse abi kohustust vastavalt artiklile 61 või ühisoperatsioonide kohustust vastavalt artiklile 62.

3.   Lõigetes 1 ja 2 osutatud juhtudel esitab andmekaitsenõukogu arvamuse temale edastatud küsimuse kohta, tingimusel et ta ei ole samas küsimuses juba arvamust esitanud. Kõnealune arvamus võetakse vastu kaheksa nädala jooksul andmekaitsenõukogu liikmete lihthäälteenamuse alusel. Seda ajavahemikku võib pikendada kuue nädala võrra, võttes arvesse küsimuse keerukust. Kui lõikes 1 osutatud otsuse eelnõu on andmekaitsenõukogu liikmetele edastatud lõike 5 kohaselt, loetakse, et liige, kes ei ole eesistuja määratud mõistlikuks tähtajaks otsuse eelnõule vastuseisu esitanud, on sellega nõus.

4.   Järelevalveasutused ja komisjon edastavad põhjendamatu viivituseta andmekaitsenõukogule elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas vastavalt vajadusele asjaolude kokkuvõtte, otsuse eelnõu, nimetatud meetme võtmise põhjused ja muude asjaomaste järelevalveasutuste seisukohad.

5.   Andmekaitsenõukogu eesistuja teavitab põhjendamatu viivituseta elektrooniliselt

a)

Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud mis tahes asjakohasest teabest, kasutades selleks tüüpvormi. Andmekaitsenõukogu sekretariaat korraldab vajaduse korral asjaomase teabe tõlkimise, ning

b)

vastavalt vajadusele lõigetes 1 ja 2 osutatud järelevalveasutust ja komisjoni kõnealusest arvamusest ning avalikustab selle.

6.   Pädev järelevalveasutus ei võta lõikes 3 osutatud ajavahemiku jooksul vastu lõikes 1 osutatud otsuse eelnõu.

7.   Lõikes 1 osutatud järelevalveasutus arvestab igakülgselt andmekaitsenõukogu arvamusega ja annab elektroonilisel teel kahe nädala jooksul pärast arvamuse saamist tüüpvormi kasutades andmekaitsenõukogu eesistujale teada, kas ta jääb otsuse eelnõu juurde või muudab seda, ning edastab vajaduse korral muudetud otsuse eelnõu.

8.   Kui asjaomane järelevalveasutus teavitab andmekaitsenõukogu eesistujat käesoleva artikli lõikes 7 osutatud ajavahemiku jooksul, et ta ei kavatse andmekaitsenõukogu arvamust kas tervikuna või osaliselt järgida, ning esitab asjakohased põhjendused, siis kohaldatakse artikli 65 lõiget 1.

Artikkel 65

Vaidluste lahendamine andmekaitsenõukogu poolt

1.   Selleks et tagada käesoleva määruse nõuetekohane ja järjepidev kohaldamine üksikjuhtudel, võtab andmekaitsenõukogu vastu siduva otsuse järgmistel juhtudel:

a)

kui asjaomane järelevalveasutus on artikli 60 lõikes 4 osutatud juhul tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta või kui juhtiv järelevalveasutus on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud. Siduv otsus puudutab kõiki asjakohases ja põhjendatud vastuväites käsitletud küsimusi, eelkõige küsimust, kas on toimunud käesoleva määruse rikkumine;

b)

kui esineb lahkarvamusi selles osas, milline on peamise tegevuskoha jaoks pädev asjaomane järelevalveasutus, ning

c)

kui pädev järelevalveasutus ei taotle andmekaitsenõukogu arvamust käesoleva artikli 64 lõikes 1 osutatud juhtudel või ei järgi andmekaitsenõukogu artikli 64 kohaselt esitatud arvamust. Sellisel juhul võib asjaomane järelevalveasutus või komisjon edastada küsimuse andmekaitsenõukogule.

2.   Lõikes 1 osutatud otsus võetakse vastu ühe kuu jooksul alates sisulise küsimuse esitamisest andmekaitsenõukogu liikmete kahekolmandikulise häälteenamusega. Seda ajavahemikku võib pikendada ühe kuu võrra, võttes arvesse küsimuse keerukust. Lõikes 1 osutatud otsus on põhjendatud, see edastatakse juhtivale järelevalveasutusele ja kõigile asjaomastele järelevalveasutustele ning on neile siduv.

3.   Juhul kui andmekaitsenõukogu ei ole suutnud lõikes 2 osutatud aja jooksul otsust vastu võtta, võtab ta kahe nädala jooksul pärast lõikes 2 osutatud teise kuu möödumist otsuse vastu andmekaitsenõukogu liikmete lihthäälteenamusega. Kui andmekaitsenõukogu liikmete hääled jagunevad võrdselt, on otsuse vastuvõtmisel määrav eesistuja hääl.

4.   Asjaomased järelevalveasutused ei võta lõigetes 2 ja 3 osutatud ajavahemike jooksul vastu otsust andmekaitsenõukogule lõike 1 kohaselt esitatud sisulises küsimuses.

5.   Andmekaitsenõukogu eesistuja teavitab lõikes 1 osutatud otsusest põhjendamatu viivituseta asjaomaseid järelevalveasutusi. Ta teatab sellest komisjonile. Otsus avaldatakse andmekaitsenõukogu veebisaidil viivituseta pärast seda, kui järelevalveasutus on teavitanud lõikes 6 osutatud lõplikust otsusest.

6.   Vastavalt olukorrale kas juhtiv järelevalveasutus või see järelevalveasutus, kellele kaebus esitati, võtab käesoleva artikli lõikes 1 osutatud otsuse alusel vastu oma lõpliku otsuse, tehes seda põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul alates sellest, kui andmekaitsenõukogu on oma otsusest teavitanud. Vastavalt olukorrale kas juhtiv järelevalveasutus või see järelevalveasutus, kellele kaebus esitati, teavitab andmekaitsenõukogu, millisel kuupäeval tehakse tema lõplik otsus teatavaks vastutavale töötlejale või volitatud töötlejale ja andmesubjektile. Asjaomaste järelevalveasutuste lõplik otsus võetakse vastu artikli 60 lõigete 7, 8 ja 9 tingimuste kohaselt. Lõplikus otsuses viidatakse käesoleva artikli lõikes 1 osutatud otsusele ja märgitakse, et lõikes 1 osutatud otsus avaldatakse kooskõlas käesoleva artikli lõikega 5 andmekaitsenõukogu veebisaidil. Lõplikule otsusele lisatakse käesoleva artikli lõikes 1 osutatud otsus.

Artikkel 66

Kiirmenetlus

1.   Erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, võib ta erandina artiklites 63, 64 ja 65 osutatud järjepidevuse mehhanismist või artiklis 60 osutatud menetlusest võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud. Järelevalveasutus edastab kõnealused meetmed ja nende vastuvõtmise põhjendused viivitamata teistele asjaomastele järelevalveasutustele, andmekaitsenõukogule ja komisjonile.

2.   Kui järelevalveasutus on võtnud lõike 1 kohase meetme ja leiab, et lõplikud meetmed tuleb kiiresti vastu võtta, võib ta andmekaitsenõukogult taotleda kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, põhjendades sellise arvamuse või otsuse taotlemist.

3.   Järelevalveasutus võib andmekaitsenõukogult taotleda vastavalt olukorrale kas kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, kui pädev järelevalveasutus ei ole võtnud asjakohast meedet olukorras, kus andmesubjektide õiguste ja vabaduste kaitseks tuleb kiiresti tegutseda, esitades sellise arvamuse või otsuse taotlemise ja kiire tegutsemise vajaduse põhjused.

4.   Erandina artikli 64 lõikest 3 ja artikli 65 lõikest 2 võetakse käesoleva artikli lõigetes 2 ja 3 osutatud kiireloomuline arvamus või kiireloomuline siduv otsus vastu kahe nädala jooksul andmekaitsenõukogu liikmete lihthäälteenamusega.

Artikkel 67

Teabevahetus

Komisjon võib vastu võtta üldist laadi rakendusaktid, et määrata kindlaks järelevalveasutuste omavahelise ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelise elektroonilise teabevahetuse korraldus, eelkõige artiklis 64 osutatud tüüpvorm.

Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

3. jagu

Euroopa andmekaitsenõukogu

Artikkel 68

Euroopa Andmekaitsenõukogu

1.   Euroopa Andmekaitsenõukogu („andmekaitsenõukogu“) luuakse Euroopa Liidu ametina ja tal on juriidilise isiku staatus.

2.   Andmekaitsenõukogu esindab selle eesistuja.

3.   Andmekaitsenõukogu koosneb iga liikmesriigi ühe järelevalveasutuse juhatajast ja Euroopa Andmekaitseinspektorist või nende vastavatest esindajatest.

4.   Kui liikmesriigis on rohkem kui üks järelevalveasutus, kes vastutab käesoleva määruse kohaldamise järelevalve eest, määratakse kooskõlas asjaomase liikmesriigi õigusega nende ühine esindaja.

5.   Komisjonil on õigus osaleda andmekaitsenõukogu tegevuses ja kohtumistel ilma hääleõiguseta. Komisjon määrab oma esindaja. Andmekaitsenõukogu eesistuja teavitab komisjoni andmekaitsenõukogu tegevusest.

6.   Artiklis 65 osutatud juhtudel on Euroopa Andmekaitseinspektoril hääleõigus ainult nende otsuste üle hääletamisel, mis käsitlevad liidu institutsioonide, organite ja asutuste suhtes kohaldatavaid põhimõtteid ja eeskirju, mis vastavad sisuliselt käesoleva määruse põhimõtetele ja eeskirjadele.

Artikkel 69

Sõltumatus

1.   Andmekaitsenõukogu tegutseb artiklites 70 ja 71 sätestatud ülesannete täitmisel ja volituste kasutamisel sõltumatult.

2.   Ilma et see piiraks komisjoni taotlusi, millele osutatakse artikli 70 lõike 1 punktis b ja artikli 70 lõikes 2, ei küsi ega võta andmekaitsenõukogu oma ülesannete täitmisel või volituste kasutamisel vastu juhiseid mitte kelleltki.

Artikkel 70

Andmekaitsenõukogu ülesanded

1.   Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)

jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)

nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)

nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)

annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)

vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

g)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

i)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)

koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)

jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)

ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

o)

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)

täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)

esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)

esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

s)

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)

esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)

edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)

edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)

edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)

esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)

peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2.   Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3.   Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4.   Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

Artikkel 71

Aruanded

1.   Andmekaitsenõukogu koostab aastaaruande, kus käsitletakse füüsiliste isikute kaitset seoses isikuandmete töötlemisega liidus ning asjakohasel juhul kolmandates riikides ja rahvusvahelistes organisatsioonides. See aruanne avalikustatakse ning edastatakse Euroopa Parlamendile, nõukogule ja komisjonile.

2.   Aastaaruanne sisaldab ülevaadet artikli 70 lõike 1 punktis l osutatud suuniste, soovituste ja parimate tavade ning artiklis 65 osutatud siduvate otsuste tegeliku kohaldamise kohta.

Artikkel 72

Menetlus

1.   Andmekaitsenõukogu teeb otsused liikmete lihthäälteenamuse alusel, kui käesolevas määruses ei ole sätestatud teisiti.

2.   Andmekaitsenõukogu võtab oma töökorra vastu liikmete kahekolmandikulise häälteenamusega ja paneb paika oma töökorralduse.

Artikkel 73

Eesistuja

1.   Andmekaitsenõukogu valib lihthäälteenamusega oma liikmete seast eesistuja ja kaks eesistuja asetäitjat.

2.   Eesistuja ja tema asetäitjate ametiaeg on viis aastat ja neid võib ühe korra ametisse tagasi nimetada.

Artikkel 74

Eesistuja ülesanded

1.   Eesistujal on järgmised ülesanded:

a)

kutsuda kokku andmekaitsenõukogu koosolekud ja valmistada ette päevakord;

b)

teavitada artikli 65 kohaselt andmekaitsenõukogu poolt vastu võetud otsustest juhtivat järelevalveasutust ja asjaomaseid järelevalveasutusi;

c)

tagada andmekaitsenõukogu ülesannete õigeaegne täitmine, eelkõige seoses artiklis 63 osutatud järjepidevuse mehhanismiga.

2.   Andmekaitsenõukogu näeb oma töökorras ette ülesannete jaotuse eesistuja ja tema asetäitjate vahel.

Artikkel 75

Sekretariaat

1.   Andmekaitsenõukogul on sekretariaat, kelle töö tagab Euroopa Andmekaitseinspektor.

2.   Sekretariaat järgib oma ülesannete täitmisel ainult andmekaitsenõukogu eesistuja juhiseid.

3.   Euroopa Andmekaitseinspektori töötajatel, kes täidavad andmekaitsenõukogule käesoleva määrusega antud ülesandeid, ja Euroopa Andmekaitseinspektori töötajatel, kes täidavad Euroopa Andmekaitseinspektorile antud ülesandeid, on eraldi aruandlusahelad.

4.   Kui see on asjakohane, koostavad ja avaldavad andmekaitsenõukogu ja Euroopa Andmekaitseinspektor käesoleva artikli rakendamiseks vastastikuse mõistmise memorandumi, milles määratakse kindlaks nende koostöö kord ja mis on kohaldatav Euroopa Andmekaitseinspektori töötajate suhtes, kes on seotud andmekaitsenõukogule käesoleva määrusega antud ülesannete täitmisega.

5.   Sekretariaat pakub andmekaitsenõukogule analüütilist, halduslikku ja logistilist tuge.

6.   Sekretariaat vastutab eelkõige järgmise eest:

a)

andmekaitsenõukogu igapäevane tegevus;

b)

suhtlemine andmekaitsenõukogu liikmete, selle eesistuja ja komisjoni vahel;

c)

teabevahetus teiste institutsioonide ja üldsusega;

d)

elektrooniliste vahendite kasutamine sise- ja välissuhtluses;

e)

asjaomase teabe tõlkimine;

f)

andmekaitsenõukogu koosolekute ettevalmistamine ja järelmeetmed;

g)

andmekaitsenõukogu poolt vastu võetud arvamuste, järelevalveasutuste vahelisi vaidlusi käsitlevate otsuste ja muude dokumentide ettevalmistamine, koostamine ja avaldamine.

Artikkel 76

Konfidentsiaalsus

1.   Kui andmekaitsenõukogu peab seda vajalikuks, on tema arutelud konfidentsiaalsed, nagu on ette nähtud töökorras.

2.   Juurdepääsu dokumentidele, mis on esitatud andmekaitsenõukogu liikmetele, ekspertidele ja kolmandate isikute esindajatele, reguleeritakse Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 1049/2001 (21).

VIII PEATÜKK

Õiguskaitsevahendid, vastutus ja karistused

Artikkel 77

Õigus esitada järelevalveasutusele kaebus

1.   Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.

2.   Järelevalveasutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest.

Artikkel 78

Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu

1.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

2.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artiklite 55 ja 56 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 77 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.

3.   Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.

4.   Kui menetlus algatatakse järelevalveasutuse otsuse vastu, millele eelnes järjepidevuse mehhanismi kohane andmekaitsenõukogu arvamus või otsus, edastab järelevalveasutus selle arvamuse või otsuse kohtule.

Artikkel 79

Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu

1.   Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.

2.   Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja või volitatud töötleja on liikmesriigi avalikku võimu teostav avaliku sektori asutus.

Artikkel 80

Andmesubjektide esindamine

1.   Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

2.   Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.

Artikkel 81

Menetluse peatamine

1.   Kui liikmesriigi pädeval kohtul on teavet, et teise liikmesriigi kohtus toimub sama vastutava töötleja või volitatud töötleja töötlemistegevusega seoses samasisuline menetlus, võtab ta ühendust teise liikmesriigi kohtuga, et saada kinnitust sellise menetluse olemasolust.

2.   Kui teise liikmesriigi kohtus toimub sama vastutava töötleja või volitatud töötleja töötlemistegevusega seoses samasisuline menetlus, võib pädev kohus, välja arvatud kohus, kuhu pöörduti esimesena, oma menetluse peatada.

3.   Kui menetlus toimub esimese astme kohtus, võib kohus, välja arvatud kohus, kuhu pöörduti esimesena, ühe menetlusosalise taotlusel ka pädevusest keelduda, kui kohus, kuhu pöörduti esimesena, on kõnealustes asjades pädev ja kui asjaomase liikmesriigi õigus võimaldab neid kohtuasju liita.

Artikkel 82

Õigus hüvitisele ja vastutus

1.   Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2.   Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.

3.   Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

4.   Kui sama töötlemisega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja või nii vastutav kui ka volitatud töötleja ning nad on lõigete 2 ja 3 kohaselt vastutavad töötlemisega tekitatud kahju eest, võetakse vastutav töötleja või volitatud töötleja vastutusele kogu kahju eest, et tagada andmesubjektile tõhus hüvitamine.

5.   Kui vastutav töötleja või volitatud töötleja on tekitatud kahju kooskõlas lõikega 4 täielikult hüvitanud, on sellel vastutaval töötlejal või volitatud töötlejal õigus nõuda teistelt sama töötlemisega seotud vastutavatelt või volitatud töötlejatelt tagasi see hüvitise osa, mis vastab lõikes 2 sätestatud tingimuste kohaselt sellele osale kahjust, mille eest nemad vastutavad.

6.   Kohtumenetlus hüvitise saamise õiguse kasutamiseks algatatakse artikli 79 lõikes 2 osutatud liikmesriigi õiguse kohaselt pädevas kohtus.

Artikkel 83

Trahvide määramise üldtingimused

1.   Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2.   Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)

rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)

kas rikkumine pandi toime tahtlikult või hooletusest;

c)

vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)

vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)

vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)

järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)

rikkumisest mõjutatud isikuandmete liigid;

h)

millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)

kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)

artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)

juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3.   Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)

vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)

sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)

järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

5.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)

töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)

andmesubjektide õigused artiklite 12–22 alusel;

c)

isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)

mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)

järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

6.   Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7.   Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8.   Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

9.   Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja järelevalveasutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul on määratavad trahvid tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni oma käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 84

Karistused

1.   Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.

2.   Liikmesriik teavitab komisjoni hiljemalt 25. maiks 2018 vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist neid õigusnorme mõjutavatest muudatustest.

IX PEATÜKK

Isikuandmete töötlemise eriolukordi käsitlevad sätted

Artikkel 85

Isikuandmete töötlemine ning sõna- ja teabevabadus

1.   Liikmesriigid ühitavad õigusaktiga käesoleva määruse kohase õiguse isikuandmete kaitsele ning sõna- ja teabevabaduse õiguse, muu hulgas seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks.

2.   Seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks näevad liikmesriigid ette vabastusi või erandeid II peatükist (põhimõtted), III peatükist (andmesubjekti õigused), IV peatükist (vastutav töötleja ja volitatud töötleja), V peatükist (isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele), VI peatükist (sõltumatud järelevalveasutused), VII peatükist (koostöö ja järjepidevus) ja IX peatükist (andmetöötluse eriolukorrad), kui need on vajalikud, et ühitada õigus isikuandmete kaitsele sõna- ja teabevabadusega.

3.   Liikmesriik teavitab komisjoni vastavalt lõikele 2 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 86

Isikuandmete töötlemine ja üldsuse juurdepääs ametlikele dokumentidele

Avaliku sektori asutus või avaliku sektori organ või erasektori organ võib avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas liidu õigusega või kõnealusele avaliku sektori asutusele või organile kohaldatava liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja käesoleva määruse kohane õigus isikuandmete kaitsele.

Artikkel 87

Riikliku isikukoodi töötlemine

Liikmesriigid võivad täiendavalt kindlaks määrata konkreetsed tingimused, mille kohaselt võib töödelda riiklikku isikukoodi või muud üldkasutatavat tunnust. Sellisel juhul kasutatakse riiklikku isikukoodi või muud üldkasutatavat tunnust üksnes vastavalt asjakohastele kaitsemeetmetele, mis on sätestatud andmesubjekti õiguste ja vabaduste tagamiseks käesoleva määruse kohaselt.

Artikkel 88

Isikuandmete töötlemine töösuhete kontekstis

1.   Liikmesriigid võivad õigusaktide või kollektiivlepingutega ette näha täpsemad eeskirjad, et tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis, eelkõige seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega, tööandja või kliendi vara kaitsega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ning töösuhte lõppemisega.

2.   Need eeskirjad sisaldavad sobivaid ja konkreetseid meetmeid, et kaitsta andmesubjekti inimväärikust, õigustatud huve ja põhiõigusi, eelkõige seoses töötlemise läbipaistvusega, isikuandmete edastamisega kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt ning järelevalvesüsteemidega töökohal.

3.   Liikmesriik teavitab komisjoni hiljemalt 25. maiks 2018 vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muudatustest.

Artikkel 89

Kaitsemeetmed ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil

1.   Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

2.   Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

3.   Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18, 19, 20 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4.   Kui lõigetes 2 ja 3 osutatud töötlemist kasutatakse samal ajal muudel eesmärkidel, võib tehtavaid erandeid kohaldada üksnes nendes lõigetes osutatud eesmärgil tehtavale töötlemisele.

Artikkel 90

Saladuse hoidmise kohustused

1.   Liikmesriigid võivad vastu võtta erieeskirju, et kehtestada artikli 58 lõike 1 punktides e ja f sätestatud järelevalveasutuste volitused seoses vastutavate töötlejate või volitatud töötlejatega, kellel on liidu või liikmesriigi õiguse või riiklike pädevate asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, kui see on vajalik ja proportsionaalne, et ühitada isikuandmete kaitse õigus ja saladuse hoidmise kohustus. Neid eeskirju kohaldatakse üksnes nende isikuandmete suhtes, mida vastutav töötleja või volitatud töötleja on saanud saladuse hoidmise kohustusega hõlmatud tegevuse käigus.

2.   Liikmesriik teavitab hiljemalt 25. maiks 2018 komisjoni vastavalt käesoleva artikli lõikele 1 vastu võetud eeskirjadest ning viivitamata kõigist hilisematest neid eeskirju mõjutavatest muudatustest.

Artikkel 91

Kirikute ja usuühenduste suhtes kehtivad andmekaitsenormid

1.   Kui käesoleva määruse jõustumise ajal kohaldavad liikmesriigi kirikud ja usuühendused või -kogukonnad põhjalikke eeskirju, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, võib nende eeskirjade kohaldamist jätkata tingimusel, et need viiakse kooskõlla käesoleva määrusega.

2.   Kirikuid ja usuühendusi, kes kohaldavad põhjalikke eeskirju kooskõlas käesoleva artikli lõikega 1, kontrollib sõltumatu järelevalveasutus, mis võib olla üks kindel asutus, kui ta vastab käesoleva määruse VI peatükis sätestatud tingimustele.

X PEATÜKK

Delegeeritud õigusaktid ja rakendusaktid

Artikkel 92

Delegeeritud volituste rakendamine

1.   Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

2.   Artikli 12 lõikes 8 ja artikli 43 lõikes 8 osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile määramata ajaks alates 24. maist 2016.

3.   Euroopa Parlament ja nõukogu võivad artikli 12 lõikes 8 ja artikli 43 lõikes 8 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

4.   Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

5.   Artikli 12 lõike 8 ja artikli 43 lõike 8 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kolme kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kolme kuu võrra.

Artikkel 93

Komiteemenetlus

1.   Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2.   Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

3.   Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.

XI PEATÜKK

Lõppsätted

Artikkel 94

Direktiivi 95/46/EÜ kehtetuks tunnistamine

1.   Direktiiv 95/46/EÜ tunnistatakse kehtetuks alates 25. maist 2018.

2.   Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi 95/46/EÜ artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.

Artikkel 95

Seos direktiiviga 2002/58/EÜ

Käesoleva määrusega ei panda füüsilistele ega juriidilistele isikutele lisakohustusi isikuandmete töötlemise suhtes, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega üldkasutatavates sidevõrkudes liidus ja mis on seotud küsimustega, mille puhul kehtivad nende suhtes direktiivis 2002/58/EÜ sätestatud erikohustused, millel on sama eesmärk.

Artikkel 96

Seos varem sõlmitud lepingutega

Isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist hõlmavad rahvusvahelised lepingud, mille liikmesriigid sõlmisid enne 24. maid 2016 ja mis on vastavuses enne nimetatud kuupäeva kohaldatava liidu õigusega, jäävad jõusse kuni nende muutmise, asendamise või tühistamiseni.

Artikkel 97

Komisjoni aruanded

1.   Komisjon esitab Euroopa Parlamendile ja nõukogule hiljemalt 25. maiks 2020 ning seejärel iga nelja aasta järel aruande käesoleva määruse hindamise ja läbivaatamise kohta. Aruanded avalikustatakse.

2.   Lõikes 1 osutatud hindamiste ja läbivaatamiste raames kontrollib komisjon eelkõige järgmise kohaldamist ja toimimist:

a)

isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist käsitlev V peatükk, eelkõige seoses käesoleva määruse artikli 45 lõike 3 kohaselt vastu võetud otsustega ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsustega;

b)

koostööd ja järjepidevust käsitlev VII peatükk.

3.   Lõike1 kohaldamisel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt.

4.   Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste organite ja allikate seisukohti ja tähelepanekuid.

5.   Komisjon esitab vajaduse korral asjakohased ettepanekud käesoleva määruse muutmiseks, eelkõige võttes arvesse infotehnoloogia ja infoühiskonna arengut.

Artikkel 98

Liidu muude andmekaitsealaste õigusaktide läbivaatamine

Kui see on asjakohane, esitab komisjon seadusandlikud ettepanekud isikuandmete kaitset käsitlevate liidu muude õigusaktide muutmiseks, et tagada füüsiliste isikute ühtne ja järjekindel kaitse seoses isikuandmete töötlemisega. Eelkõige puudutab see eeskirju, mis käsitlevad füüsiliste isikute kaitset seoses isikuandmete töötlemisega liidu institutsioonide, organite ja asutuste poolt ning selliste andmete vaba liikumist.

Artikkel 99

Jõustumine ja kohaldamine

1.   Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2.   Seda kohaldatakse alates 25. maist 2018.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 27. aprill 2016

Euroopa Parlamendi nimel

president

M. SCHULZ

Nõukogu nimel

eesistuja

J.A. HENNIS-PLASSCHAERT


(1)  ELT C 229, 31.7.2012, lk 90.

(2)  ELT C 391, 18.12.2012, lk 127.

(3)  Euroopa Parlamendi 12. märtsi 2014. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. aprilli 2016. aasta esimese lugemise seisukoht (Euroopa Liidu Teatajas seni avaldamata). Euroopa Parlamendi 14. aprilli 2016. aasta seisukoht.

(4)  Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).

(5)  Komisjoni 6. mai 2003. aasta soovitus mikro-, väikeste ja keskmiste suurusega ettevõtjate määratluse kohta (C(2003)1422) (ELT L 124, 20.5.2003, lk 36).

(6)  Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(7)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680 füüsiliste isikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (vt käesoleva Euroopa Liidu Teataja lk 89).

(8)  Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiiv 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (EÜT L 178, 17.7.2000, lk 1).

(9)  Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).

(10)  Nõukogu 5. aprilli 1993. aasta direktiiv 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT L 95, 21.4.1993, lk 29).

(11)  Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määrus (EÜ) nr 1338/2008 rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta (ELT L 354, 31.12.2008, lk 70).

(12)  Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(13)  Euroopa Parlamendi ja nõukogu 12. detsembri 2012. aasta määrus (EL) nr 1215/2012 kohtualluvuse ning kohtuotsuste tunnustamise ja täitmise kohta tsiviil- ja kaubandusasjades (ELT L 351, 20.12.2012, lk 1).

(14)  Euroopa Parlamendi ja nõukogu 17. novembri 2003. aasta direktiiv 2003/98/EÜ avaliku sektori valduses oleva teabe taaskasutamise kohta (ELT L 345, 31.12.2003, lk 90).

(15)  Euroopa Parlamendi ja nõukogu 16. aprilli 2014. aasta määrus (EL) nr 536/2014, milles käsitletakse inimtervishoius kasutatavate ravimite kliinilisi uuringuid ja millega tunnistatakse kehtetuks direktiiv 2001/20/EÜ (ELT L 158, 27.5.2014, lk 1).

(16)  Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta määrus (EÜ) nr 223/2009 Euroopa statistika kohta ning Euroopa Parlamendi ja nõukogu määruse (EÜ, Euratom) nr 1101/2008 (konfidentsiaalsete statistiliste andmete Euroopa Ühenduste Statistikaametile edastamise kohta), nõukogu määruse (EÜ) nr 322/97 (ühenduse statistika kohta) ja nõukogu otsuse 89/382/EMÜ, Euratom (millega luuakse Euroopa ühenduste statistikaprogrammi komitee) kehtetuks tunnistamise kohta (ELT L 87, 31.3.2009, lk 164).

(17)  ELT C 192, 30.6.2012, lk 7.

(18)  Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(19)  Euroopa Parlamendi ja nõukogu 9. septembri 2015. aasta direktiiv (EL) 2015/1535, millega nähakse ette tehnilistest eeskirjadest ning infoühiskonna teenuste eeskirjadest teatamise kord (ELT L 241, 17.9.2015, lk 1).

(20)  Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 765/2008, millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30).

(21)  Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43).


DIREKTIIVID

4.5.2016   

ET

Euroopa Liidu Teataja

L 119/89


EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2016/680,

27. aprill 2016,

mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Regioonide Komitee arvamust (1),

toimides seadusandliku tavamenetluse kohaselt (2)

ning arvestades järgmist:

(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2)

Isikuandmete töötlemisele kohaldatavad füüsiliste isikute kaitse põhimõtted ja normid peaks füüsiliste isikute kodakondsusest ja elukohast sõltumata austama nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Käesoleva direktiivi eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala lõplikule väljakujundamisele.

(3)

Kiire tehnoloogiline areng ja üleilmastumine on toonud isikuandmete kaitsesse uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab selliste tegevuste puhul nagu süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine ning kriminaalkaristuste täitmisele pööramine töödelda isikuandmeid enneolematus ulatuses.

(4)

Süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil tuleks hõlbustada pädevate asutuste vahelist isikuandmete vaba liikumist liidus, nagu ka selliste isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, tagades samal ajal isikuandmete kõrgetasemelise kaitse. Selleks on vaja liidus luua tugev ja ühtsem isikuandmete kaitse raamistik, mida toetab tõhus täitmise tagamine.

(5)

Isikuandmete töötlemisele liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (3). Nimetatud direktiivi ei kohaldata siiski isikuandmete töötlemisele sellise tegevuse käigus, mis ei kuulu ühenduse õiguse kohaldamisalasse, nagu näiteks tegevus kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

(6)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas kohaldatakse nõukogu raamotsust 2008/977/JSK (4). Kõnealuse raamotsuse kohaldamisala on piiratud liikmesriikide vahel edastatud ja kättesaadavaks tehtud isikuandmete töötlemisega.

(7)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö tõhususe huvides on eriti oluline tagada füüsiliste isikute isikuandmete järjekindel kõrgetasemeline kaitse ja hõlbustada isikuandmete vahetamist liikmesriikide pädevate asutuste vahel. Selleks peaks kõikides liikmesriikides olema ühesugune füüsiliste isikute õiguste ja vabaduste kaitse tase isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada andmesubjektide õigusi ning isikuandmeid töötlevate isikute kohustusi, aga ka volitusi isikuandmete kaitse normide järgimise järelevalveks ja tagamiseks liikmesriikides.

(8)

ELi toimimise lepingu artikli 16 lõikes 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama õigusnorme füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega, samuti isikuandmete vaba liikumist käsitlevaid õigusnorme.

(9)

Sellest lähtudes sätestab Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (5) üldised normid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus.

(10)

Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus ELi toimimise lepingu artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades.

(11)

Seetõttu on asjakohane reguleerida kõnealuseid valdkondi direktiiviga, mis sätestab erinormid, mis käsitlevad füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, võttes arvesse kõnealuste tegevuste eripära. Sellised pädevad asutused võivad olla mitte üksnes avaliku sektori asutused nagu õigusasutused, politsei ja teised õiguskaitseasutused, vaid ka kõik muud asutused või üksused, kes teostavad liikmesriigi õiguse kohaselt avalikku võimu käesoleva direktiivi kohaldamisel. Kui selline asutus või üksus töötleb isikuandmeid muul eesmärgil kui käesoleva direktiivi kohaldamine, kohaldatakse määrust (EL) 2016/679. Seepärast kohaldatakse määrust (EL) 2016/679 juhul, kui asutus või üksus kogub isikuandmeid muul eesmärgil ja täiendavalt töötleb kõnealuseid isikuandmeid oma juriidilise kohustuse täitmiseks. Näiteks finantsasutused säilitavad süütegude uurimiseks või avastamiseks või nende eest vastutusele võtmiseks teatavaid nende poolt töödeldavaid isikuandmeid ning nad teevad need isikuandmed kättesaadavaks ainult pädevatele riigiasutustele erijuhtudel ja kooskõlas liikmesriigi õigusega. Asutus või üksus, kes töötleb isikuandmeid nende asutuste nimel käesoleva direktiivi kohaldamisala piires, peaks olema seotud lepingu või õigusaktiga ning tema suhtes tuleks kohaldada käesolevast direktiivist tulenevaid vastutavate töötlejate suhtes kohaldatavaid sätteid, kusjuures ei mõjutata määruse (EL) 2016/679 kohaldamist vastutava töötleja poolt isikuandmete töötlemisele väljaspool käesoleva direktiivi kohaldamisala.

(12)

Politsei või muude õiguskaitseasutuste tegevus, sealhulgas politsei toimingud juhul, kui eelnevalt pole teada, kas tegemist on süüteoga, keskenduvad peamiselt süütegude tõkestamisele, uurimisele, avastamisele või nende eest vastutusele võtmisele. Selline tegevus võib hõlmata ka avaliku võimu teostamist sunnimeetmete võtmisega, näiteks politsei tegevus demonstratsioonidel, suurtel spordiüritustel ja massirahutustel. Selline tegevus hõlmab ka avaliku korra säilitamist, mis on politseile või muule õiguskaitseasutusele antud ülesanne, et vajaduse korral kaitsta avalikku julgeolekut ja seadusega kaitstavaid ühiskonna põhihuve selliste ohtude eest ja hoida ära selliste ohtude teke avalikule julgeolekule ja seadusega kaitstavatele ühiskonna põhihuvidele, mis võivad viia süüteo toimepanemiseni. Liikmesriigid võivad anda pädevatele asutustele muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, määruse (EL) 2016/679 kohaldamisalasse.

(13)

Süüteo mõiste käesoleva direktiivi tähenduses peaks olema liidu õiguse autonoomne mõiste, nagu seda on tõlgendanud Euroopa Liidu Kohus („Euroopa Kohus“).

(14)

Kuna käesolevat direktiivi ei tohiks kohaldada isikuandmete töötlemisele sellise tegevuse käigus, mis jääb liidu õiguse kohaldamisalast väljapoole, ei tohiks käesoleva direktiivi kohaldamisalasse kuuluva tegevusena käsitada riikliku julgeolekuga seotud tegevust, riikliku julgeoleku küsimustega tegelevate asutuste või üksuste tegevust ning isikuandmete töötlemist liikmesriikide poolt Euroopa Liidu lepingu (ELi leping) V jaotise 2. peatüki kohaldamisalasse kuuluva tegevuse käigus.

(15)

Selleks et tagada kogu liidus ühesugune füüsiliste isikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks käesolevas direktiivis sätestada ühtsed normid süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise, kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta. Liikmesriikide õigusaktide ühtlustamine ei tohiks viia isikuandmete kaitse taseme langemiseni, vaid sellega tuleks püüda tagada kõrgetasemeline kaitse kogu liidus. Liikmesriikidel ei tohiks keelata näha ette rangemaid kaitsemeetmeid kui need, mis on kehtestatud käesolevas direktiivis, andmesubjekti õiguste ja vabaduste kaitseks seoses isikuandmete töötlemisega pädevate asutuste poolt.

(16)

Käesolev direktiiv ei piira põhimõtte kohaldamist, mis käsitleb üldsuse juurdepääsu ametlikele dokumentidele. Määruse (EL) 2016/679 kohaselt võib avaliku sektori asutus või avaliku sektori organ või erasektori organ avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas kõnealusele avaliku sektori asutusele või organile kohaldatava liidu või liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja õigus isikuandmete kaitsele.

(17)

Käesoleva direktiiviga pakutavat kaitset tuleks kohaldada füüsiliste isikute isikuandmete töötlemisele, olenemata nende kodakondsusest või elukohast.

(18)

Selleks et vältida normide täitmisest kõrvalehoidmise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest. Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva direktiivi kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole spetsiifiliste kriteeriumide kohaselt korrastatud, ega nende esilehed.

(19)

Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. Määrust (EÜ) nr 45/2001 ja muid sellise isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada määrusega (EL) 2016/679 sätestatud põhimõtetele ja normidele.

(20)

Käesolev direktiiv ei takista liikmesriike täpsustamast nende kriminaalmenetlust käsitlevates õigusnormides kohtute ja muude õigusasutuste poolt isikuandmete töötlemise toiminguid ja menetlusi, eelkõige seoses kohtuotsustes sisalduvate isikuandmetega või kriminaalmenetluse toimikutega.

(21)

Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või muu isik võib füüsilise isiku otseseks või kaudseks tuvastamiseks tõenäoliselt kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks kasutatakse tõenäoliselt vahendeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse isikuandmete töötlemise ajal kättesaadavat tehnoloogiat ning tehnoloogia arengut. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, s.o teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada.

(22)

Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt juriidilisele kohustusele täita oma ametiülesandeid, näiteks maksu- ja tolliasutused, finantsuurimisüksused, sõltumatud haldusasutused või finantsturuasutused, kes vastutavad väärtpaberiturgude reguleerimise ja järelevalve eest, ei tohiks pidada vastuvõtjateks, kui nad saavad isikuandmeid, mida vajatakse üldistes huvides konkreetse päringu tegemiseks kooskõlas liidu või liikmesriigi õigusega. Avaliku sektori asutuste saadetavad andmete avaldamise taotlused peaksid olema alati kirjalikud, põhjendatud ja juhtumipõhised ning need ei tohiks puudutada kogu andmete kogumit või põhjustada andmete kogumite omavahelist ühendamist. Nimetatud avaliku sektori asutused peaksid isikuandmeid töötlema kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele.

(23)

Geneetilised andmed tuleks määratleda isikuandmetena, mis seonduvad füüsilise isiku päritud või omandatud geneetiliste omadustega ning mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia või tervise kohta ning mis saadakse asjaomase füüsilise isiku bioloogilise proovi analüüsist, iseäranis kromosoom-, desoksüribonukleiinhappe (DNA) või ribonukleiinhappe (RNA) analüüsist või muu elemendi analüüsist, mis võimaldab saada samaväärset teavet. Arvestades geneetiliste andmete keerukust ja tundlikkust, on suur oht, et vastutav töötleja väär- ja taaskasutab andmeid erinevatel eesmärkidel. Igasugune geneetilistel omadustel põhinev diskrimineerimine peaks olema põhimõtteliselt keelatud.

(24)

Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti terviseseisundit puudutavad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse terviseseisundi kohta. See hõlmab teavet füüsilise isiku kohta, mis on kogutud füüsilise isiku tervishoiuteenuste registreerimise või talle tervishoiuteenuste osutamise käigus, nagu on osutatud Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL; (7) numbrit, tähist või eritunnust, mis on füüsilisele isikule määratud tema kordumatuks tuvastamiseks tervisega seotud eesmärkidel; teavet, mis on saadud mingi kehaosa või kehast pärineva aine, sealhulgas geneetiliste andmete ja bioloogiliste proovide kontrollimise või uurimise tulemusena; ja teavet näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi või andmesubjekti füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata sellest, millisest allikast see on saadud (näiteks arstilt või muult tervishoiutöötajalt, haiglalt, meditsiiniseadmest või in vitro diagnostikast).

(25)

Kõik liikmesriigid on Rahvusvahelise Kriminaalpolitsei Organisatsiooni (Interpol) liikmed. Oma ülesannete täitmiseks kogub, säilitab ja levitab Interpol isikuandmeid, mis aitavad pädevatel asutustel ennetada rahvusvahelist kuritegevust ning selle vastu võidelda. Seetõttu on asjakohane tugevdada liidu ja Interpoli vahelist koostööd, soodustades tõhusat isikuandmete vahetust, tagades samas põhiõiguste ja -vabaduste austamise isikuandmete automaatsel töötlemisel. Kui isikuandmeid edastatakse liidust Interpoli ja riikidele, kes on Interpoli koosseisu liikmeid delegeerinud, tuleks kohaldada käesolevat direktiivi, eelkõige andmete rahvusvahelist edastamist käsitlevaid sätteid. Käesolev direktiiv ei tohiks piirata erinorme, mis on kehtestatud nõukogu ühises seisukohas 2005/69/JSK (8) ja nõukogu otsuses 2007/533/JSK (9).

(26)

Isikuandmete töötlemine peaks olema asjaomaste füüsiliste isikute suhtes seaduslik, õiglane ja läbipaistev ning isikuandmeid tuleb töödelda ainult õigusaktis sätestatud konkreetsetel eesmärkidel. See ei takista õiguskaitseasutustel iseenesest selliste toimingute tegemist nagu varjatud jälitustoimingud või videovalve. Sellised toimingud on lubatud süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, kui need on õigusaktis ette nähtud ning kujutavad endast demokraatlikus ühiskonnas vajalikku ja proportsionaalset meedet ning nende puhul arvestatakse nõuetekohaselt asjaomase füüsilise isiku õigustatud huve. Andmekaitses kehtiv õiglase töötlemise põhimõte on määratletud harta artiklis 47 ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni („Euroopa inimõiguste konventsioon“) artiklis 6 õiglase kohtumenetluse õigusest eraldiseiseva põhimõttena. Füüsilisi isikuid tuleks teavitada nende isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad isikuandmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata isikuandmete kogumise ajal. Isikuandmed peaksid olema töötlemise eesmärgi seisukohast piisavad ja asjakohased. Eelkõige tuleks tagada, et isikuandmeid ei koguta ülemääraselt ja neid ei säilitata kauem, kui nende töötlemise eesmärgil on vaja. Isikuandmeid tuleks töödelda üksnes juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või korrapäraseks läbivaatamiseks. Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmetele, mida säilitatakse pikema aja jooksul avalikes huvides arhiveerimise eesmärgil või teaduslikuks, statistiliseks või ajalooliseks kasutamiseks.

(27)

Süütegude tõkestamiseks, uurimiseks ja nende eest vastutusele võtmiseks peavad pädevad asutused konkreetsete süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise käigus kogutud isikuandmeid töötlema muuks otstarbeks, et saada teadmisi kuritegevuse kohta ja erinevaid avastatud süütegusid omavahel seostada.

(28)

Selleks et tagada isikuandmete töötlemise turvalisus ja vältida, et isikuandmete töötlemisel rikutakse käesoleva direktiivi nõudeid, tuleks isikuandmeid töödelda viisil, mis tagab nende nõuetekohase turvalisuse ja konfidentsiaalsuse, sealhulgas väldib isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamist, ja võtab arvesse teaduse ja tehnoloogia viimast arengut, ohtudele vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi.

(29)

Isikuandmeid tuleks koguda täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel kooskõlas käesoleva direktiivi kohaldamisalaga ning neid ei tohiks töödelda eesmärkidel, mis on vastuolus süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgiga. Kui isikuandmeid töötleb sama või erinev vastutav töötleja käesoleva direktiivi kohaldamisalasse kuuluval eesmärgil, mis on nende kogumise eesmärgist erinev, peaks selline töötlemine olema lubatud tingimusel, et selline töötlemine on asjaomaste õigusnormide kohaselt lubatud ning nimetatud teise eesmärgi saavutamiseks vajalik ja proportsionaalne.

(30)

Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleks kohaldada andmete õigsuse põhimõtet. Eelkõige kohtumenetluses antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad füüsiliste isikute subjektiivsel ettekujutusel toimunust ning mida ei saa alati kontrollida. Seetõttu ei tohiks õigsuse nõue puudutada tunnistuse õigsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud.

(31)

Kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö käigus isikuandmete töötlemise puhul on olemuslik, et töödeldakse eri kategooriatesse kuuluvate andmesubjektide isikuandmeid. Seetõttu, kui see on asjakohane, tuleks sellises ulatuses nagu võimalik selgelt eristada selliste andesubjektide eri kategooriate isikuandmeid nagu kahtlusalused, süüteos süüdi mõistetud isikud, süüteo ohvrid ning muud isikud, nagu tunnistajad ja asjakohast teavet omavad isikud ning kahtlustatavate ja süüdimõistetute kontaktisikud ja kaasosalised. See ei tohiks takistada harta ja Euroopa inimõiguste konventsiooniga tagatud ning Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika kohaselt tõlgendatava süütuse presumptsiooni õiguse kohaldamist.

(32)

Pädevad asutused peaksid tagama, et isikuandmeid, mis on ebaõiged, mittetäielikud või mis ei ole enam ajakohased, ei edastata ega tehta kättesaadavaks. Selleks et tagada füüsiliste isikute kaitse, edastatavate või kättesaadavaks tehtavate isikuandmete õigsus, täielikkus ja usaldusväärsus või ulatus, mil määral isikuandmed on ajakohased, peaksid pädevad asutused võimaluste piires lisama vajaliku teabe igasugusele isikuandmete edastamisele.

(33)

Kui käesolevas direktiivis osutatakse liikmesriigi õigusele, õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist. Selline liikmesriigi õigus, õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine ettenähtav nendele, kelle suhtes seda kohaldatakse, nagu seda nõuab Euroopa Kohtu ja Euroopa Inimõiguste Kohtu praktika. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses tuleks kindlaks määrata vähemalt isikuandmete töötlemise üldeesmärgid, töödeldavad isikuandmed, töötlemise konkreetsed eesmärgid ning isikuandmete tervikluse ja konfidentsiaalsuse tagamise menetlused ja isikuandmete hävitamist käsitlevad menetlused, mis annaksid piisava tagatise ohu vastu, et isikuandmeid võidakse kuritarvitada või meelevaldselt kasutada.

(34)

Isikuandmete töötlemine pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil peaks hõlmama isikuandmete või nende kogumitega sellistel eesmärkidel tehtavat automatiseeritud või automatiseerimata toimingut või toimingute kogumit, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, ühitamine ja ühendamine, nende töötlemise piiramine, kustutamine ja hävitamine. Eelkõige tuleks käesoleva direktiivi norme kohaldada isikuandmete käesoleva direktiivi kohasele edastamisele sellisele vastuvõtjale, kelle suhtes ei kohaldata käesolevat direktiivi. Selline vastuvõtja peaks hõlmama füüsilist või juriidilist isikut, avaliku sektori asutust, ametit või muud organit, kellele pädev asutus isikuandmed seaduslikult avaldab. Kui pädev asutus kogus isikuandmed algselt mõnel käesoleva direktiivi kohasel eesmärgil, tuleks kõnealuste andmete töötlemisele muudel eesmärkidel kui käesoleva direktiivi eesmärgid kohaldada määrust (EL) 2016/679, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Eelkõige tuleks määruse (EL) 2016/679 norme kohaldada sellisele isikuandmete edastamisele, mille eesmärk ei kuulu käesoleva direktiivi kohaldamisalasse. Kui isikuandmeid töötleb vastuvõtja, kes ei ole pädev asutus käesoleva direktiivi tähenduses või ei tegutse sellise pädeva asutusena ja kellele pädev asutus isikuandmed seaduslikult avaldab, tuleks kohaldada määrust (EL) 2016/679. Käesoleva direktiivi rakendamisel peaksid liikmesriigid samuti saama täiendavalt täpsustada määruse (EL) 2016/679 normide kohaldamist viimases sätestatud tingimustel.

(35)

Selleks et isikuandmete töötlemine oleks seaduslik, peaks käesoleva direktiivi kohane isikuandmete töötlemine olema vajalik pädeva asutuse avalikes huvides oleva ülesande täitmiseks liidu või liikmesriigi õiguse alusel süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil. Kõnealused tegevused peaksid hõlmama andmesubjekti eluliste huvide kaitsmist. Pädevatele asutustele institutsiooniliselt süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eesmärgil seadusega antud ülesande täitmine annab neile õiguse nõuda või kohustada, et füüsilised isikud vastaksid esitatud taotlustele. Sellisel juhul ei tohiks andmesubjekti nõusolek (mis on määratletud määruses (EL) 2016/679) olla õiguslik alus isikuandmete töötlemiseks pädevate asutuste poolt. Kui andmesubjektilt nõutakse juriidilise kohustuse täitmist, puudub andmesubjektil tõeline ja vaba valikuvõimalus ning seetõttu ei saa andmesubjekti reaktsiooni käsitada vabatahtliku tahteavaldusena. See ei tohiks takistada liikmesriikidel õigusaktidega ette näha, et andmesubjekt võib nõustuda oma isikuandmete käesoleva direktiivi eesmärkidel toimuva töötlemisega, nagu kriminaaluurimises tehtavad DNA testid või tema asukoha jälgimine elektrooniliste märgiste abil kriminaalkaristuste täitmisele pööramiseks.

(36)

Liikmesriigid peaksid sätestama, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud konkreetsed tingimused, mida kohaldatakse konkreetsetel juhtudel isikuandmete töötlemisele, näiteks menetluskoodide kasutamine, peaks andmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest teavitama. Selliste tingimuste hulka võib näiteks kuuluda keeld edastada isikuandmeid kolmandatele isikutele või kasutada neid muul eesmärgil kui see, milleks neid vastuvõtjale edastati, või teavitada andmesubjekti teabe saamise õiguse piirangu korral ilma andmeid edastava pädeva asutuse eelneva nõusolekuta. Kõnealused kohustused peaksid kohalduma ka andmete edastamisele pädeva asutuse poolt kolmandates riikides asuvatele vastuvõtjatele või rahvusvahelistele organisatsioonidele. Liikmesriigid peaksid tagama, et andmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes selliseid tingimusi, välja arvatud tingimused, mida kohaldatakse sarnasele andmeedastusele kõnealuse pädeva asutuse liikmesriigis.

(37)

Isikuandmeid, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti delikaatsed, väärivad erikaitset, sest nende töötlemise kontekst võib tekitada suurt ohtu põhiõigustele ja -vabadustele. Need isikuandmed peaks hõlmama isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas direktiivis ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse töötlemisel asjakohaseid õiguses sätestatud kaitsemeetmeid, ning õiguses lubatud juhtudel; või kui töötlemine on vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks, kui sellise õiguse kohaselt ei ole see juba lubatud; või kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. Andmesubjekti õiguste ja vabaduste asjakohased kaitsemeetmed võivad hõlmata võimalust koguda selliseid andmeid ainult seoses muude asjaomast füüsilist isikut käsitlevate andmetega, võimalust tagada kogutud andmete piisav turvalisus, rangemaid norme pädeva asutuse töötajate juurdepääsuks andmetele ja selliste andmete edastamise keelamist. Selliste isikuandmete töötlemine peaks samuti olema õigusaktiga lubatud, kui andmesubjekt on andnud sõnaselge nõusoleku selliseks isikuandmete töötlemiseks, mis on tema suhtes erakordselt sekkuv. Andmesubjekti nõusolek iseenesest ei peaks siiski olema õiguslik alus selliste delikaatsete isikuandmete töötlemiseks pädevate asutuste poolt.

(38)

Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes isikuandmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat otsust, millel on teda puudutavad negatiivsed õiguslikud tagajärjed või mis teda märkimisväärselt mõjutavad. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, mis muu hulgas hõlmavad andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, eelkõige õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ja õigust otsust vaidlustada. Keelatud peaks olema profiilianalüüs, mille tulemusena diskrimineeritakse füüsilisi isikuid selliste isikuandmete alusel, mis on oma laadilt eriti delikaatsed seoses põhiõiguste ja -vabadustega, tingimustel, mis on sätestatud harta artiklites 21 ja 52.

(39)

Selleks et andmesubjekt saaks oma õigusi teostada, peaks teave olema talle hõlpsasti kättesaadav, muu hulgas peaks see olema esitatud vastutava töötleja veebisaidil ja kergesti arusaadav ning selgelt ja lihtsalt sõnastatud. Selline teave peaks olema kohandatud vastavalt kaitsetute isikute, nagu lapsed, vajadustele.

(40)

Tuleks ette näha kord, millega hõlbustatakse käesoleva direktiivi kohaselt vastu võetud sätete alusel andmesubjekti õiguste teostamist, sealhulgas mehhanismid, mille abil saab taotleda tutvumist isikuandmetega ja asjakohasel juhul eelkõige nendega tasuta tutvuda ning isikuandmete parandamist, kustutamist ja nende töötlemise piiramist. Vastutav töötleja peaks olema kohustatud vastama andmesubjektide taotlusele põhjendamatu viivituseta, välja arvatud juhul, kui vastutav töötleja kohaldab kooskõlas käesoleva direktiiviga andmesubjekti õiguste suhtes piiranguid. Peale selle, kui taotlused on selgelt põhjendamatud või ülemäärased, näiteks kui andmesubjekt põhjendamatult ja korduvalt taotleb teavet või kui andmesubjekt kuritarvitab oma õigust saada teavet, näiteks esitades taotluse esitamisel vale- või eksitavat teavet, peaks vastutav töötleja saama nõuda mõistlikku tasu või keelduda taotluse alusel toimingu tegemisest.

(41)

Kui vastutav töötleja taotleb andmesubjekti isiku kinnitamiseks vajaliku täiendava teabe esitamist, tuleks nimetatud teavet töödelda üksnes nimetatud konkreetsel eesmärgil ja seda ei tuleks säilitada kauem kui nimetatud eesmärgi jaoks vajalik.

(42)

Andmesubjektile tuleks kättesaadavaks teha vähemalt järgmine teave: vastutava töötleja isik, teave andmesubjekti isikuandmete töötlemise kohta, isikuandmete töötlemise eesmärk, õigus esitada kaebus ning õigus taotleda vastutavalt töötlejalt tutvumist oma isikuandmetega ning nende parandamist, kustutamist või nende töötlemise piiramist. Seda võib teha pädeva asutuse veebisaidil. Peale selle tuleks konkreetsetel juhtudel ja selleks, et võimaldada andmesubjektil teostada oma õigusi, teda teavitada töötlemise õiguslikust alusest ja sellest, kui kaua andmeid säilitatakse, niivõrd kuivõrd selline täiendav teave on vajalik, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, et tagada isikuandmete õiglane töötlemine andmesubjekti suhtes.

(43)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks füüsilisel isikul olema õigus tutvuda andmetega, mis on tema kohta kogutud, ning seda õigust lihtsalt ja mõistlike ajavahemike järel teostada. Igal andmesubjektil peaks seega olema õigus teada isikuandmete töötlemise eesmärke, töötlemise ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Kui sellise teavitamise käigus antakse teavet isikuandmete päritolu kohta, ei tohiks selline teave paljastada füüsiliste isikute identiteeti ja eelkõige konfidentsiaalseid allikaid. Kõnealuse õiguse tagamiseks piisab, kui andmesubjektil on olemas arusaadaval kujul nimetatud andmete täielik kokkuvõte, s.o andmed kujul, mis võimaldab andmesubjektil saada nendest andmetest teadlikuks ning kontrollida, et need on õiged ja neid töödeldakse käesoleva direktiivi kohaselt, nii et tal on võimalik teostada talle käesoleva direktiiviga antud õigusi. Sellise kokkuvõtte võib esitada töödeldavate isikuandmete koopiana.

(44)

Liikmesriikidel peaks asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades olema võimalik võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud esitamine või esitamata jätmine või tema isikuandmetega tutvumise täielik või osaline piiramine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks, süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise kahjustamise vältimiseks või kriminaalkaristuste täitmisele pööramiseks ning avaliku julgeoleku või riigi julgeoleku kaitsmiseks või teiste isikute õiguste ja vabaduste kaitsmiseks. Vastutav töötleja peaks iga konkreetse juhtumi puhul eraldi ja individuaalse uurimise käigus hindama, kas isikuandmetega tutvumise õigust tuleks osaliselt või täielikult piirata.

(45)

Andmesubjekti tuleks põhimõtteliselt teavitada kirjalikult isikuandmetega tutvumisest keeldumisest või selle piiramisest ning see teade peaks sisaldama otsuse faktilisi ja õiguslikke põhjusi.

(46)

Andmesubjekti õiguste piiramine peaks olema kooskõlas harta ning Euroopa inimõiguste konventsiooniga, nagu neid tõlgendavad Euroopa Kohus ja Euroopa Inimõiguste Kohus oma praktikas, ning eelkõige tuleb seejuures austada nende õiguste ja vabaduste põhiolemust.

(47)

Füüsilisel isikul peaks olema õigus teda käsitlevate ebaõigete isikuandmete parandamisele, eelkõige juhul, kui tegemist on faktiliste andmetega, ja kustutamisele, kui selliste andmete töötlemine rikub käesolevat direktiivi. Siiski ei tohiks andmete parandamise õigus mõjutada näiteks tunnistaja ütluse sisu. Füüsilisel isikul peaks samuti olema õigus isikuandmete töötlemise piiramisele, kui ta vaidlustab isikuandmete õigsuse ja kui nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või kui isikuandmeid tuleb säilitada tõendamise eesmärgil. Eelkõige tuleks isikuandmete kustutamise asemel nende töötlemist piirata, kui konkreetsel juhul on põhjendatult alust arvata, et andmete kustutamine võib kahjustada andmesubjekti õigustatud huve. Piiratud isikuandmeid tuleks sellisel juhul töödelda üksnes sel eesmärgil, mis takistas nende kustutamist. Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud andmete ümberpaigutamist teise töötlemissüsteemi, näiteks arhiveerimise eesmärgil, või valitud andmete muutmist kättesaamatuks. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis esitada selliselt, et isikuandmete töötlemisele seatud piirangu olemasolu oleks selge. Isikuandmete parandamisest, kustutamisest ja nende töötlemise piiramisest tuleks teavitada vastuvõtjaid, kellele isikuandmed on avaldatud, ning pädevaid asutusi, kellelt ebaõiged andmed pärinevad. Samuti peaksid vastutavad töötlejad hoiduma selliste andmete edasisest levitamisest.

(48)

Kui vastutav töötleja jätab andmesubjekti ilma tema õigusest saada teavet, isikuandmetega tutvuda või neid parandada, kustutada või piirata nende töötlemist, peaks andmesubjektil olema õigus taotleda riigi järelevalveasutuselt töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks nimetatud õigusest teavitada. Kui järelevalveasutus tegutseb andmesubjekti nimel, peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on teostanud kogu vajaliku kontrolli või kõik vajalikud läbivaatused. Järelevalveasutus peaks ühtlasi teavitama andmesubjekti õigusest kasutada õiguskaitsevahendit.

(49)

Kui isikuandmeid töödeldakse kriminaaluurimise ja kriminaalkohtumenetluse käigus, peaks liikmesriikidel olema võimalik ette näha, et teabe saamise, isikuandmetega tutvumise ja nende parandamise, kustutamise ja nende töötlemise piiramise õigust teostatakse vastavalt kohtumenetlust käsitlevatele liikmesriigi õigusnormidele.

(50)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva direktiiviga. Selliste meetmete puhul tuleks arvestada isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele. Vastutava töötleja võetavad meetmed peaksid hõlmama kaitsetute füüsiliste isikute, nagu laste isikuandmete töötlemist käsitlevate konkreetsete kaitsemeetmete väljatöötamist ja rakendamist.

(51)

Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tulemusel võib tekkida füüsiline, varaline või mittevaraline kahju, eelkõige juhtudel, kui isikuandmete töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu, pseudonümiseerimise loata lõpetamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi või ametiühingusse kuulumist; kui töödeldakse geneetilisi või biomeetrilisi andmeid, et isik kordumatult tuvastada, või kui töödeldakse andmeid tervise, seksuaalelu või seksuaalse sättumuse kohta ning süüteolasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel ja prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eelkõige laste isikuandmeid, või kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

(52)

Ohtu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes isikuandmete töötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas isikuandmete töötlemise toimingutega kaasneb suur oht. Suur oht on konkreetne andmesubjektide õiguste ja vabaduste kahjustamise oht.

(53)

Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva direktiivi nõuete täitmine. Selliste meetmete rakendamine ei tohiks sõltuda üksnes majanduslikest kaalutlustest. Selleks et olla võimeline tõendama käesoleva direktiivi täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis järgivad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid. Kui vastutav töötleja on teinud käesolevas direktiivis nõutud andmekaitsealase mõjuhinnangu, tuleks mainitud meetmete ja korra väljatöötamisel selle tulemusi arvesse võtta. Kõnealuste meetmete hulka võiks muu hulgas kuuluda pseudonümiseerimise võimalikult kiire kasutuselevõtmine. Pseudonümiseerimise kasutamine käesoleva direktiivi eesmärkidel võib olla vahend, mis võiks kaasa aidata isikuandmete vabale liikumisele vabadusel, turvalisusel ja õigusel rajaneva ala piires.

(54)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava järelevalve ja nende võetavate meetmetega eeldab käesolevas direktiivis sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul, kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

(55)

Isikuandmete töötlemine volitatud töötleja poolt peaks olema reguleeritud õigusaktiga, milles muu hulgas käsitletakse volitatud töötlejat ja vastutavat töötlejat omavahel siduvat lepingut ning sätestatakse eelkõige, et volitatud töötleja peaks tegutsema ainult vastavalt vastutava töötleja juhistele. Volitatud töötleja peaks arvesse võtma lõimitud ja vaikimisi andmekaitse põhimõtet.

(56)

Käesoleva direktiivi täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja dokumenteerima kõik tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute liigid. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema taotluse korral nimetatud dokumentatsiooni järelevalveasutusele kättesaadavaks, et seda saaks kasutada kõnealuste töötlemise toimingute järelevalveks. Isikuandmeid mitteautomatiseeritud töötlemissüsteemides töötlev vastutav töötleja või volitatud töötleja peaks kasutama tõhusaid meetodeid isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning andmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul.

(57)

Logisid tuleks pidada vähemalt automatiseeritud töötlemissüsteemides tehtavate toimingute kohta, nagu andmete kogumine, muutmine, lugemine, avalikustamine, sealhulgas edastamine, ühendamine ja kustutamine. Logida tuleks isikuandmeid lugenud või avalikustanud isiku identifitseerimisandmed ja kõnealuste identifitseerimisandmete põhjal peaks olema võimalik kindlaks teha isikuandmete töötlemise toimingu põhjendus. Logisid tuleks kasutada üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, andmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetlustes. Siseseire hõlmab ka pädevate asutuste siseseid distsiplinaarmenetlusi.

(58)

Kui on tõenäoline, et isikuandmete töötlemise toimingute tõttu tekib suur oht andmesubjektide õigustele ja vabadustele nende laadi, ulatuse või eesmärkide tõttu, peaks vastutav töötleja teostama andmekaitsealase mõjuhinnangu, mis peaks konkreetsemalt sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme, et tagada isikuandmete kaitse ja tõendada vastavust käesolevale direktiivile. Mõjuhinnangud peaksid hõlmama isikuandmete töötlemise toimingute asjaomaseid süsteeme ja menetlusi, kuid mitte üksikjuhtumeid.

(59)

Selleks et tagada andmesubjekti õiguste ja vabaduste tõhus kaitse, peaks vastutav töötleja või volitatud töötleja teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima järelevalveasutusega.

(60)

Turvalisuse tagamiseks ja käesolevat direktiivi rikkuva töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Selliste meetmetega tuleks tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, ja võtta arvesse teaduse ja tehnoloogia viimast arengut, ohule vastavaid rakenduskulusid ja kaitstavate isikuandmete laadi. Andmeturbeohtusid hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohtusid, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine või loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, varaline või mittevaraline kahju. Vastutav töötleja ja volitatud töötleja peaksid tagama, et isikuandmeid ei töötle volitamata isikud.

(61)

Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilise, varalise või mittevaralise kahju, nagu kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või pettus, rahaline kahju, pseudonümiseerimise loata lõpetamine, maine kahjustamine, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu või mõni muu tõsine majanduslik või sotsiaalne kahju asjaomasele füüsilisele isikule. Seetõttu, niipea kui vastutav töötleja saab teada, et toimunud on isikuandmetega seotud rikkumine, peaks ta sellest põhjendamatu viivituseta teatama järelevalveasutusele ning võimaluse korral 72 tunni jooksul pärast rikkumisest teada saamist, välja arvatud juhul kui vastutav töötleja saab kooskõlas vastutamise põhimõttega tõendada, et rikkumise tulemusena ei teki tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele. Kui 72 tunni jooksul ei ole võimalik teatada, tuleks teatisele lisada viivituse põhjused ning selle teabe võib anda järk-järgult ilma põhjendamatu viivituseta.

(62)

Füüsilist isikut tuleks põhjendamatu viivituseta teavitada, kui isikuandmetega seotud rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et ta saaks võtta vajalikke ettevaatusabinõusid. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust ning anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjaomaste asutuste suunistest. Näiteks kahju tekkimise otsese ohtu leevendamise vajadus nõuaks andmesubjekti kohest teavitamist, samal ajal kui vajadus rakendada asjakohaseid meetmeid isikuandmetega seonduvate rikkumiste jätkumise või samalaadsete rikkumiste ärahoidmiseks võib õigustada hilisemat teavitamist. Kui asjaomase füüsilise isiku isikuandmetega seotud rikkumistest teavitamisega viivitamisega või teavitamise piiramisega ei ole võimalik vältida ametlike või õiguslike päringute, uurimiste või menetluste takistamist, süütegude tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise kahjustamist või saavutada kriminaalkaristuste täitmisele pööramist, avaliku julgeoleku või riigi julgeoleku kaitsmist või teiste isikute õiguste ja vabaduste kaitsmist, võib erakorralisel juhul jätta andmesubjekti selliselt teavitamata.

(63)

Vastutav töötleja peaks määrama isiku, kes aitab tal valvata käesoleva direktiivi kohaselt vastu võetud sätete asutusesisese täitmise järele, välja arvatud juhul, kui liikmesriik otsustab vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel. Nimetatud isik võib olla vastutava töötleja olemasoleva personali hulka kuuluv töötaja, kes on saanud andmekaitsealase õiguse ja tava kohta eriväljaõppe, et omandada kõnealases valdkonnas ekspertteadmised. Ekspertteadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt isikuandmete töötlemise laadile ning vastutava töötleja töödeldavate isikuandmete kaitsmise nõuetele. Tema ülesannete täitmine võib toimuda osalise tööaja või täistööaja alusel. Mitu vastutavat töötlejat võivad ühiselt määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust, näiteks juhul, kui keskasutuses on ühised vahendid. Nimetatud isiku võib asjaomaste vastutavate töötlejate struktuuris määrata erinevatele ametikohtadele. Nimetatud isik peaks aitama vastutavat töötlejat ja isikuandmeid töötlevaid töötajaid, andes neile teavet ja nõu asjakohaste isikuandmete kaitse kohustuste täitmise kohta. Sellistel andmekaitseametnikel peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult kooskõlas liikmesriigi õigusega.

(64)

Liikmesriigid peaksid tagama, et isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui see on vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, ja kui kolmanda riigi või rahvusvahelise organisatsiooni vastutav töötleja on käesoleva direktiivi tähenduses pädev asutus. Andmeid peaks edastama üksnes vastutava töötlejana tegutsev pädev asutus, välja arvatud juhul, kui volitatud töötlejale on antud sõnaselge korraldus edastada andmeid vastutava töötleja nimel. Isikuandmeid võib selliselt edastada juhul, kui komisjon on teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, kui on kehtestatud piisavad kaitsemeetmed või kui kohaldatakse erandeid eriolukordades. Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks kahjustada käesoleva direktiiviga tagatud füüsiliste isikute kaitse taset liidus, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis.

(65)

Kui liikmesriik edastab isikuandmeid kolmandatele riikidele või rahvusvahelistele organisatsioonidele, peaks seda põhimõtteliselt tegema alles pärast seda, kui liikmesriik, kust andmed saadi, on andnud nende edastamiseks loa. Tõhusa õiguskaitsealase koostöö huvides on vaja, et kui liikmesriigi või kolmanda riigi avalikku julgeolekut või liikmesriigi olulisi huve ähvardav oht on olemuselt nii vahetu, et ei ole võimalik õigeaegselt eelnevat luba saada, peaks pädeval asutusel olema võimalik edastada asjakohased isikuandmed asjaomasele kolmandale riigile või rahvusvahelisele organisatsioonile ilma sellise eelneva loata. Liikmesriigid peaksid sätestama, et edastamist käsitlevad eritingimused tuleks saata kolmandatele riikidele või rahvusvahelistele organisatsioonidele. Isikuandmete edasi saatmise tingimuseks peaks olema andmed algselt edastanud pädeva asutuse eelnev luba. Tehes otsust andmete edasi saatmiseks loa saamise taotluse kohta, peaks algselt andmed edastanud pädev asutus võtma nõuetekohaselt arvesse kõiki asjakohaseid tegureid, muu hulgas süüteo raskust, kohalduvaid eritingimusi ja andmete algse edastamise eesmärki, kriminaalkaristuse täitmisele pööramise laadi ja tingimusi ning isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse. Peale selle peaks andmed algselt edastanud pädev asutus saama kehtestada andmete edasisaatmisele eritingimusi. Sellised eritingimusi võib kirjeldada näiteks menetluskoodide kehtestamisel.

(66)

Komisjon peaks saama kogu liitu puudutavalt otsustada, et teatav kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon pakuvad isikuandmete kaitset piisaval tasemel, tagades seega kogu liidus õiguskindluse ja ühtsuse nende kolmandate riikide ja rahvusvaheliste organisatsioonide osas, mille puhul loetakse, et nad tagavad isikuandmete kaitse piisaval tasemel. Sellisel juhul võib isikuandmeid edastada kõnealustesse riikidesse ilma eriloata, välja arvatud juhul, kui muu liikmesriik, kust andmed saadi, peab andma edastamiseks loa.

(67)

Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust. Võttes vastu kaitse piisavuse otsust seoses kolmanda riigi territooriumi või kindlaksmääratud sektoriga, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte. Kolmas riik peaks võtma kohustuse tagada piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui andmeid töödeldakse ühes või mitmes kindlaksmääratud sektoris. Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ning nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse.

(68)

Lisaks kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelistele kohustustele peaks komisjon võtma arvesse ka kohustusi, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, samuti selliste kohustuste rakendamist. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni ja selle lisaprotokolliga. Kolmandate riikide või rahvusvaheliste organisatsioonide kaitse taseme hindamisel peaks komisjon konsulteerima määrusega (EL) 2016/679 asutatud Euroopa Andmekaitsenõukoguga („andmekaitsenõukogu“). Samuti peaks komisjon arvesse võtma kõiki asjaomaseid määruse (EL) 2016/679 artikli 45 kohaselt vastu võetud komisjoni otsuseid kaitse piisavuse kohta.

(69)

Komisjon peaks valvama nende otsuste toimimise järele, milles käsitletakse kaitse taset kolmandas riigis või kolmanda riigi territooriumil või kolmanda riigi kindlaksmääratud sektoris või rahvusvahelises organisatsioonis. Komisjon peaks kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi. Nimetatud korrapärane läbivaatamine peaks toimuma asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning arvesse tuleks võtta kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis.

(70)

Komisjonil peaks samuti olema võimalik tunnistada, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel andmekaitset. Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva direktiivi nõudeid edastamisel kasutatavate asjakohaste kaitsemeetmete kohta ja erandite kohta eriolukordades. Ette tuleks näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni vahelise konsulteerimise kord. Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada.

(71)

Isikuandmete edastamine ilma kaitse piisavuse otsuseta peaks olema lubatud üksnes juhul, kui õiguslikult siduvas aktis on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav töötleja, olles hinnanud kõiki andmete edastamisega seotud asjaolusid, on kõnealusest hinnangust lähtudes seisukohal, et isikuandmete kaitseks vajalikud kaitsemeetmed on võetud. Selline õiguslikult siduv akt võiks näiteks olla õiguslikult siduv kahepoolne leping, mille sõlmivad liikmesriigid ja mida rakendatakse nende õiguskorras ning mida võivad jõustada nende andmesubjektid, tagades andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, mis hõlmab õigust tõhusale haldus- või õiguskaitsele. Andmete edastamist puudutavate kõigi asjaolude hindamisel peaks vastutav töötleja saama võtta arvesse Europoli või Eurojusti ja kolmandate riikide vahel sõlmitud koostöökokkuleppeid, mis võimaldavad isikuandmete vahetamist. Vastutav töötleja peaks saama võtta arvesse ka asjaolu, et isikuandmete edastamisele kohaldatakse konfidentsiaalsuse kohustust ja sihtotstarbelisuse põhimõtet, millega tagatakse, et andmeid ei töödelda muul kui edastamisega seotud eesmärgil. Lisaks peaks vastutav töötleja võtma arvesse seda, et isikuandmeid ei kasutata selleks, et taotleda surmanuhtlust või muud julma ja ebainimlikku kohtlemist, anda selleks käsk või viia see täide. Kuigi kõnealuseid tingimusi võib lugeda asjakohasteks kaitsemeetmeteks, mis võimaldavad andmete edastamist, peaks vastutav töötleja saama nõuda täiendavaid kaitsemeetmeid.

(72)

Kaitse piisavuse otsuse või asjakohaste kaitsemeetmete puudumise korral võivad edastamine või teatud kategooriasse kuuluvad edastamistoimingud toimuda üksnes eriolukordades, kui see on vajalik selleks, et kaitsta andmesubjekti või muu isiku elulisi huve või tagada andmesubjekti õigustatud huvid, kui isikuandmeid edastava liikmesriigi õiguses on nii sätestatud või kui see on vajalik, et vältida vahetut ja tõsist ohtu liikmesriigi või kolmanda riigi avalikule julgeolekule, või see on üksikjuhtumi korral vajalik süütegude tõkestamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, või kui see on üksikjuhtumi korral vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Kõnealuseid erandeid tuleks tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete sagedast, ulatuslikku ja struktuurset edastamist ega andmete suuremahulist edastamist, vaid peaks piirduma rangelt vajalike andmetega. Selline edastamine tuleks dokumenteerida ning need dokumendid tuleks teha järelevalveasutusele taotluse korral kättesaadavaks, et valvata edastamise seaduslikkuse järele.

(73)

Liikmesriikide pädevad asutused kohaldavad kolmandate riikidega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal sõlmitud kehtivaid kahepoolseid või mitmepoolseid rahvusvahelisi lepinguid, et vahetada asjakohast teavet, mis võimaldab neil täita neile seaduslikult antud ülesandeid. Põhimõtteliselt toimub see asjaomaste kolmandate riikide asutuste kaudu, kes on pädevad käesoleva direktiivi eesmärkidel, või vähemalt nendega koostöös, mõnikord isegi ilma, et oleks sõlmitud kahepoolne või mitmepoolne rahvusvaheline leping. Siiski võib konkreetsetel üksikjuhtudel juhtuda, et tavapärased menetlused, mis nõuavad ühenduse võtmist sellise kolmanda riigi asutusega, ei ole mõjusad või asjakohased, eelkõige seetõttu, et andmeid ei saaks edastada õigeaegselt, või seetõttu, et kõnealune kolmanda riigi asutus ei austa õigusriigi põhimõtet või rahvusvahelisi inimõigustealaseid norme ja standardeid, mistõttu liikmesriikide pädevad asutused võiksid otsustada edastada isikuandmed otse kõnealustes kolmandates riikides asuvatele vastuvõtjatele. Selline olukord võib tekkida siis, kui isikuandmeid on vaja edastada kiiresti, et päästa süüteo ohvriks langemise ohus oleva isiku elu või hoida ära lähiajal toimepandav kuritegu, sealhulgas terroriakt. Isegi juhul, kui selliselt edastataks andmeid pädevate asutuste ja kolmandates riikides asuvate vastuvõtjate vahel üksnes konkreetsetel üksikjuhtudel, tuleks käesolevas direktiivis ette näha tingimused selliste juhtude reguleerimiseks. Nimetatud sätteid ei tuleks käsitleda erandina ühestki kehtivast kahepoolsest või mitmepoolsest rahvusvahelisest lepingust kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal. Nimetatud põhimõtteid tuleks kohaldada lisaks käesoleva direktiivi muudele normidele, eelkõige töötlemise seaduslikkust käsitlevatele ja V peatükis sisalduvatele normidele.

(74)

Isikuandmete liikumine üle piiride võib raskendada füüsiliste isikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end kõnealuste andmete ebaseadusliku kasutamise ja avalikustamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega toimetada uurimist väljapoole oma riigi piire jäävates küsimustes. Järelevalveasutuste piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamiseks ja kaitsemeetmete võtmiseks ning õiguskordade erinevused. Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet teiste riikide järelevalveasutustega.

(75)

Liikmesriikides täiesti sõltumatult oma tööülesandeid täita saavate järelevalveasutuste loomine on oluline, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Järelevalveasutused peaksid valvama käesoleva direktiivi kohaldamise järele ja aitama kaasa selle järjekindlale kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga.

(76)

Liikmesriigid võivad panna määruse (EL) 2016/679 kohaselt juba loodud järelevalveasutustele ülesande täita käesoleva direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid.

(77)

Liikmesriikidel peaks olema õigus luua mitu järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja haldusstruktuurile. Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja taristu, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks. Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla piirkonna või riigi üldeelarve osa.

(78)

Järelevalveasutustele tuleks nende rahaliste kulutuste osas kohaldada sõltumatuid kontrolli- või järelevalvemehhanisme, tingimusel et selline finantskontroll ei mõjuta nende sõltumatust.

(79)

Järelevalveasutuse liikmele või liikmetele esitatavad üldtingimused tuleks kehtestada liikmesriigi õigusega ning neis tuleks eelkõige ette näha see, et liikmed peaks valitsuse või valitsuse liikme või parlamendi või parlamendi koja ettepaneku alusel nimetama läbipaistva menetluse teel ametisse liikmesriigi parlament või valitsus või riigipea või liikmesriigi õiguse kohaselt volitatud sõltumatu asutus. Järelevalveasutuse sõltumatuse tagamiseks peaks liige või liikmed käituma ausalt, hoiduma oma kohustustega kokkusobimatust tegevusest ja ei peaks töötama oma ametiaja jooksul ühelgi oma kohustustega kokkusobimatul tasustataval ega mittetasustataval ametikohal. Järelevalveasutuse sõltumatuse tagamiseks peaks töötajad valima järelevalveasutus, kes võib selleks kaasata liikmesriigi õiguse kohaselt volitatud sõltumatu asutuse.

(80)

Kuigi käesolevat direktiivi kohaldatakse ka liikmesriikide kohtute ja muude õigusasutuste tegevuse suhtes, ei tohiks järelevalveasutuste pädevus hõlmata isikuandmete töötlemist, kui kohtud täidavad õigusemõistmise funktsiooni, et kaitsta kohtunike sõltumatust nende õigusemõistmise funktsiooni täitmisel. Kõnealune erand peaks piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt liikmesriigi õigusele. Samuti peaks liikmesriikidel olema võimalik sätestada, et järelevalveasutuse pädevus ei hõlma isikuandmete töötlemist muu sõltumatu õigusasutuse, näiteks prokuratuuri poolt, kui ta teeb menetlusotsuseid. Igal juhul kohaldatakse käesoleva direktiivi normide täitmise suhtes kohtute ja muude sõltumatute õigusasutuste poolt alati sõltumatut järelevalvet kooskõlas harta artikli 8 lõikega 3.

(81)

Järelevalveasutus peaks käsitlema andmesubjekti poolt esitatud kaebusi ja küsimust uurima või edastama selle pädevale järelevalveasutusele. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada.

(82)

Selleks et tagada kogu liidus mõjus, usaldusväärne ja sidus käesoleva direktiivi järgimise järelevalve ja selle tagamine kooskõlas ELi toimimise lepinguga, nagu seda tõlgendab Euroopa Kohus, peaks järelevalveasutustel olema igas liikmesriigis samad ülesanded ja tegelikud volitused, sealhulgas uurimis-, parandus- ja nõuandevolitused, mis on nendele antud ülesannete täitmiseks vajalikud. Nende volitused ei tohiks aga mõjutada kriminaalmenetluse, sealhulgas süütegude uurimise ja nende eest vastutusele võtmise kohta sätestatud erinorme ega kohtusüsteemi sõltumatust. Ilma et see mõjutaks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, peaksid järelevalveasutused olema ka volitatud tegema käesoleva direktiivi rikkumised teatavaks õigusasutustele või osalema kohtumenetluses. Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriigi õigusega sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul. Eelkõige peaks iga meede olema asjakohane, vajalik ja proportsionaalne käesoleva direktiivi järgimise tagamise seisukohast, võttes arvesse üksikjuhtumi asjaolusid, austama iga isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele. Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi õiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue. Õiguslikult siduva otsuse vastuvõtmisele tuleks kohaldada kohtulikku kontrolli otsuse vastu võtnud järelevalveasutuse liikmesriigis.

(83)

Järelevalveasutused peaksid üksteist oma ülesannete täitmisel abistama ja andma vastastikust abi, et tagada käesoleva direktiivi kohaselt vastu võetud sätete järjekindel kohaldamine ja täitmine.

(84)

Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi järjekindlale kohaldamisele kogu liidus, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd kogu liidus.

(85)

Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva direktiivi kohaselt vastu võetud sätete kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida. Pädev järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks andmesubjekti sellest teavitada. Järelevalveasutus peaks võtma meetmed kaebuste esitamise hõlbustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, välistamata muude sidevahendite kasutamist.

(86)

Igal füüsilisel või juriidilisel isikul peaks olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on kõnealuse isiku suhtes õiguslikud tagajärjed. Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Kõnealune õigus ei hõlma siiski järelevalveasutuste muid, õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid. Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi õigusega. Kõnealustel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

(87)

Kui andmesubjekt leiab, et tema käesoleva direktiivi kohaseid õigusi on rikutud, peaks tal olema õigus volitada asutust, mille eesmärk on kaitsta andmesubjektide isikuandmete kaitsega seonduvaid õigusi ja huve ning mis on loodud liikmesriigi õiguse alusel, esitama tema nimel järelevalveasutusele kaebus ning teostama tema nimel õigust õiguskaitsevahendile. Andmesubjekti esindusõigus ei tohiks mõjutada liikmesriigi menetlusõigust, milles võib sisalduda nõue, et andmesubjekti peab liikmesriigi kohtutes esindama jurist, nagu on kindlaks määratud nõukogu direktiivis 77/249/EMÜ (10).

(88)

Vastutav töötleja või muu liikmesriigi õiguse kohaselt pädev asutus peaks hüvitama kahju, mille füüsilisele isikule võib põhjustada käesoleva direktiivi kohaselt vastu võetud sätteid rikkuv isikuandmete töötlemine. Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva direktiivi eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tulenevaid kahjunõudeid. Kui viidatakse isikuandmete töötlemisele, mis on ebaseaduslik või rikub käesoleva direktiivi kohaselt vastu võetud sätteid, hõlmab see samuti isikuandmete töötlemist, mis rikub käesoleva direktiivi kohaselt vastu võetud rakendusakte. Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.

(89)

Igale füüsilisele isikule ja eraõiguslikule või avalik-õiguslikule juriidilisele isikule, kes rikub käesolevat direktiivi, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja heidutavad, ning võtma kõik meetmed karistuste täitmisele pööramiseks.

(90)

Selleks et tagada käesoleva direktiivi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused järgmistes küsimustes: kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; vastastikuse abistamise vorm ja kord ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse kord. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (11).

(91)

Kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelises organisatsiooni kaitse piisava taseme, vastastikuse abistamise vormi ja korda ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korda käsitlevate rakendusaktide vastuvõtmiseks tuleks kasutada kontrollimenetlust, kuna nimetatud rakendusaktid on üldise iseloomuga.

(92)

Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või kolmanda riigi kindlaksmääratud sektori või rahvusvahelise organisatsiooniga, kes enam ei taga isikuandmete kaitse piisavat taset, ning kui tungiv kiireloomulisus seda nõuab, peaks komisjon võtma vastu viivitamata kohaldatavad rakendusaktid.

(93)

Kuna käesoleva direktiivi eesmärke, nimelt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste vahel, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(94)

See ei tohiks mõjutada kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal vastu võetud liidu õigusaktide erisätteid, mis võeti vastu enne käesoleva direktiivi vastuvõtmise kuupäeva ning millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist või liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt loodud infosüsteemidele, nagu näiteks isikuandmete kaitset käsitlevad erisätted, mida kohaldatakse nõukogu otsuse 2008/615/JSK (12) kohaselt või Euroopa Liidu liikmesriikide vahelist vastastikust õigusabi kriminaalasjades käsitleva konventsiooni (13) artikli 23 kohaselt. Kuna harta artiklis 8 ja ELi toimimise lepingu artiklis 16 nõutakse, et põhiõigust isikuandmete kaitsmisele tagatakse järjekindlal viisil kogu liidus, peaks komisjon hindama olukorda, mis tuleneb seosest käesoleva direktiivi ja enne käesoleva direktiivi vastuvõtmise kuupäeva vastu võetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute kohaselt loodud infosüsteemidele, et hinnata vajadust viia nimetatud erisätted kooskõlla käesoleva direktiiviga. Asjakohasel juhul peaks komisjon tegema ettepanekuid, et tagada isikuandmete töötlemist käsitlevate õigusnormide sidusus.

(95)

Selleks et tagada liidus isikuandmete igakülgne ja sidus kaitse, peaksid rahvusvahelised lepingud, mille liikmesriigid on sõlminud enne käesoleva direktiivi jõustumise kuupäeva ja mis on kooskõlas enne kõnealust kuupäeva kohaldatava asjaomase liidu õigusega, jääma jõusse kuni nende muutmise, asendamise või lõpetamiseni.

(96)

Liikmesriikidele tuleks anda käesoleva direktiivi ülevõtmiseks tähtaeg, mis ei ületa kahte aastat käesoleva direktiivi jõustumise kuupäevast. Isikuandmete töötlemine, mida on juba alustatud enne kõnealust kuupäeva, tuleks viia käesoleva direktiiviga kooskõlla kahe aasta jooksul pärast käesoleva direktiivi jõustumist. Kui selline töötlemine on aga kooskõlas enne käesoleva direktiivi jõustumise kuupäeva kohaldatava liidu õigusega, ei tuleks käesoleva direktiivi nõudeid, mis puudutavad järelevalveasutusega eelnevat konsulteerimist, kohaldada enne kõnealust kuupäeva juba alustatud isikuandmete töötlemise toimingute suhtes, kuna nimetatud nõuded peavad oma olemuse tõttu olema täidetud enne isikuandmete töötlemise alustamist. Kui liikmesriik kasutab enne käesoleva direktiivi jõustumise kuupäeva loodud automatiseeritud töötlemissüsteemi puhul logi pidamise kohustuse täitmiseks pikemat rakendamistähtaega, mis lõpeb seitsme aasta möödumisel kõnealusest kuupäevast, peaks vastutav töötleja või volitatud töötleja kasutama tõhusat meetodit isikuandmete töötlemise seaduslikkuse tõendamiseks, siseseire võimaldamiseks ning isikuandmete tervikluse ja turvalisuse tagamiseks, näiteks logide või muude säilitamisviiside kujul.

(97)

Käesolev direktiiv ei piira laste seksuaalse kuritarvitamise ja ärakasutamise ning lapsporno vastase võitluse norme, mis on kehtestatud Euroopa Parlamendi ja nõukogu direktiiviga 2011/93/EL (14).

(98)

Raamotsus 2008/977/JSK tuleks seetõttu kehtetuks tunnistada.

(99)

ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Ühendkuningriigi ja Iirimaa suhtes siduvad, kui Ühendkuningriigi ja Iirimaa suhtes ei ole siduvad normid, mis käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb järgida ELi toimimise lepingu artikli 16 alusel kehtestatud sätteid.

(100)

ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artiklite 2 ja 2a kohaselt ei ole käesolevas direktiivis sätestatud normid füüsiliste isikute kaitse kohta isikuandmete töötlemisel liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse kuuluva tegevuse puhul Taani suhtes siduvad ega kohaldatavad. Arvestades, et käesolev direktiiv põhineb ELi toimimise lepingu kolmanda osa V jaotise alusel Schengeni acquis'l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses.

(101)

Islandi ja Norra puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelise lepingu (viimase kahe riigi osalemiseks Schengeni acquis' sätete rakendamises, kohaldamises ja edasiarendamises) (15) tähenduses.

(102)

Šveitsi puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (16) tähenduses.

(103)

Liechtensteini puhul kujutab käesolev direktiiv endast Schengeni acquis' sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis' rakendamise, kohaldamise ja edasiarendamisega) (17) tähenduses.

(104)

Käesolevas direktiivis peetakse kinni ELi toimimise lepingus sätestatud ja hartas tunnustatud põhiõigustest ja põhimõtetest, eelkõige õigusest era- ja perekonnaelu austamisele ning isikuandmete kaitsele, tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nimetatud õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1, olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvate eesmärkide saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks.

(105)

Kooskõlas liikmesriikide ja komisjoni 28. septembri 2011. aasta ühise poliitilise deklaratsiooniga selgitavate dokumentide kohta kohustuvad liikmesriigid põhjendatud juhtudel lisama ülevõtmismeetmeid käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost direktiivi osade ja ülevõtvate siseriiklike õigusaktide vastavate osade vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide edastamine on põhjendatud.

(106)

Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 ning ta esitas arvamuse 7. märtsil 2012 (18).

(107)

Käesolev direktiiv ei tohiks takistada liikmesriikidel näha kriminaalmenetlust käsitlevates liikmesriigi õigusnormides ette andmesubjekti õigus saada kriminaalmenetluse käigus teavet, tutvuda isikuandmetega ja isikuandmeid parandada, kustutada ja nende töötlemist piirata, ega nende õiguste piiranguid,

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

I PEATÜKK

Üldsätted

Artikkel 1

Reguleerimisese ja eesmärgid

1.   Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.

2.   Kooskõlas käesoleva direktiiviga liikmesriigid:

a)

kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning

b)

tagavad, et pädevate asutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, kui selline isikuandmete vahetamine on nõutav liidu või liikmesriigi õigusega.

3.   Käesolev direktiiv ei takista liikmesriike kehtestamast isikuandmete töötlemisel pädevate asutuste poolt andmesubjekti õiguste ja vabaduste kaitseks rangemaid kaitsemeetmeid kui käesolevas direktiivis.

Artikkel 2

Kohaldamisala

1.   Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele pädevate asutuste poolt artikli 1 lõikes 1 sätestatud eesmärkidel.

2.   Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemisele ja isikuandmete automatiseerimata töötlemisele, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

3.   Käesolevat direktiivi ei kohaldata, kui

a)

isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse;

b)

isikuandmeid töötlevad liidu institutsioonid, organid ja asutused.

Artikkel 3

Mõisted

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

1)   „isikuandmed“– igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekt“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)   „isikuandmete töötlemine“– isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)   „isikuandmete töötlemise piiramine“– säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

4)   „profiilianalüüs“– igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud kõnealuse füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

5)   „pseudonümiseerimine“– isikuandmete töötlemine sellisel viisil, et neid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)   „andmete kogum“– isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

7)   „pädev asutus“

a)

avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või

b)

muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil;

8)   „vastutav töötleja“– pädev asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui isikuandmete töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

9)   „volitatud töötleja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

10)   „vastuvõtja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjateks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid isikuandmeid kooskõlas asjaomaste andmekaitsenormidega vastavalt töötlemise eesmärkidele;

11)   „isikuandmetega seotud rikkumine“– turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või võimaldab neile juurdepääsu;

12)   „geneetilised andmed“– isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

13)   „biomeetrilised andmed“– konkreetse tehnilise töötlemise abil saadavad isikuandmed füüsilise isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

14)   „terviseandmed“– füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema terviseseisundi kohta;

15)   „järelevalveasutus“– liikmesriigis artikli 41 kohaselt asutatud sõltumatu avaliku sektori asutus;

16)   „rahvusvaheline organisatsioon“– organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.

II PEATÜKK

Põhimõtted

Artikkel 4

Isikuandmete töötlemise põhimõtted

1.   Liikmesriigid näevad ette järgmist:

a)

isikuandmeid töödeldakse seaduslikult ja õiglaselt;

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus;

c)

isikuandmed on piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes;

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed tagamaks, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata;

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid.

2.   Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd:

a)

vastutav töötleja on volitatud töötlema selliseid isikuandmeid sellisel eesmärgil kooskõlas liidu või liikmesriigi õigusega ning

b)

isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgiga, nagu on ette nähtud liidu või liikmesriigi õiguses.

3.   Isikuandmete töötlemine sama või muu vastutava töötleja poolt võib hõlmata avalikes huvides arhiveerimist või teaduslikku, statistilist või ajaloolist kasutamist artikli 1 lõikes 1 sätestatud eesmärkidel, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse asjakohaseid kaitsemeetmeid.

4.   Vastutav töötleja vastutab lõigete 1, 2 ja 3 täitmise eest ja on võimeline nende täitmist tõendama.

Artikkel 5

Säilitamise ja läbivaatamise tähtajad

Liikmesriigid näevad ette asjakohaste tähtaegade kehtestamise isikuandmete kustutamiseks või nende säilitamise vajaduse korrapäraseks läbivaatamiseks. Nimetatud tähtaegade järgimise tagamiseks kehtestatakse menetluslikud meetmed.

Artikkel 6

Andmesubjektide eri kategooriate eristamine

Liikmesriigid näevad ette, et asjakohasel juhul võimaluste piires eristab vastutav töötleja isikuandmeid selgelt andmesubjektide eri kategooriate kaupa, nimelt:

a)

isikud, kelle puhul on tõsine alus arvata, et nad on toime pannud või panevad varsti toime süüteo;

b)

isikud, kes on süüteos süüdi mõistetud;

c)

süüteoohvrid ja isikud, kelle puhul teatavad asjaolud annavad alust arvata, et nad võivad olla süüteo ohvrid, ning

d)

süüteoga seotud muud isikud, näiteks isikud, keda süüteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet süüteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja kaasosalised.

Artikkel 7

Isikuandmete eristamine ja isikuandmete kvaliteedi kontrollimine

1.   Liikmesriigid näevad ette, et faktidel põhinevaid isikuandmeid eristatakse nii palju kui võimalik isiklikel hinnangutel põhinevatest isikuandmetest.

2.   Liikmesriigid näevad ette, et pädevad asutused võtavad kõik mõistlikud meetmed tagamaks, et ebaõigeid, mittetäielikke või aegunud isikuandmeid ei edastata ega tehta kättesaadavaks. Sel eesmärgil kontrollivad kõik pädevad asutused võimaluse korral isikuandmete kvaliteeti enne nende edastamist või kättesaadavaks tegemist. Isikuandmete edastamisel lisatakse võimaluse korral vajalik teave, mis võimaldab andmeid vastu võtval pädeval asutusel hinnata isikuandmete õigsust, täielikkust, usaldusväärsuste ja ajakohasust.

3.   Kui ilmneb, et edastatud on ebaõigeid isikuandmeid või isikuandmeid on edastatud ebaseaduslikult, teavitatakse sellest viivitamata vastuvõtjat. Sellisel juhul tuleb isikuandmed parandada, kustutada või nende töötlemist piirata kooskõlas artikliga 16.

Artikkel 8

Isikuandmete töötlemise seaduslikkus

1.   Liikmesriigid näevad ette, et isikuandmete töötlemine on seaduslik ainult sel juhul ja niivõrd, kui see on vajalik pädeva asutuse poolt artikli 1 lõikes 1 sätestatud eesmärkide kohase ülesande täitmiseks ning see põhineb liidu või liikmesriigi õigusel.

2.   Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses täpsustatakse vähemalt isikuandmete töötlemise üldised eesmärgid, töödeldavad isikuandmed ja nende töötlemise konkreetsed eesmärgid.

Artikkel 9

Isikuandmete töötlemise eritingimused

1.   Artikli 1 lõikes 1 sätestatud eesmärkidel pädevate asutuste poolt kogutavaid isikuandmeid ei tohi töödelda muudel kui artikli 1 lõikes 1 sätestatud eesmärkidel, välja arvatud juhul, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Kui isikuandmeid töödeldakse sellistel muudel eesmärkidel, kohaldatakse määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.

2.   Kui liikmesriigi õigusega on pädevatele asutustele antud muud ülesanded kui need, mida täidetakse artikli 1 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellistel eesmärkidel isikuandmete töötlemisele (sealhulgas avalikes huvides arhiveerimise, teadusliku või ajaloolise uurimistöö või statistika tarvis) määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.

3.   Liikmesriigid näevad ette, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud isikuandmete töötlemise eritingimused, teavitab isikuandmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest.

4.   Liikmesriigid näevad ette, et isikuandmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes muid lõike 3 kohaseid tingimusi kui need, mida kohaldatakse sarnase isikuandmete edastamise suhtes isikuandmeid edastava pädeva asutuse liikmesriigis.

Artikkel 10

Isikuandmete eriliikide töötlemine

Selliste isikuandmete töötlemine, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, ning geneetiliste andmete, füüsilise isiku kordumatuks tuvastamiseks kasutatavate biomeetriliste andmete, tervist või seksuaalelu või seksuaalset sättumust käsitlevate andmete töötlemine on lubatud üksnes siis, kui see on rangelt vajalik, sellele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid ning üksnes järgmistel juhtudel:

a)

see on lubatud liidu või liikmesriigi õigusega;

b)

et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve või

c)

selliselt töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud.

Artikkel 11

Automatiseeritud töötlusel põhinevate üksikotsuste tegemine

1.   Liikmesriigid näevad ette, et keelatud on üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevate otsuste tegemine, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju, välja arvatud juhul, kui see on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles nähakse ette asjakohased kaitsemeetmed andmesubjekti õiguste ja vabaduste tagamiseks, mis hõlmab vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga.

2.   Käesoleva artikli lõikes 1 osutatud otsused ei tohi põhineda artiklis 10 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui rakendatakse sobivaid meetmeid andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

3.   Profiilianalüüs, mille tulemusel füüsilisi isikuid diskrimineeritakse artiklis 10 osutatud isikuandmete eriliikide alusel, on kooskõlas liidu õigusega keelatud.

III PEATÜKK

Andmesubjekti õigused

Artikkel 12

Teavitamine ja andmesubjekti õiguste teostamise kord

1.   Liikmesriigid näevad ette, et vastutav töötleja võtab kõik mõistlikud meetmed, et esitada andmesubjektile artiklis 13 osutatud teave ning teavitada teda seoses artiklitega 11, 14–18 ja 31 isikuandmete töötlemisest, tehes seda kokkuvõtlikus, arusaadavas ja hõlpsasti kättesaadavas vormis, kasutades selget ja lihtsat sõnastust. Kõnealune teave esitatakse asjakohaste vahendite abil, sealhulgas elektrooniliselt. Üldreeglina esitab vastutav töötleja teabe taotlusega samas vormis.

2.   Liikmesriigid näevad ette, et vastutav töötleja aitab kaasa andmesubjekti artiklite 11 ja 14–18 kohaste õiguste teostamisele.

3.   Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult tema taotluse alusel tehtud toimingutest.

4.   Liikmesriigid näevad ette, et artikli 13 kohase teabe esitamine ning artiklite 11, 14–18 ja 31 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja

a)

küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või

b)

keelduda taotletud meetmete võtmisest.

Vastutav töötleja on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane.

5.   Kui vastutaval töötlejal on põhjendatud kahtlused artiklis 14 või 16 osutatud taotlust esitava füüsilise isiku isikusamasuse suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist.

Artikkel 13

Andmesubjektile kättesaadavaks tehtud või antud teave

1.   Liikmesriigid näevad ette, et vastutav töötleja teeb andmesubjektile kättesaadavaks vähemalt järgmise teabe:

a)

vastutava töötleja nimi ja kontaktandmed;

b)

kui kohaldatav, siis andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise kavandatud eesmärk;

d)

õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

e)

õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmetega tutvumist ning nende parandamist või kustutamist ja isikuandmete töötlemise piiramist.

2.   Liikmesriigid näevad oma õiguses ette, et peale lõikes 1 osutatud teabe annab vastutav töötleja selleks, et andmesubjektil oleks võimalik oma õigusi teostada, talle konkreetsetel juhtudel järgmise täiendava teabe:

a)

isikuandmete töötlemise õiguslik alus;

b)

isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;

c)

asjakohasel juhul isikuandmete vastuvõtjate kategooriad, sealhulgas kolmandates riikides või rahvusvahelistes organisatsioonides;

d)

vajaduse korral täiendav teave, eriti juhul, kui isikuandmed on kogutud andmesubjekti teadmata.

3.   Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile lõike 2 kohaselt esitatava teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne:

a)

ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)

süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

4.   Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida vähemalt üks lõike 3 punktidest.

Artikkel 14

Andmesubjekti õigus tutvuda isikuandmetega

Kui artiklis 15 ei ole sätestatud teisiti, näevad liikmesriigid ette andmesubjekti õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse või mitte, ning nende töötlemise korral tutvuda isikuandmete ja järgmise teabega:

a)

töötlemise eesmärk ja õiguslik alus;

b)

asjaomaste isikuandmete liigid;

c)

vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

kui võimalik, siis kavandatav isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;

e)

õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmete parandamist, kustutamist või nende töötlemise piiramist;

f)

õigus esitada järelevalveasutusele kaebus ning järelevalveasutuse kontaktandmed;

g)

töödeldavate isikuandmete ja nende päritolu käsitleva olemasoleva teabe edastamine.

Artikkel 15

Isikuandmetega tutvumise õiguse piiramine

1.   Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjekti isikuandmetega tutvumise õiguse täielik või osaline piiramine sellises ulatuses ja seni, kuni selline piiramine on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede

a)

ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)

süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

2.   Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida lõike 1 punktid a–e.

3.   Lõigetes 1 ja 2 osutatud juhtudel näevad liikmesriigid ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult isikuandmetega tutvumisest keeldumisest või isikuandmetega tutvumise piiramisest ja keeldumise või piiramise põhjustest. Sellist teavet ei pea andma, kui selle andmine kahjustaks mõnda lõike 1 kohast eesmärki. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.

4.   Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib otsuse faktilised ja õiguslikud alused. Nimetatud teave tehakse kättesaadavaks järelevalveasutustele.

Artikkel 16

Isikuandmete parandamise või kustutamise ja isikuandmete töötlemise piiramise õigus

1.   Liikmesriigid näevad ette, et andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse isikuandmete töötlemise eesmärki, näevad liikmesriigid ette, et andmesubjektil on õigus nõuda mittetäielike isikuandmete täiendamist, muu hulgas täiendava õiendi esitamise teel.

2.   Liikmesriigid nõuavad, et vastutav töötleja kustutaks isikuandmed põhjendamatu viivituseta ja näevad ette andmesubjekti õiguse sellele, et vastutav töötleja kustutaks põhjendamata viivituseta tema isikuandmed, kui isikuandmete töötlemine rikub artikli 4, 8 või 10 kohaselt vastu võetud sätteid või kui isikuandmed tuleb kustutada vastutava töötleja juriidilise kohustuse täitmiseks.

3.   Vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui:

a)

andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või

b)

isikuandmeid tuleb säilitada tõendamise eesmärgil.

Juhul kui isikuandmete töötlemine on esimese lõigu punkti a kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne isikuandmete töötlemise piirangu kõrvaldamist.

4.   Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti kirjalikult keeldumisest isikuandmeid parandada või kustutada või nende töötlemist piirata ning keeldumise põhjustest. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta vastu seadusandlikke meetmeid, millega nähakse ette sellise teabe esitamise kohustuse täielik või osaline piiramine sellises ulatuses, mil selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede:

a)

ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;

b)

süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;

c)

avaliku julgeoleku kaitseks;

d)

riigi julgeoleku kaitseks;

e)

teiste isikute õiguste ja vabaduste kaitseks.

Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.

5.   Liikmesriigid näevad ette, et vastutav töötleja teavitab ebaõigete isikuandmete parandamisest pädevat asutust, kellelt ebaõiged isikuandmed pärinevad.

6.   Liikmesriigid näevad ette, et juhul, kui isikuandmeid on lõigete 1, 2 ja 3 kohaselt parandatud, kustutatud või nende töötlemist on piiratud, teavitab vastutav töötleja vastuvõtjaid ning vastuvõtjad parandavad või kustutavad nende vastutuse alla kuuluvad isikuandmed või piiravad nende töötlemist.

Artikkel 17

Andmesubjekti õiguste teostamine ja kontroll järelevalveasutuse poolt

1.   Artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 osutatud juhtudel võtavad liikmesriigid vastu meetmeid, millega nähakse ette, et andmesubjekti õigusi võib teostada ka pädeva järelevalveasutuse kaudu.

2.   Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti võimalusest teostada vastavalt lõikele 1 oma õigusi järelevalveasutuse kaudu.

3.   Kui teostatakse lõikes 1 osutatud õigust, teavitab järelevalveasutus andmesubjekti vähemalt sellest, et kõik vajalikud kontrollid või läbivaatus järelevalveasutuse poolt on aset leidnud. Järelevalveasutus teavitab andmesubjekti ühtlasi õigusest kasutada õiguskaitsevahendit.

Artikkel 18

Andmesubjekti õigused kriminaaluurimises ja -menetluses

Liikmesriigid võivad ette näha, et kui isikuandmed sisalduvad kohtuotsuses, karistusregistris või kriminaaluurimise ja -menetluse käigus töödeldavas toimikus, teostatakse artiklites 13, 14 ja 16 osutatud õigusi vastavalt liikmesriigi õigusele.

IV PEATÜKK

Vastutav töötleja ja volitatud töötleja

1. jagu

Üldised kohustused

Artikkel 19

Vastutava töötleja kohustused

1.   Liikmesriigid näevad ette, et vastutav töötleja rakendab isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte arvesse võttes asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid töödeldakse kooskõlas käesoleva direktiiviga, ja olemaks võimeline seda ka tõendama. Vajaduse korral vaadatakse kõnealused meetmed läbi ja neid ajakohastatakse.

2.   Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

Artikkel 20

Lõimitud andmekaitse ja vaikimisi andmekaitse

1.   Liikmesriigid näevad ette, et vastutav töötleja rakendab teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti isikuandmete töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohtusid arvesse võttes nii isikuandmete töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva direktiivi nõudeid ja kaitsta andmesubjektide õigusi.

2.   Liikmesriigid näevad ette, et vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise iga konkreetse eesmärgi saavutamiseks. Nimetatud kohustus kehtib kogutud isikuandmete hulga, töötlemise ulatuse, säilitamise tähtaja ja kättesaadavuse suhtes. Eelkõige tagatakse selliste meetmetega see, et isikuandmeid ei tehta vaikimisi kättesaadavaks määramata füüsiliste isikute ringile ilma asjaomase isiku sekkumiseta.

Artikkel 21

Kaasvastutavad töötlejad

1.   Liikmesriigid näevad ette, et kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad iga kaasvastutava töötleja vastutusvaldkonna käesoleva direktiivi täitmisel (eelkõige seoses andmesubjekti õiguste teostamise ja iga kaasvastutava töötleja kohustustega esitada artiklis 13 osutatud teavet) läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, kui iga sellise vastutava töötleja vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Kokkuleppes määratakse andmesubjektide jaoks kindlaks kontaktpunkt. Liikmesriigid võivad kindlaks määrata, milline kaasvastutavatest töötlejatest võib toimida ühtse kontaktpunktina, mille kaudu andmesubjektid saavad oma õigusi teostada.

2.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võivad liikmesriigid ette näha, et andmesubjekt võib teostada oma käesoleva direktiivi kohaselt vastu võetud sätetest tulenevaid õigusi iga vastutava töötleja suhtes.

Artikkel 22

Volitatud töötleja

1.   Liikmesriigid näevad ette, et kui isikuandmete töötlemine toimub vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et isikuandmete töötlemine vastab käesoleva direktiivi nõuetele, ning tagab andmesubjekti õiguste kaitse.

2.   Liikmesriigid näevad ette, et volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa puhul teavitab volitatud töötleja vastutavat töötlejat alati kõigist kavandatavatest muutustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3.   Liikmesriigid näevad ette, et volitatud töötleja töötleb isikuandmeid volitatud töötlejale ja vastutavale töötlejale siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse isikuandmete töötlemise sisu ja kestus, laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused. Nimetatud leping või siduv õigusakt sätestab eelkõige, et volitatud töötleja

a)

tegutseb üksnes vastutava töötleja suuniste alusel;

b)

tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane õigusaktist tulenev konfidentsiaalsuskohustus;

c)

aitab vastutaval töötlejal kõigi asjakohaste vahenditega tagada andmesubjekti õigusi käsitlevate sätete järgimine;

d)

pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse isikuandmete säilitamist;

e)

teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesoleva artikli täitmise tõendamiseks;

f)

järgib lõigetes 2 ja 3 osutatud tingimusi teise volitatud töötleja kaasamiseks.

4.   Lõikes 3 osutatud leping või siduv õigusakt peab olema kirjalik, sh elektroonilisel kujul.

5.   Kui volitatud töötleja määrab käesolevat direktiivi rikkudes isikuandmete töötlemise eesmärgid ja vahendid, siis loetakse kõnealust volitatud töötlejat selle töötlemise suhtes vastutavaks töötlejaks.

Artikkel 23

Isikuandmete töötlemine vastutava töötleja või volitatud töötleja volituse alusel

Liikmesriigid näevad ette, et volitatud töötleja ning vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad nimetatud isikuandmeid töödelda üksnes vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

Artikkel 24

Isikuandmete töötlemise toimingute dokumenteerimine

1.   Liikmesriigid näevad ette, et vastutavad töötlejad dokumenteerivad kõik nende vastutusel toimuvate isikuandmete töötlemise toimingute liigid. Kõnealune dokumentatsioon sisaldab järgmist teavet:

a)

vastutava töötleja, asjakohasel juhul kaasvastutava töötleja ja andmekaitseametniku nimi ja kontaktandmed;

b)

isikuandmete töötlemise eesmärgid;

c)

vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

e)

asjakohasel juhul profiilianalüüsi kasutamine;

f)

asjakohasel juhul isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise liigid;

g)

teave selle isikuandmete töötlemise toimingu (sealhulgas edastamise) õigusliku aluse kohta, mille jaoks isikuandmed on mõeldud;

h)

võimaluse korral isikuandmete eriliikide kustutamiseks ette nähtud tähtajad;

i)

võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

2.   Liikmesriigid näevad ette, et volitatud töötleja dokumenteerib kõik vastutava töötleja nimel toimuvate isikuandmete töötlemisega seotud toimingute liigid, hõlmates järgmist teavet:

a)

volitatud töötleja või volitatud töötlejate, kõigi vastutavate töötlejate, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul andmekaitseametniku nimi ja kontaktandmed;

b)

iga vastutava töötleja nimel tehtava töötlemise liigid;

c)

asjakohasel juhul isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile, kui vastutav töötleja andis selleks sõnaselge korralduse, sealhulgas andmed kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni tuvastamiseks;

d)

võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

3.   Lõigetes 1 ja 2 osutatud dokumentatsioon on kirjalik, sh elektroonilisel kujul.

Taotluse korral teevad vastutav töötleja ja volitatud töötleja kõnealuse dokumentatsiooni järelevalveasutusele kättesaadavaks.

Artikkel 25

Logimine

1.   Liikmesriigid näevad ette, et peetakse logisid vähemalt järgmiste automatiseeritud töötlemissüsteemides tehtavate isikuandmete töötlemise toimingute kohta: kogumine, muutmine, lugemine, avalikustamine (sealhulgas edastamine), ühendamine ja kustutamine. Lugemist ja avalikustamist kajastavad logid peavad võimaldama teha kindlaks nimetatud toimingute tegemise põhjenduse, kuupäeva ja aja ning võimaluse korral ka teabe isikuandmeid lugenud ja avalikustanud isiku kohta ning selliste isikuandmete vastuvõtjate nimed.

2.   Logisid kasutatakse üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, isikuandmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetluses.

3.   Taotluse korral teevad vastutav töötleja ja volitatud töötleja logid järelevalveasutusele kättesaadavaks.

Artikkel 26

Koostöö järelevalveasutusega

Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja teevad oma ülesannete täitmise käigus taotluse korral koostööd järelevalveasutusega.

Artikkel 27

Andmekaitsealane mõjuhinnang

1.   Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava isikuandmete töötlemise tulemusena ning töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht, näevad liikmesriigid ette, et vastutav töötleja hindab enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele.

2.   Lõikes 1 osutatud hindamine sisaldab vähemalt kavandatud isikuandmete töötlemise toimingute üldkirjeldust, ohuhinnangut seoses andmesubjektide õiguste ja vabadustega, kõnealuste ohtude käsitlemiseks kavandatud meetmeid, kaitsemeetmeid, turvameetmeid ja mehhanisme, mis tagavad isikuandmete kaitse ja tõendavad kooskõla käesoleva direktiiviga, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

Artikkel 28

Eelnev konsulteerimine järelevalveasutusega

1.   Liikmesriigid näevad ette, et vastutav töötleja või volitatud töötleja konsulteerib järelevalveasutusega enne, kui ta hakkab töötlema isikuandmeid, mis kantakse uude loodavasse andmete kogumisse, kui

a)

artiklis 27 sätestatud andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohtu leevendamiseks võetavate meetmete puudumise korral suur oht, või

b)

isikuandmete töötlemise laadiga, eelkõige kui kasutatakse uusi tehnoloogiaid, mehhanisme või menetlusi, kaasneb suur oht andmesubjekti õigustele ja vabadustele.

2.   Liikmesriigid näevad ette järelevalveasutusega konsulteerimise, kui koostamisel on liikmesriigi parlamendis vastu võetava seadusandliku meetme ettepanek või sellisel seadusandlikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.

3.   Liikmesriigid näevad ette, et järelevalveasutus võib koostada loetelu isikuandmete töötlemise toimingutest, mille suhtes kohaldatakse lõikes 1 sätestatud eelnevat konsulteerimist.

4.   Liikmesriigid näevad ette, et vastutav töötleja esitab järelevalveasutusele artikli 27 kohase andmekaitsealase mõjuhinnangu ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata isikuandmete töötlemise vastavust nõuetele, eelkõige andmesubjekti isikuandmete kaitset ähvardavaid ohtusid ja nendega seotud kaitsemeetmeid.

5.   Liikmesriigid näevad ette, et kui järelevalveasutus on seisukohal, et käesoleva artikli lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesoleva direktiivi kohaselt vastu võetud sätteid, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, annab järelevalveasutus hiljemalt kuue nädala jooksul alates konsulteerimise taotluse saamisest vastutavale töötlejale ja kui see on kohaldatav, volitatud töötlejale kirjalikult nõu ning võib kasutada artiklis 47 osutatud volitusi. Nimetatud tähtaega võib pikendada ühe kuu võrra, arvestades kavandatud isikuandmete töötlemise keerukust. Järelevalveasutus teavitab vastutavat töötlejat ja kui see on kohaldatav, volitatud töötlejat tähtaja pikendamisest ühe kuu jooksul alates konsulteerimise taotluse saamisest, koos tähtaja pikendamise põhjustega.

2. jagu

Isikuandmete turvalisus

Artikkel 29

Isikuandmete töötlemise turvalisus

1.   Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohtusid füüsiliste isikute õigustele ja vabadustele arvesse võttes ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, eelkõige seoses artiklis 10 osutatud isikuandmete eriliikide töötlemisega.

2.   Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad ohuhindamise alusel automatiseeritud andmetöötluse suhtes meetmeid, et:

a)

keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll);

b)

hoida ära andmekandjate loata lugemine, kopeerimine, muutmine või kõrvaldamine (andmekandjate kontroll);

c)

hoida ära isikuandmete loata sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine (säilitamise kontroll);

d)

hoida ära automatiseeritud andmetöötlussüsteemi andmesidevahendite abil kasutamine volitamata isikute poolt (kasutajate kontroll);

e)

tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs üksnes nendele isikuandmetele, mida hõlmab nende juurdepääsuluba (juurdepääsukontroll);

f)

tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud või millistele asutustele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll);

g)

tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll);

h)

hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll);

i)

tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine);

j)

tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks säilitatavate isikuandmete moonutamist (terviklus).

Artikkel 30

Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1.   Liikmesriigid näevad ette, et isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.

2.   Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.

3.   Lõikes 1 osutatud teates tuleb vähemalt

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv;

b)

teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktpunkti nimi ja kontaktandmed;

c)

kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)

kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas asjakohasel juhul rikkumise võimaliku kahjuliku mõju leevendamiseks.

4.   Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.

5.   Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib kõik lõikes 1 osutatud isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist.

6.   Liikmesriigid näevad ette, et kui isikuandmetega seotud rikkumine puudutab isikuandmeid, mis on edastatud teise liikmesriigi vastutava töötleja poolt või teise liikmesriigi vastutavale töötlejale, edastatakse lõikes 3 osutatud teave põhjendamatu viivituseta kõnealuse liikmesriigi vastutavale töötlejale.

Artikkel 31

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1.   Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, näevad liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.

2.   Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 30 lõike 3 punktides b, c ja d ette nähtud teave ja meetmed.

3.   Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta, kui esineb üks järgmistest tingimustest:

a)

vastutav töötleja on rakendanud asjakohaseid tehnoloogilisi ja korralduslikke kaitsemeetmeid ning neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

b)

vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu realiseerumine andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline;

c)

see nõuaks ebaproportsionaalset jõupingutust. Sellisel juhul tehakse andmesubjekti teavitamise asemel avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

4.   Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib järelevalveasutus pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, sellist teavitamist vastutavalt töötlejalt nõuda või otsustada, et esineb üks lõikes 3 osutatud tingimustest.

5.   Artikli 13 lõikes 3 osutatud tingimustel ja alustel võib andmesubjektile käesoleva artikli lõikes 1 osutatud teabe esitada hiljem või piiratud ulatuses või jätta see esitamata.

3. jagu

Andmekaitseametnik

Artikkel 32

Andmekaitseametniku määramine

1.   Liikmesriigid näevad ette, et vastutav töötleja määrab andmekaitseametniku. Liikmesriigid võivad vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel.

2.   Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige tema ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 34 osutatud ülesandeid.

3.   Mitme pädeva asutuse kohta võib määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust.

4.   Liikmesriigid näevad ette, et vastutav töötleja avaldab andmekaitseametniku kontaktandmed ning edastab need järelevalveasutusele.

Artikkel 33

Andmekaitseametniku ametiseisund

1.   Liikmesriigid näevad ette, et vastutav töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.

2.   Vastutav töötleja toetab andmekaitseametnikku artiklis 34 osutatud ülesannete täitmisel, andes talle kõnealuste ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja nende töötlemise toimingutele.

Artikkel 34

Andmekaitseametniku ülesanded

Liikmesriigid näevad ette, et vastutav töötleja annab andmekaitseametnikule vähemalt järgmised ülesanded:

a)

teavitada ja nõustada vastutavat töötlejat ning isikuandmeid töötlevaid töötajaid nende kohustustest, mis tulenevad käesolevast direktiivist ja muudest liidu või liikmesriikide andmekaitsenormidest;

b)

jälgida käesoleva direktiivi, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduva auditeerimist;

c)

anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning valvata selle toimimise järele vastavalt artiklile 27;

d)

teha koostööd järelevalveasutusega;

e)

tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktpunktina, sealhulgas artiklis 28 osutatud eelneva konsulteerimise puhul, ning konsulteerida asjakohasel juhul ka muudes küsimustes.

V PEATÜKK

Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele

Artikkel 35

Isikuandmete edastamise üldpõhimõtted

1.   Liikmesriigid näevad ette, et pädevad asutused edastavad töödeldavaid või pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist töötlemiseks, sealhulgas andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edasi saatmiseks mõeldud isikuandmeid üksnes juhul, kui on täidetud käesoleva direktiivi muude sätete kohaselt vastu võetud liikmesriigi sätted ja käesolevas peatükis sätestatud tingimused, nimelt:

a)

edastamine on vajalik artikli 1 lõikes 1 sätestatud eesmärkidel;

b)

isikuandmeid edastatakse vastutavale töötlejale kolmandas riigis või rahvusvahelises organisatsioonis, mis on artikli 1 lõikes 1 osutatud eesmärkidel pädev asutus;

c)

juhul kui isikuandmeid edastatakse või tehakse kättesaadavaks teisest liikmesriigist, on kõnealune liikmesriik andnud edastamiseks eelnevalt loa kooskõlas oma siseriikliku õigusega;

d)

komisjon on artikli 36 kohaselt võtnud vastu kaitse piisavuse otsuse või kui sellist otsust ei ole vastu võetud, siis on kehtestatud või võetud artikli 37 kohased piisavad kaitsemeetmed, või kui artikli 36 kohane kaitse piisavuse otsus või 37 kohased piisavad kaitsemeetmed puuduvad, kohaldatakse artikli 38 kohaselt erandeid eriolukordades, ning

e)

andmete edasisaatmise korral muule kolmandale riigile või rahvusvahelisele organisatsioonile annab andmed algselt edastanud pädev asutus või sama liikmesriigi muu pädev asutus loa edasisaatmiseks, olles võtnud nõuetekohaselt arvesse kõiki asjakohaseid tegureid, sealhulgas süüteo raskust, isikuandmete algse edastamise eesmärki ja isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse.

2.   Liikmesriigid näevad ette, et andmete edastamine lõike 1 punkti c kohaselt ilma teise liikmesriigi eelneva loata on lubatud üksnes juhul, kui isikuandmete edastamine on vajalik liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks või liikmesriigi olulise huvi seisukohast ning eelnevat luba ei ole võimalik õigeaegselt saada. Eelneva loa andmise eest vastutavat asutust teavitatakse viivitamata.

3.   Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada füüsiliste isikute kaitse käesoleva direktiiviga ette nähtud tasemel.

Artikkel 36

Edastamine kaitse piisavuse otsuse alusel

1.   Liikmesriigid näevad ette, et isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või asjaomase kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.

2.   Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:

a)

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, riigikaitset, riiklikku julgeolekut, kriminaalõigust ja riigiasutuste juurdepääsu isikuandmetele, ning kõnealuste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktika ning tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

b)

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja jõustamise eest, sealhulgas piisavate täitmise tagamise volituste eest, ning andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ja

c)

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

3.   Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Rakendusakt võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.

4.   Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada lõike 3 kohaselt vastu võetud otsuste toimimist.

5.   Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon rakendusaktidega vastu otsuse, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.

Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 58 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.

6.   Komisjon alustab kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.

7.   Liikmesriigid näevad ette, et lõike 5 kohane otsus ei mõjuta artiklite 37 ja 38 kohaseid isikuandmete edastamisi kolmandale riigile või kõnealuse kolmanda riigi territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.

8.   Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil nende kolmandate riikide, kolmanda riigi territooriumide ja kindlaksmääratud sektorite ning rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.

Artikkel 37

Edastamine asjakohaste kaitsemeetmete kohaldamisel

1.   Artikli 36 lõike 3 kohase otsuse puudumise korral näevad liikmesriigid ette, et isikuandmeid võib edastada kolmandale riigile või rahvusvahelisele organisatsioonile juhul, kui

a)

isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on sätestatud õiguslikult siduvas aktis või

b)

vastutav töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et võetud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed.

2.   Vastutav töötleja teatab järelevalveasutusele lõike 1 punkti b kohaste edastamiste liigid.

3.   Kui edastamine põhineb lõike 1 punktil b, siis dokumenteeritakse selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed ning taotluse korral tehakse dokumendid järelevalveasutusele kättesaadavaks.

Artikkel 38

Erandid eriolukordades

1.   Artikli 36 kohase kaitse piisavuse otsuse või artikli 37 kohaste asjakohaste kaitsemeetmete puudumise korral näevad liikmesriigid ette, et kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete edastamine või edastamistoimingute liik on lubatud üksnes tingimusel, et edastamine on vajalik:

a)

andmesubjekti või teise isiku eluliste huvide kaitsmiseks;

b)

andmesubjekti õigustatud huvi kaitsmiseks, kui isikuandmeid edastava liikmesriigi õiguses on niimoodi ette nähtud;

c)

liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks;

d)

üksikjuhtumite korral artikli 1 lõikes 1 sätestatud eesmärkidel või

e)

üksikjuhtumi korral artikli 1 lõikes 1 sätestatud eesmärkidega seotud konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

2.   Isikuandmeid ei edastata, kui edastav pädev asutus leiab, et asjaomase andmesubjekti põhiõigused ja -vabadused kaaluvad üles lõike 1 punktides d ja e sätestatud avaliku huvi andmete edastamiseks.

3.   Kui edastamine põhineb lõikel 1, siis on selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed, dokumenteeritud ning dokumendid tehakse taotluse korral järelevalveasutusele kättesaadavaks.

Artikkel 39

Isikuandmete edastamine kolmandates riikides asuvatele vastuvõtjatele

1.   Erandina artikli 35 lõike 1 punktist b ja ilma et see piiraks käesoleva artikli lõikes 2 osutatud rahvusvaheliste lepingute kohaldamist, võib liidu või liikmesriigi õigusega ette näha, et artikli 3 punkti 7 alapunktis a osutatud pädevad asutused võivad üksikute ja konkreetsete juhtumite korral edastada isikuandmeid kolmandates riikides asuvatele vastuvõtjatele otse üksnes juhul, kui järgitakse käesoleva direktiivi muid sätteid ja kui on täidetud kõik järgmised tingimused:

a)

edastamine on rangelt vajalik edastava pädeva asutuse liidu või liikmesriigi õiguses sätestatud ülesande täitmiseks artikli 1 lõikes 1 sätestatud eesmärkidel;

b)

edastav pädev asutus leiab, et ükski asjaomase andmesubjekti põhiõigus ega -vabadus ei kaalu konkreetse juhtumi puhul üles avalikku huvi, mis teeb vajalikuks edastamise;

c)

edastav pädev asutus leiab, et edastamine kolmanda riigi asutusele, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, ei ole tõhus või asjakohane, eelkõige sellepärast, et seda ei ole võimalik teha õigeaegselt;

d)

kolmanda riigi asutust, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, teavitatakse põhjendamatu viivituseta, välja arvatud juhul, kui see ei ole tõhus või asjakohane;

e)

edastav pädev asutus teavitab vastuvõtjat konkreetsest eesmärgist või konkreetsetest eesmärkidest, millega seoses viimane isikuandmeid töödelda võib, eeldusel et selline töötlemine on vajalik.

2.   Lõikes 1 osutatud rahvusvaheline leping on liikmesriikide ja kolmandate riikide vaheline kahepoolne või mitmepoolne rahvusvaheline leping kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

3.   Edastav pädev asutus teatab käesoleva artikli kohastest edastamistest järelevalveasutusele.

4.   Kui edastamine põhineb lõikel 1, tuleb selline edastamine dokumenteerida.

Artikkel 40

Isikuandmete kaitseks tehtav rahvusvaheline koostöö

Komisjon ja liikmesriigid võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et

a)

töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusat täitmise tagamist;

b)

osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamisel, kaebuste edasisaatmisel käsitlemiseks, uurimisabi ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitse meetmeid ning muid põhiõigusi ja -vabadusi;

c)

kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)

edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvust puudutavate lahkarvamuste küsimuses.

VI PEATÜKK

Sõltumatud järelevalveasutused

1. jagu

Sõltumatus

Artikkel 41

Järelevalveasutus

1.   Iga liikmesriik näeb ette, et üks või mitu sõltumatut riigiasutust vastutab käesoleva direktiivi kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi nende isikuandmete töötlemisel ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).

2.   Iga järelevalveasutus annab panuse selleks, et tagada käesoleva direktiivi järjekindel kohaldamine kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga.

3.   Liikmesriigid võivad sätestada, et määruse (EL) 2016/679 kohaselt loodud järelevalveasutus on käesolevas direktiivis osutatud järelevalveasutus ja ta vastutab käesoleva artikli lõike 1 kohaselt loodava järelevalveasutuse ülesannete täitmise eest.

4.   Kui liikmesriigis on rohkem kui üks järelevalveasutus, määrab liikmesriik ühe järelevalveasutuse, kes esindab neid asutusi artiklis 51 osutatud andmekaitsenõukogus.

Artikkel 42

Sõltumatus

1.   Liikmesriigid näevad ette, et nende järelevalveasutused tegutsevad käesoleva direktiivi kohaselt oma ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2.   Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed on oma käesoleva direktiivi kohaste ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning et nad ei küsi ega võta vastu juhiseid mitte kelleltki.

3.   Liikmesriikide järelevalveasutuste liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul oma kohustustega kokkusobimatul tasustatud või tasustamata ametikohal.

4.   Liikmesriigid näevad ette, et nende järelevalveasutustel on inim-, tehnilised ja rahalised ressursid ning ruumid ja taristu oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.

5.   Liikmesriigid näevad ette, et nende järelevalveasutustel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele.

6.   Liikmesriigid näevad ette, et nende järelevalveasutuste üle teostatakse sellist finantskontrolli, mis ei mõjuta nende sõltumatust ning et neil on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest.

Artikkel 43

Järelevalveasutuse liikmetele esitatavad üldtingimused

1.   Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed nimetab läbipaistva menetluse teel ametisse:

asjaomase liikmesriigi parlament,

asjaomase liikmesriigi valitsus,

asjaomase liikmesriigi riigipea või

liikmesriigi õiguse kohaselt asjaomaseid liikmeid ametisse nimetama volitatud sõltumatu asutus.

2.   Igal liikmel on oma kohustuste täitmiseks ja volituste kasutamiseks vajalik kvalifikatsioon, kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.

3.   Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või kohustusliku pensionilemineku korral kooskõlas asjaomase liikmesriigi õigusega.

4.   Liige vabastatakse ametist ainult tõsise üleastumise korral või juhul, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele.

Artikkel 44

Järelevalveasutuse asutamise eeskirjad

1.   Liikmesriik sätestab õigusega::

a)

järelevalveasutuse asutamise;

b)

järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused;

c)

eeskirjad ja menetlused järelevalveasutuse liikmete ametisse nimetamiseks;

d)

järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 6. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust;

e)

selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning

f)

tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid.

2.   Järelevalveasutuse liige või liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii ametiaja jooksul kui ka pärast seda hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis on neile teatavaks saanud nende ülesannete täitmisel või volituste kasutamisel. Liikmete ametiaja jooksul kohaldatakse kõnealust ametisaladuse hoidmise kohustust eelkõige juhtudel, kui füüsilisi isikud teavitavad käesoleva direktiivi rikkumistest.

2. jagu

Pädevus, ülesanded ja volitused

Artikkel 45

Pädevus

1.   Liikmesriigid näevad ette, et nende järelevalveasutused on oma liikmesriigi territooriumil pädevad täitma ülesandeid ja kasutama volitusi, mis on neile kooskõlas käesoleva direktiiviga pandud.

2.   Liikmesriigid näevad ette, et nende järelevalveasutused ei ole pädevad valvama kohtute isikuandmete töötlemise toimingute järele, kui kohtud täidavad õigusemõistmise funktsiooni. Liikmesriigid võivad sätestada, et nende järelevalveasutused ei ole pädevad valvama muude sõltumatute õigusasutuste isikuandmete töötlemise toimingute järele, kui need õigusasutused teevad menetlusotsuseid.

Artikkel 46

Ülesanded

1.   Liikmesriigid näevad ette, et järelevalveasutusel on liikmesriigi territooriumil järgmised ülesanded:

a)

valvata käesoleva direktiivi kohaselt vastu võetud sätete ja direktiivi rakendusmeetmete kohaldamise järele ning nende tagada kohaldamist;

b)

suurendada üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise kohta kehtivatest normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest;

c)

nõustada kooskõlas liikmesriigi õigusega liikmesriigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)

edendada vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva direktiivi kohastest kohustustest;

e)

anda andmesubjektile taotluse korral teavet tema käesolevast direktiivist tulenevate õiguste teostamise kohta ja teha asjakohasel juhul sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

f)

käsitleda andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 55 kohaselt esitatud kaebusi, uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)

kontrollida isikuandmete töötlemise seaduslikkust vastavalt artiklile 17 ning teavitada andmesubjekti mõistliku aja jooksul artikli 17 lõike 3 kohase kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest;

h)

teha koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet, ja osutada vastastikust abi, et tagada käesoleva direktiivi ühetaoline kohaldamine ja täitmise tagamine;

i)

toimetada uurimisi käesoleva direktiivi kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

j)

jälgida asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja kommunikatsioonitehnoloogia arengut;

k)

anda nõu artiklis 28 osutatud isikuandmete töötlemise toimingute osas ning

l)

anda panus andmekaitsenõukogu tegevusse.

2.   Järelevalveasutus võtab meetmeid lõike 1 punktis f osutatud kaebuste esitamise hõlbustamiseks, näiteks annab kaebuste esitamise vormi, mida saab ka täita elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3.   Järelevalveasutus täidab oma ülesandeid andmesubjekti ja andmekaitseametniku jaoks tasuta.

4.   Kui taotlus on selgelt põhjendamatu või ülemäärane, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda oma halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane.

Artikkel 47

Volitused

1.   Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad uurimisvolitused. Kõnealused volitused hõlmavad vähemalt õigust saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele töödeldavatele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks.

2.   Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad parandusvolitused, näiteks järgmised:

a)

hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesolevat direktiivi;

b)

anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud tähtaja jooksul vastavusse käesoleva direktiiviga, eelkõige nõudes isikuandmete parandamist, kustutamist või isikuandmete töötlemise piiramist vastavalt artiklile 16;

c)

kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas isikuandmete töötlemise keeld.

3.   Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad nõuandevolitused nõustada vastutavat töötlejat kooskõlas artiklis 28 osutatud eelneva konsulteerimise menetluse käigus ning esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi liikmesriigi parlamendile, valitsusele või kooskõlas liikmesriigi õigusega muudele institutsioonidele ja asutustele ning samuti avalikkusele.

4.   Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

5.   Liikmesriigid näevad õiguses ette, et järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva direktiivi kohaselt vastu võetud sätete rikkumistele ning algatada asjakohasel juhul kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva direktiivi kohaselt vastu võetud sätete täitmine.

Artikkel 48

Rikkumistest teatamine

Liikmesriigid näevad ette, et pädevad asutused võtavad kasutusele tõhusad mehhanismid, et ergutada konfidentsiaalset teatamist käesoleva direktiivi rikkumistest.

Artikkel 49

Tegevusaruanne

Järelevalveasutus koostab oma tegevuse kohta aastaaruande, mis võib sisaldada teavitatud rikkumiste ja määratud karistuste liikide loetelu. Aruanded edastatakse liikmesriigi parlamendile, valitsusele ja muudele liikmesriigi õigusega kindlaks määratud asutustele. Aruanne tehakse kättesaadavaks avalikkusele, komisjonile ja andmekaitsenõukogule.

VII PEATÜKK

Koostöö

Artikkel 50

Vastastikune abi

1.   Liikmesriigid näevad ette, et nende järelevalveasutused annavad üksteisele asjakohast teavet ja vastastikust abi käesoleva direktiivi järjepidevaks rakendamiseks ja kohaldamiseks ning võtavad meetmeid omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.

2.   Liikmesriigid näevad ette, et järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise toimetamise kohta.

3.   Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatud teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.

4.   Taotluse saanud järelevalveasutus ei või selle täitmisest keelduda, välja arvatud juhul, kui

a)

ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või

b)

taotluse täitmine rikuks käesolevat direktiivi või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigust.

5.   Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või asjakohasel juhul asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse täitmisest keeldumise põhjused vastavalt lõikele 4.

6.   Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe üldjuhul elektrooniliselt, kasutades selleks tüüpvormi.

7.   Taotluse saanud järelevalveasutused ei võta nende poolt vastastikuse abi taotluse alusel võetud meetmete eest tasu. Järelevalveasutused võivad kokku leppida vastastikuse abi osutamisel erandjuhtudel tekkivate konkreetsete kulude üksteisele hüvitamise normid.

8.   Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 51

Andmekaitsenõukogu ülesanded

1.   Määrusega (EL) 2016/679 asutatud andmekaitsenõukogu täidab käesoleva direktiivi kohaldamisalasse kuuluva isikuandmete töötlemise valdkonnas järgmisi ülesandeid:

a)

annab komisjonile nõu liidus isikuandmete kaitse küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta;

b)

vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva direktiivi kohaldamist käsitlevaid küsimusi ning annab käesoleva direktiivi järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

c)

koostab järelevalveasutustele suuniseid seoses artikli 47 lõigetes 1 ja 3 osutatud meetmete kohaldamisega;

d)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 30 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

e)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tuua tõenäoliselt kaasa suure ohtu füüsiliste isikute õigustele ja vabadustele, nagu on osutatud artikli 31 lõikes 1;

f)

vaatab läbi punktides b ja c osutatud suuniste, soovituste ja parimate tavade praktilise kohaldamise;

g)

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis, territooriumil või ühes või mitmes kolmanda riigi konkreetses sektoris või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas selline kolmas riik, territoorium, kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset;

h)

edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja parimate tavade vahetamist;

i)

edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

j)

edendab teadmiste ja dokumentide vahetamist andmekaitset käsitleva õiguse ja tava kohta andmekaitse järelevalveasutustega kogu maailmas.

Seoses esimese lõigu punktiga g esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, kõnealuse kolmanda riigi, territooriumi või kõnealuse kolmanda riigi kindlaksmääratud sektoriga või rahvusvahelise organisatsiooniga.

2.   Kui komisjon küsib andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3.   Andmekaitsenõukogu esitab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artikli 58 lõikes 1 osutatud komiteele ning avalikustab need.

4.   Komisjon teavitab andmekaitsenõukogu meetmetest, mida ta võtnud andmekaitsenõukogu arvamuste, suuniste, soovituste ja parimate tavade alusel.

VIII PEATÜKK

Õiguskaitsevahendid, vastutus ja karistused

Artikkel 52

Õigus esitada järelevalveasutusele kaebus

1.   Ilma et see piiraks teiste halduslike kaitsevahendite või õiguskaitsevahendite kohaldamist, näevad liikmesriigid ette, et andmesubjektil on õigus esitada kaebus ühele järelevalveasutusele, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesoleva direktiivi kohaselt vastu võetud sätteid.

2.   Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, edastab selle põhjendamatu viivituseta pädevale järelevalveasutusele, kui kaebust ei esitata sellele järelevalveasutusele, kes on pädev vastavalt artikli 45 lõikele 1. Andmesubjekti teavitatakse kaebuse edastamisest.

3.   Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, annab andmesubjekti taotluse korral talle edasist abi.

4.   Pädev järelevalveasutus teavitab andmesubjekti kaebuse menetlemise edenemisest ja tulemusest, kaasa arvatud artikli 53 kohase õiguskaitsevahendi kasutamise võimalusest.

Artikkel 53

Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu

1.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, näevad liikmesriigid ette, et füüsilisel ja juriidilisel isikul on õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

2.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artikli 45 lõike 1 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 52 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.

3.   Liikmesriigid näevad ette, et menetlus järelevalveasutuse vastu algatatakse selle liikmesriigi kohtus, kus järelevalveasutus on asutatud.

Artikkel 54

Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu

Ilma et see piiraks kättesaadavate halduslike kaitsevahendite või kohtuväliste heastamisvahendite kasutamist, sealhulgas artikli 52 kohast õigust esitada kaebus järelevalveasutusele, näevad liikmesriigid ette, et andmesubjektil, kes leiab, et käesoleva direktiivi sätteid rikkuva isikuandmete töötlemise tulemusena on rikutud kõnealustest sätetest talle tulenevaid õigusi, on õigus kasutada tõhusat õiguskaitsevahendit.

Artikkel 55

Andmesubjektide esindamine

Liikmesriigid näevad kooskõlas oma menetlusõigusega ette, et andmesubjektil on õigus volitada mittetulunduslikku asutust, organisatsiooni või ühendust, kes on vastavalt liikmesriigi õigusele nõuetekohaselt asutatud, kelle põhikirjajärgsed eesmärgid on avalikes huvides ja kes tegutseb andmesubjektide õiguste ja vabaduste kaitsmise valdkonnas seoses nende isikuandmete kaitsmisega, esitama tema nimel kaebust ja teostama tema nimel artiklites 52, 53 ja 54 osutatud õigusi.

Artikkel 56

Õigus hüvitisele

Liikmesriigid näevad ette, et igal isikul, kellele on tekitatud varaline või mittevaraline kahju ebaseadusliku isikuandmete töötlemise toimingu või käesoleva direktiivi kohaselt vastu võetud liikmesriigi sätteid rikkuva toimingu tagajärjel, on õigus saada vastutavalt töötlejalt või mõnelt muult liikmesriigi õiguse alusel pädevalt asutuselt hüvitist tekitatud kahju eest.

Artikkel 57

Karistused

Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi kohaselt vastu võetud sätete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja heidutavad.

IX PEATÜKK

Rakendusaktid

Artikkel 58

Komiteemenetlus

1.   Komisjoni abistab määruse (EL) 2016/679 artikli 93 alusel loodud komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2.   Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

3.   Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.

X PEATÜKK

Lõppsätted

Artikkel 59

Raamotsuse 2008/977/JSK kehtetuks tunnistamine

1.   Raamotsus 2008/977/JSK tunnistatakse kehtetuks alates 6. maist 2018.

2.   Viiteid lõikes 1 osutatud kehtetuks tunnistatud otsusele käsitatakse viidetena käesolevale direktiivile.

Artikkel 60

Kehtivad liidu õigusaktid

Käesolev direktiiv ei mõjuta isikuandmete kaitse erisätteid, mis jõustusid 6. mail 2016 või enne seda kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt käesoleva direktiivi kohaldamisala ulatuses loodud infosüsteemidele.

Artikkel 61

Seos varem sõlmitud rahvusvaheliste lepingutega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal

Isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist hõlmavad rahvusvahelised lepingud, mille liikmesriigid sõlmisid enne 6. maid 2016, ja mida kohaldati kooskõlas liidu õigusega enne 6. maid 2016, jäävad jõusse kuni nende muutmise, asendamise või lõpetamiseni.

Artikkel 62

Komisjoni aruanded

1.   Hiljemalt 6. mail 2022 ja seejärel iga nelja aasta tagant esitab komisjon Euroopa Parlamendile ja nõukogule aruande käesoleva direktiivi hindamise ja läbivaatamise kohta.

2.   Lõikes 1 osutatud hindamiste ja läbivaatamiste käigus analüüsib komisjon eelkõige isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamist käsitleva V peatüki sätete kohaldamist ja toimimist, pöörates erilist tähelepanu artikli 36 lõike 3 ja artikli 39 kohaselt vastu võetud otsustele.

3.   Lõigetes 1 ja 2 osutatud eesmärkidel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt.

4.   Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste asutuste ja allikate seisukohti ja tähelepanekuid.

5.   Vajaduse korral esitab komisjon asjakohased ettepanekud käesoleva direktiivi muutmiseks, võttes eelkõige arvesse infotehnoloogia ja -ühiskonna arengut.

6.   Komisjon vaatab hiljemalt 6. mail 2019 läbi muud liidu vastu võetud õigusaktid, millega reguleeritakse pädevate asutuste poolt isikuandmete töötlemist artikli 1 lõikes 1 sätestatud eesmärkidel, kaasa arvatud artiklis 60 osutatud õigusaktid, et hinnata vajadust viia need vastavusse käesoleva direktiiviga ning asjakohasel juhul teha vajalikud ettepanekud nende muutmiseks, et tagada järjepidev lähenemine isikuandmete kaitsele käesoleva direktiivi kohaldamisalas.

Artikkel 63

Ülevõtmine

1.   Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt 6. mail 2018. Nad edastavad kõnealuste normide teksti viivitamata komisjonile. Nad kohaldavad kõnealuseid norme alates 6. maist 2018.

Kui liikmesriigid need normid vastu võtavad, lisavad nad nende ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.

2.   Erandina lõikest 1 võib liikmesriik sätestada, et kui sellega kaasneb ebaproportsionaalne jõupingutus, viiakse enne 6. maid 2016 loodud automatiseeritud isikuandmete töötlemissüsteemid erandjuhul artikli 25 lõikega 1 vastavusse 6. maiks 2023.

3.   Erandina käesoleva artikli lõigetest 1 ja 2 võib liikmesriik erandlike asjaolude korral viia käesoleva artikli lõikes 2 osutatud automatiseeritud isikuandmete töötlemissüsteemi vastavusse artikli 25 lõikega 1 kindlaksmääratud tähtaja jooksul pärast käesoleva artikli lõikes 2 osutatud tähtaega, kui vastasel juhul tekiks tõsiseid raskusi kõnealuse konkreetse automatiseeritud töötlemissüsteemi toimimises. Asjaomane liikmesriik teavitab komisjoni kõnealuste tõsiste raskuste põhjustest ja sellise kindlaksmääratud tähtaja põhjustest, mille jooksul ta viib nimetatud konkreetse automatiseeritud töötlemissüsteemi vastavusse artikli 25 lõikega 1. Kindlaksmääratud tähtpäev ei või mingil juhul olla hilisem kui 6. mai 2026.

4.   Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas vastuvõetud põhiliste siseriiklike õigusnormide teksti.

Artikkel 64

Jõustumine

Käesolev direktiiv jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikkel 65

Adressaadid

Käesolev direktiiv on adresseeritud liikmesriikidele.

Brüssel, 27. aprill 2016

Euroopa Parlamendi nimel

president

M. SCHULZ

Nõukogu nimel

eesistuja

J.A. HENNIS-PLASSCHAERT


(1)  ELT C 391, 18.12.2012, lk 127.

(2)  Euroopa Parlamendi 12. märtsi 2014. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. aprilli 2016. aasta esimese lugemise seisukoht (Euroopa Liidu Teatajas seni avaldamata). Euroopa Parlamendi 14. aprilli 2016. aasta seisukoht.

(3)  Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).

(4)  Nõukogu 27. novembri 2008. aasta raamotsus 2008/977/JSK kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta (ELT L 350, 30.12.2008, lk 60).

(5)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (vt käesoleva Euroopa Liidu Teataja lk 1).

(6)  Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(7)  Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).

(8)  Nõukogu 24. jaanuari 2005. aasta ühine seisukoht 2005/69/JSK teatavate andmete vahetamise kohta Interpoliga (ELT L 27, 29.1.2005, lk 61).

(9)  Nõukogu 12. juuni 2007. aasta otsus 2007/533/JSK, mis käsitleb teise põlvkonna Schengeni infosüsteemi (SIS II) loomist, toimimist ja kasutamist (ELT L 205, 7.8.2007, lk 63).

(10)  Nõukogu 22. märtsi 1977. aasta direktiiv 77/249/EMÜ õigusteenuste osutamise vabaduse tulemuslikuma elluviimise kohta (EÜT L 78, 26.3.1977, lk 17).

(11)  Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(12)  Nõukogu 23. juuni 2008. aasta otsus 2008/615/JSK piiriülese koostöö tõhustamise kohta, eelkõige seoses terrorismi- ja piiriülese kuritegevuse vastase võitlusega (ELT L 210, 6.8.2008, lk 1).

(13)  Nõukogu 29. mai 2000. aasta akt, millega kehtestatakse Euroopa Liidu lepingu artikli 34 kohane konventsioon Euroopa Liidu riikide vahelise vastastikuse õigusabi kohta kriminaalasjades (EÜT C 197, 12.7.2000, lk 1).

(14)  Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiv 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT L 335, 17.12.2011, lk 1).

(15)  EÜT L 176, 10.7.1999, lk 36.

(16)  ELT L 53, 27.2.2008, lk 52.

(17)  ELT L 160, 18.6.2011, lk 21.

(18)  ELT C 192, 30.6.2012, lk 7.


4.5.2016   

ET

Euroopa Liidu Teataja

L 119/132


EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2016/681,

27. aprill 2016,

mis käsitleb broneeringuinfo kasutamist terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 82 lõike 1 punkti d ja artikli 87 lõike 2 punkti a,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust (1),

pärast konsulteerimist Regioonide Komiteega,

toimides seadusandliku tavamenetluse kohaselt (2)

ning arvestades järgmist:

(1)

Komisjon võttis 6. novembril 2007 vastu nõukogu raamotsuse ettepaneku broneeringuinfo (PNR andmed) kasutamise kohta õiguskaitse eesmärkidel. Lissaboni lepingu jõustumisel 1. detsembril 2009 aegus komisjoni ettepanek, mida nõukogu ei olnud selleks kuupäevaks veel vastu võtnud.

(2)

„Stockholmi programmis – avatud ja turvaline Euroopa kodanike teenistuses ja nende kaitsel“ (3) kutsutakse komisjoni üles esitama ettepanek broneeringuinfo kasutamise kohta terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks.

(3)

Komisjon visandas kõnealuse valdkonna liidu poliitika põhielemendid oma 21. septembri 2010. aasta teatises broneeringuinfo kolmandatele riikidele edastamist käsitleva üldise lähenemisviisi kohta.

(4)

Nõukogu direktiiviga 2004/82/EÜ (4) reguleeritakse reisijaid käsitleva eelteabe (API andmed) edastamist lennuettevõtjate poolt riigi pädevatele asutustele piirikontrolli parandamise ja ebaseadusliku sisserände vastu võitlemise eesmärgil.

(5)

Käesoleva direktiivi eesmärgid on muu hulgas tagada julgeolek, kaitsta isikute elu ja turvalisust ning luua õigusraamistik broneeringuinfo kaitseks selle töötlemisel pädevate asutuste poolt.

(6)

Broneeringuinfo tõhus kasutamine (näiteks võrreldes broneeringuinfot andmetega erinevates tagaotsitavate isikute ja esemete andmeid sisaldavates andmebaasides) on vajalik, et terroriakte ja raskeid kuritegusid ennetada, avastada, uurida ja nende eest vastutusele võtta ning parandada sellega sisejulgeolekut, et koguda tõendeid ning et vajaduse korral tuvastada kurjategijate kaasosalisi ja paljastada kuritegelikke võrgustikke.

(7)

Broneeringuinfo hindamine võimaldab tuvastada isikud, keda enne sellist hindamist ei kahtlustatud seotuses terroriaktide või raskete kuritegudega ja keda pädevad asutused peaksid täiendavalt uurima. Broneeringuinfot kasutades on terroriaktide ja raskete kuritegude ohuga võimalik võidelda teisest perspektiivist kui muude isikuandmete kategooriate töötlemise kaudu. Ent selle tagamiseks, et broneeringuinfot töödeldaks nii piiratud ulatuses kui vajalik, tuleks hindamiskriteeriumite loomisel ja kohaldamisel piirduda terroriaktide ja raskete kuritegudega, mille puhul on selliste kriteeriumite kasutamine asjakohane. Lisaks tuleks hindamiskriteeriumid kindlaks määrata viisil, mis tagab, et süsteem tuvastaks ekslikult võimalikult vähe süütuid isikuid.

(8)

Lennuettevõtjad juba koguvad ja töötlevad oma reisijate broneeringuinfot ärilistel eesmärkidel. Käesolev direktiiv ei tohiks panna lennuettevõtjatele kohustust koguda reisijatelt täiendavaid andmeid või neid säilitada ega panna reisijatele kohustust esitada täiendavaid andmeid lisaks neile, mis lennuettevõtjaile juba niigi esitatakse.

(9)

Mõned lennuettevõtjad säilitavad nende poolt kogutud broneeringuinfo osana reisijaid käsitlevat eelteavet, teised aga mitte. Broneeringuinfo kasutamine koos reisijaid käsitleva eelteabega loob lisaväärtust, sest see aitab liikmesriikidel tuvastada isikusamasust ja suurendada seeläbi selle tulemuse väärtust õiguskaitse seisukohast ning vähendada riski, et kontrollitakse ja uuritakse süütuid isikuid. Seetõttu on oluline tagada, et juhul kui lennuettevõtjad koguvad reisijaid käsitlevat eelteavet, edastaksid nad selle sõltumata sellest, kas nad säilitavad nimetatud eelteavet muust broneeringuinfost tehniliselt erineval viisil.

(10)

Terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks on oluline, et kõik liikmesriigid kehtestaksid sätted, millega nähakse ELi-väliseid lende korraldavatele lennuettevõtjatele ette kohustus edastada kogutud broneeringuinfo, sealhulgas reisijaid käsitlev eelteave. Liikmesriikidel peaks olema ka võimalus laiendada nimetatud kohustust ELi-siseseid lende korraldavatele lennuettevõtjatele. Kõnealused sätted ei tohiks piirata nõukogu direktiivi 2004/82/EÜ kohaldamist.

(11)

Isikuandmete töötlemine peaks olema proportsionaalne käesoleva direktiivi konkreetsete julgeolekueesmärkidega.

(12)

Käesolevas direktiivis tuleks kohaldada sama terroriaktide määratlust kui nõukogu raamotsuses 2002/475/JSK (5). Raske kuriteo määratlus peaks hõlmama käesoleva direktiivi II lisas loetletud kuriteokategooriaid.

(13)

Broneeringuinfo tuleks edastada asjaomase liikmesriigi ühte kindlaksmääratud broneeringuinfo üksusesse, et tagada selgus ja vähendada lennuettevõtjate kulusid. Broneeringuinfo üksusel võib ühe liikmesriigi piires olla mitu allüksust ning liikmesriigid võivad ühiselt asutada ka ühe broneeringuinfo üksuse. Liikmesriigid peaksid selleks, et hõlbustada teabevahetust ja tagada koostalitlusvõime, vahetama omavahel teavet asjakohaste teabevahetusvõrkude kaudu.

(14)

Broneeringuinfo kasutamise, säilitamise ja vahetamise kulud peaksid kandma liikmesriigid.

(15)

Broneeringuinfo üksusele esitatava broneeringuinfo loetelu koostamisel tuleks võtta arvesse riigiasutuste õiguspärast nõuet ennetada, avastada, uurida terroriakte ja raskeid kuritegusid ning nende eest vastutusele võtta, parandades sellega liidu sisejulgeolekut ning kaitstes põhiõigusi, eelkõige õigust eraelu puutumatusele ja isikuandmete kaitsele. Sel eesmärgil tuleks kohaldada kõrgeid standardeid kooskõlas Euroopa Liidu põhiõiguste hartaga („harta“), konventsiooniga üksikisikute kaitse kohta isikuandmete automatiseeritud töötlemisel („konventsioon nr 108“) ning Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga. Selline loetelu ei tohiks põhineda isiku rassil või etnilisel päritolul, usutunnistusel või veendumusel, poliitilisel või muul seisukohal, ametiühingusse kuuluvusel, terviseseisundil, seksuaalelul või seksuaalsel sättumusel. Broneeringuinfo peaks sisaldama üksnes reisijate broneeringuid ja marsruute käsitlevaid üksikasju, mis võimaldavad pädevatel asutustel tuvastada sisejulgeolekut ohustada võivaid lennureisijaid.

(16)

Praegu on olemas kaks võimalikku andmeedastusmeetodit: tõmbemeetod, mille puhul saab broneeringuinfot taotleva liikmesriigi pädev asutus juurdepääsu lennuettevõtja broneerimissüsteemi ja teeb endale vajalikust broneeringuinfost koopia, ning tõukemeetod, mille puhul edastab lennuettevõtja nõutava broneeringuinfo seda taotlevale pädevale asutusele, võimaldades lennuettevõtjatel seega säilitada kontrolli selle üle, milliseid andmeid esitatakse. Tõukemeetodit peetakse andmekaitse seisukohast paremaks ja see peaks olema kohustuslik kõigile lennuettevõtjatele.

(17)

Komisjon toetab broneeringuinfot käsitlevaid Rahvusvahelise Tsiviillennunduse Organisatsiooni (ICAO) suuniseid. Kõnealused suunised tuleks seega võtta aluseks lennuettevõtjate poolt liikmesriikidele broneeringuinfo edastamisel kasutatavate toetatavate andmevormingute vastuvõtmisel. Selleks et tagada toetatavate andmevormingute ning lennuettevõtjate poolse broneeringuinfo edastamise suhtes kohaldatavate asjaomaste protokollide ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (6).

(18)

Liikmesriigid peaksid võtma kõik vajalikud meetmed, et võimaldada lennuettevõtjatel täita käesoleva direktiivi kohaseid kohustusi. Liikmesriigid peaksid nägema broneeringuinfo edastamise kohustusi rikkuvatele lennuettevõtjatele ette tõhusad, proportsionaalsed ja hoiatavad karistused, sealhulgas rahalised karistused.

(19)

Iga liikmesriik peaks vastutama terroriaktide ja raskete kuritegudega seonduvate võimalike ohtude hindamise eest.

(20)

Võttes täielikult arvesse õigust isikuandmete kaitsele ja mittediskrimineerimisele, ei tohiks üksnes automaatselt töödeldud broneeringuinfo põhjal teha otsust, millel on isikule negatiivsed õiguslikud tagajärjed või mis teda oluliselt mõjutab. Peale selle ei tohiks harta artiklite 8 ja 21 kohaselt ükski selline otsus diskrimineerida mis tahes alusel, näiteks isiku soo, rassi, nahavärvi, etnilise või sotsiaalse päritolu, geneetiliste omaduste, keele, usutunnistuse või veendumuste, poliitiliste või muude seisukohtade, rahvusvähemusse kuulumise, varalise seisundi, sünnipära, puude, vanuse või seksuaalse sättumuse tõttu. Kui komisjon vaatab läbi käesoleva direktiivi kohaldamise, peaks ta nimetatud põhimõtteid arvesse võtma.

(21)

Liikmesriigid ei tohiks mingil juhul kasutada broneeringuinfo töötlemise tulemusi selleks, et hoiduda täitmast oma rahvusvahelisi kohustusi, mis tulenevad 28. juuli 1951. aasta pagulasseisundi konventsioonist, mida on muudetud 31. jaanuari 1967. aasta New Yorgi protokolliga, ega selleks, et keelata varjupaigataotlejatele ohutud ja tõhusad seaduslikud võimalused siseneda liidu territooriumile, kus nad saaksid kasutada oma õigust rahvusvahelisele kaitsele.

(22)

Võttes täielikult arvesse Euroopa Liidu Kohtu hiljutisest kohtupraktikast tulenevaid põhimõtteid, peaks käesoleva direktiivi kohaldamisel tagama põhiõiguste, eraelu puutumatuse ja proportsionaalsuse põhimõtte austamise. Käesoleva direktiivi kohaldamisel tuleks samuti täita vajalikkuse ja proportsionaalsuse eesmärke, et saavutada liidu tunnustatud üldised huvid ning võtta arvesse vajadust kaitsta teiste inimeste õigusi ja vabadusi terroriaktide ja raskete kuritegude vastu võitlemisel. Käesoleva direktiivi kohaldamine peaks olema asjakohaselt põhjendatud ja kasutada tuleks vajalikke kaitsemeetmeid, et tagada broneeringuinfo säilitamise, analüüsi, edastamise ja kasutamise õiguspärasus.

(23)

Liikmesriigid peaksid nende poolt saadavat broneeringuinfot jagama omavahel ja Europoliga, kui seda peetakse vajalikuks terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks või nende eest vastutusele võtmiseks. Broneeringuinfo üksused peaksid juhul, kui see on asjakohane, edastama broneeringuinfo töötlemise tulemuse viivitamata teiste liikmesriikide broneeringuinfo üksustele täiendavaks uurimiseks. Käesoleva direktiivi sätted ei tohiks piirata muid liidu õigusakte politsei ja muude õiguskaitseasutuste ning õigusasutuste vahelise teabevahetuse kohta, sealhulgas nõukogu otsust 2009/371/JSK (7) ja nõukogu raamotsust 2006/960/JSK (8). Sellise broneeringuinfo vahetamise suhtes tuleks kohaldada politsei- ja õigusalase koostöö eeskirju ning see ei tohiks kahjustada eraelu puutumatuse ja isikuandmete kaitse kõrget taset kooskõlas harta, konventsiooni nr 108 ning inimõiguste ja põhivabaduste kaitse konventsiooniga.

(24)

Broneeringuinfoga seoses tuleks tagada liikmesriikide vahel turvaline teabevahetus liikmesriikide pädevate asutuste vaheliste kõigi olemasolevate koostöökanalite kaudu ning eelkõige Europoliga Europoli turvalise teabevahetusvõrgu (SIENA) kaudu.

(25)

Tähtaeg, mille vältel broneeringuinfot säilitatakse, peaks olema terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärkide saavutamiseks nii pikk kui vajalik ja proportsionaalne nimetatud eesmärkide saavutamisega. Broneeringuinfo laadi ja kasutusviiside tõttu on vajalik seda säilitada piisavalt kaua, et seda uurimisel analüüsida ja kasutada. Broneeringuinfo algse säilitamistähtaja möödumisel tuleks broneeringuinfo ebaproportsionaalse kasutamise ärahoidmiseks muuta andmeväljad varjamise teel anonüümseks. Et tagada andmekaitse kõrgeim tase, tuleks juurdepääsu täielikule broneeringuinfole, mis võimaldab andmesubjekti otseselt tuvastada, pärast kõnealuse algse säilitamistähtaja möödumist võimaldada ainult väga rangetel ja piiratud tingimustel.

(26)

Kui konkreetne broneeringuinfo on edastatud pädevale asutusele ning seda kasutatakse konkreetse kriminaaluurimise või vastutusele võtmise raames, peaks selliste andmete säilitamist pädeva asutuse poolt reguleerima liikmesriigi õigusega, sõltumata käesolevas direktiivis sätestatud andmete säilitamise tähtaegadest.

(27)

Broneeringuinfo üksuse ja pädevate asutuste poolt broneeringuinfo töötlemise suhtes tuleks kohaldada liikmesriigi õiguse kohast isikuandmete kaitse standardit kooskõlas nõukogu raamotsusega 2008/977/JSK (9) ning käesolevas direktiivis kehtestatud konkreetsete andmekaitsenõuetega. Viiteid raamotsusele 2008/977/JSK tuleks käsitada viidetena kehtivatele õigusaktidele ja samuti seda asendavatele edaspidi vastu võetavatele õigusaktidele.

(28)

Võttes arvesse õigust isikuandmete kaitsele, peaksid andmesubjektide õigused seoses neid käsitleva broneeringuinfo töötlemisega, näiteks õigus andmetega tutvuda, neid parandada, kustutada ja nende töötlemist piirata ning õigus saada hüvitist ja kasutada õiguskaitsevahendeid, olema kooskõlas nii raamotsusega 2008/977/JSK kui ka harta ja inimõiguste ja põhivabaduste kaitse konventsiooniga tagatud kaitse kõrge tasemega.

(29)

Võttes arvesse reisijate õigust olla informeeritud oma isikuandmete töötlemisest, peaksid liikmesriigid tagama, et reisijatele antakse täpset, hõlpsasti kättesaadavat ja lihtsalt mõistetavat teavet broneeringuinfo kogumise ja selle broneeringuinfo üksusele edastamise kohta ning nende õiguste kohta andmesubjektidena.

(30)

Käesolev direktiiv ei piira sellise liidu ja liikmesriikide õiguse kohaldamist, mis käsitleb üldsuse juurdepääsu ametlikele dokumentidele.

(31)

Broneeringuinfo edastamine liikmesriikide poolt kolmandatele riikidele peaks olema lubatud üksnes sõltuvalt üksikjuhtumist ja järgides täielikult sätteid, mis liikmesriigid raamotsuse 2008/977/JSK kohaselt on kehtestanud. Isikuandmete kaitse tagamiseks tuleks sellise edastamise suhtes kohaldada täiendavaid nõudeid, mis seonduvad edastamise eesmärgiga. Samuti peaksid edastamise suhtes kehtima vajalikkuse ja proportsionaalsuse põhimõtted ning hartas ja inimõiguste ja põhivabaduste kaitse konventsioonis sätestatud kõrge kaitsetase.

(32)

Liikmesriigi järelevalveasutus, mis on asutatud raamotsuse 2008/977/JSK rakendamisel, peaks samuti vastutama liikmesriikide poolt käesoleva direktiivi kohaselt vastu võetud sätete kohaldamisega seonduva nõustamise ning järelevalve eest.

(33)

Käesolev direktiiv ei piira liikmesriikide võimalust näha oma siseriikliku õiguse alusel ette süsteem sellise broneeringuinfo kogumiseks ja töötlemiseks, mis on saadud muudelt kui lende korraldavatelt ettevõtjatelt, nagu reisibürood ja reisikorraldajad, kes pakuvad reisimisega seotud teenuseid, sealhulgas teevad broneeringuid lendudele, milleks kogutakse ja töödeldakse reisijate broneeringuinfot, või muudelt kui käesolevas direktiivis sätestatud veoettevõtjatelt, tingimusel et selline siseriiklik õigus on kooskõlas liidu õigusega.

(34)

Käesolev direktiiv ei piira kehtivaid liidu eeskirju, mis käsitlevad piirkontrolli teostamist või liidu territooriumile sisenemist või sealt väljumist.

(35)

Isikuandmete, sealhulgas broneeringuinfo töötlemist käsitlevate liikmesriikide õigusnormide juriidiliste ja tehniliste erinevuste tõttu on lennuettevõtjad praegu ja tulevikus silmitsi eri nõuetega seoses edastatava teabe iseloomuga ning teabe pädevatele asutustele edastamise tingimustega. Kõnealused erinevused võivad takistada liikmesriikide pädevate asutuste tõhusat koostööd terroriaktide ja raskete kuritegude ennetamisel, avastamisel, uurimisel ja nende eest vastutusele võtmisel. Seetõttu on vaja kehtestada liidu tasandil ühine õigusraamistik broneeringuinfo edastamiseks ja töötlemiseks.

(36)

Käesolevas direktiivis austatakse põhiõigusi ja hartas kajastatud põhimõtteid, eelkõige õigust isikuandmete kaitsele, eraelu puutumatusele ja mittediskrimineerimisele, mis on sätestatud harta artiklites 8, 7 ja 21, seega tuleks seda vastavalt rakendada. Käesolev direktiiv on kooskõlas andmekaitsepõhimõtetega ja selle sätted on kooskõlas raamotsusega 2008/977/JSK. Lisaks, et täita proportsionaalsuse põhimõtet, sätestab käesolev direktiiv teatud küsimustes rangemad andmekaitsenormid kui raamotsus 2008/977/JSK.

(37)

Käesoleva direktiivi kohaldamisala on võimalikult suures ulatuses piiratud, nähes ette broneeringuinfo üksustes broneeringuinfo säilitamise tähtajaks kõige rohkem viis aastat, mille möödumisel tuleks andmed kustutada, nähes ette andmeväljade varjamise teel anonüümseks muutmise pärast algse kuuekuulise tähtaja möödumist ning keelates delikaatsete andmete kogumise ja kasutamise. Tõhususe ja kõrgetasemelise andmekaitse tagamiseks peavad liikmesriigid tagama, et broneeringuinfo töötlemise viisiga seonduva nõustamise ja järelevalve eest vastutaks liikmesriigi sõltumatu järelevalveasutus, eelkõige andmekaitseametnik. Broneeringuinfo igasugune töötlemine tuleks registreerida või dokumenteerida, et kontrollida selle õiguspärasust, viia läbi sisekontrolli ning tagada andmete nõuetekohane terviklus ja turvaline töötlemine. Liikmesriigid peaksid tagama ka selle, et reisijaid teavitatakse selgelt ja täpselt broneeringuinfo kogumisest ja nende õigustest.

(38)

Kuna käesoleva direktiivi eesmärke, nimelt broneeringuinfo edastamine lennuettevõtjate poolt ja kõnealuse broneeringuinfo töötlemine terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev direktiiv nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(39)

Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 3 kohaselt on kõnealused riigid teatanud oma soovist osaleda käesoleva direktiivi vastuvõtmisel ja kohaldamisel.

(40)

Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artiklite 1 ja 2 kohaselt ei osale Taani käesoleva direktiivi vastuvõtmisel ning see ei ole tema suhtes siduv ega kohaldatav.

(41)

Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 45/2001 (10) artikli 28 lõikega 2 ning ta esitas arvamuse 25. märtsil 2011,

ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI:

I PEATÜKK

Üldsätted

Artikkel 1

Reguleerimisese ja kohaldamisala

1.   Käesolevas direktiivis sätestatakse

a)

ELi-väliste lendude reisijate broneeringuinfo edastamine lennuettevõtjate poolt;

b)

punktis a osutatud info töötlemine, sealhulgas selle kogumine, kasutamine ja säilitamine liikmesriikides ning selle vahetamine liikmesriikide vahel.

2.   Käesoleva direktiivi kohaselt kogutud broneeringuinfot võib töödelda üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärgil, nagu on sätestatud artikli 6 lõike 2 punktides a, b ja c.

Artikkel 2

Käesoleva direktiivi kohaldamine ELi-siseste lendude suhtes

1.   Kui liikmesriik otsustab käesolevat direktiivi kohaldada ELi-siseste lendude suhtes, teavitab ta sellest kirjalikult komisjoni. Liikmesriik võib sellise teate esitada või tagasi võtta igal ajal. Komisjon avaldab kõnealuse teate ja selle tagasivõtmise Euroopa Liidu Teatajas.

2.   Kui esitatakse lõikes 1 osutatud teade, kohaldatakse käesoleva direktiivi kõiki sätteid ELi-siseste lendude suhtes nii, nagu need oleksid ELi-välised lennud, ning ELi-siseste lendude broneeringuinfo suhtes nii, nagu see oleks ELi-väliste lendude broneeringuinfo.

3.   Liikmesriik võib otsustada kohaldada käesolevat direktiivi ainult valitud ELi-siseste lendude suhtes. Sellise otsuse tegemisel valib liikmesriik välja lennud, mida ta peab vajalikuks käesoleva direktiivi eesmärkide taotlemiseks. Liikmesriik võib igal ajal teha otsuse muuta ELi-siseste lendude valikut.

Artikkel 3

Mõisted

Käesolevas direktiivis kasutatakse järgmisi mõisteid:

1)   „lennuettevõtja“– õhuveoettevõtja, kellel on kehtiv lennutegevusluba või samaväärne luba, mis lubab tal teostada reisijate õhuvedu;

2)   „ELi-väline lend“– lennuettevõtja regulaar- või mitteregulaarlend, mis on väljunud kolmandast riigist ja kavandatud saabuma liikmesriigi territooriumile, või lend, mis väljub liikmesriigi territooriumilt ja on kavandatud saabuma kolmandasse riiki, sealhulgas mõlemal juhul liikmesriikide või kolmandate riikide territooriumil vahepeatusi tegevad lennud;

3)   „ELi-sisene lend“– lennuettevõtja regulaar- või mitteregulaarlend, mis on väljunud ühe liikmesriigi territooriumilt ja kavandatud saabuma ühe või mitme teise liikmesriigi territooriumile ilma kolmanda riigi territooriumil vahepeatusi tegemata;

4)   „reisija“– isik, sealhulgas transfeer- või transiitreisija, v.a meeskonnaliige, keda lennuettevõtja nõusolekul veetakse või hakatakse vedama õhusõidukis, kusjuures sellisest nõusolekust annab tunnistust kõnealuse isiku kandmine reisijate nimekirja;

5)   „broneeringuinfo“ (PNR andmed)– iga reisija reisiinfo, milles sisalduvad andmed võimaldavad broneeringut tegevatel ja osalevatel lennuettevõtjatel töödelda ja kontrollida iga reisi puhul isiku enda poolt või tema eest tehtud broneeringut; info võib asuda broneerimissüsteemides, maapealse teenindamise süsteemides, mida kasutatakse reisijate registreerimiseks lennule, või samade funktsioonidega samaväärsetes süsteemides;

6)   „broneerimissüsteem“– lennuettevõtja siseandmebaas, millesse kogutakse broneeringuinfot broneeringute käitlemiseks;

7)   „tõukemeetod“– meetod, mille kohaselt lennuettevõtjad edastavad I lisas loetletud broneeringuinfo seda taotleva pädeva asutuse andmebaasi;

8)   „terroriaktid“– raamotsuse 2002/475/JSK artiklites 1–4 osutatud süüteod liikmesriigi õiguse tähenduses;

9)   „raske kuritegu“– II lisas loetletud süütegu, mis on liikmesriigi õiguse kohaselt karistatav vabadusekaotuse või vabadust piirava julgeolekumeetmega, mille maksimaalne pikkus on vähemalt kolm aastat;

10)   „andmeväljade varjamise teel anonüümseks muutmine“– nende andmeväljade kasutaja jaoks nähtamatuks tegemine, mis võiksid otseselt tuvastada andmesubjekti.

II PEATÜKK

Liikmesriikide kohustused

Artikkel 4

Broneeringuinfo üksus

1.   Iga liikmesriik asutab või nimetab terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks pädeva asutuse või sellise asutuse allasutuse, kes tegutseb liikmesriigi broneeringuinfo üksusena.

2.   Broneeringuinfo üksus vastutab

a)

lennuettevõtjatelt broneeringuinfo kogumise, broneeringuinfo säilitamise ja töötlemise ning kõnealuse info või selle töötlemise tulemuste edastamise eest artiklis 7 osutatud pädevatele asutustele;

b)

broneeringuinfo ja selle töötlemise tulemuste vahetamise eest teiste liikmesriikide broneeringuinfo üksustega ja Europoliga kooskõlas artiklitega 9 ja 10.

3.   Broneeringuinfo üksuse töötajateks võib lähetada pädevate asutuste töötajaid. Liikmesriigid annavad broneeringuinfo üksustele nende ülesannete täitmiseks piisavad vahendid.

4.   Kaks või enam liikmesriiki („osalevad liikmesriigid“) võivad asutada või määrata ühise broneeringuinfo üksuse. Selline broneeringuinfo üksus asutatakse ühes osalevas liikmesriigis ja seda käsitatakse kõigi osalevate liikmesriikide riikliku broneeringuinfo üksusena. Osalevad liikmesriigid lepivad ühiselt kokku broneeringuinfo üksuse üksikasjalikes tegevuseeskirjades ning peavad kinni käesolevas direktiivis sätestatud nõuetest.

5.   Iga liikmesriik teavitab ühe kuu jooksul oma broneeringuinfo üksuse asutamisest sellest komisjoni ja võib igal ajal oma teadet muuta. Komisjon avaldab teate ja selle muudatused Euroopa Liidu Teatajas.

Artikkel 5

Broneeringuinfo üksuse andmekaitseametnik

1.   Broneeringuinfo üksus nimetab ametisse andmekaitseametniku, kes vastutab broneeringuinfo töötlemise ja asjakohaste kaitsemeetmete rakendamise järelevalve eest.

2.   Liikmesriigid annavad andmekaitseametnikule vahendid, millega ta saab täita oma käesoleva artikli kohaseid ülesandeid tulemuslikult ja sõltumatult.

3.   Liikmesriigid tagavad andmesubjektile õiguse kontakteeruda andmekaitseametniku kui ühtse kontaktpunktiga kõigis küsimustes, mis on seotud kõnealuse andmesubjekti broneeringuinfo töötlemisega.

Artikkel 6

Broneeringuinfo töötlemine

1.   Artikli 8 kohaselt kogub lennuettevõtjate poolt edastatavat broneeringuinfot asjaomase liikmesriigi broneeringuinfo üksus. Kui lennuettevõtjate poolt edastatav broneeringuinfo sisaldab muid andmeid, kui on loetletud I lisas, kustutab broneeringuinfo üksus need andmed kohe ja jäädavalt pärast kättesaamist.

2.   Broneeringuinfo üksus töötleb broneeringuinfot üksnes järgmistel eesmärkidel:

a)

reisijate hindamine enne nende graafikujärgset saabumist liikmesriiki või väljumist liikmesriigist, et tuvastada isikud, keda artiklis 7 osutatud pädevad asutused ja vajaduse korral artikli 10 kohaselt Europol peavad täiendavalt uurima, võttes arvesse asjaolu, et sellised isikud võivad olla seotud terroriakti või raske kuriteoga;

b)

reageerimine igal üksikjuhul eraldi pädeva asutuse piisavale teabele tuginevale asjakohaselt põhjendatud taotlusele esitada broneeringuinfo ja seda töödelda konkreetsetel juhtudel terroriakti või raske kuriteo ennetamiseks, avastamiseks, uurimiseks ja selle eest vastutusele võtmiseks ning esitada sellise töötlemise tulemused pädevatele asutustele või asjakohasel juhul Europolile, ning

c)

broneeringuinfo analüüsimine lõike 3 punkti b alusel toimuva hindamise käigus kasutatavate kriteeriumite ajakohastamiseks või uute kriteeriumite loomiseks, mida kasutatakse nende isikute tuvastamiseks, kes võivad olla seotud terroriakti või raske kuriteoga.

3.   Lõike 2 punktis a osutatud hindamise käigus võib broneeringuinfo üksus

a)

võrrelda broneeringuinfot andmetega terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise seisukohast asjassepuutuvates andmebaasides, sealhulgas otsitavate või hoiatusteate alusel tagaotsitavate isikute ja esemete andmebaasides, kooskõlas selliste andmebaaside suhtes kohaldatavate liidu, rahvusvaheliste ja liikmesriikide normidega, või

b)

töödelda broneeringuinfot eelnevalt kindlaksmääratud kriteeriumide alusel.

4.   Reisijaid hinnatakse lõike 3 punktis b osutatud eelnevalt kindlaksmääratud kriteeriumide alusel enne nende graafikujärgset saabumist liikmesriiki või väljumist liikmesriigist mittediskrimineerival viisil. Kõnealused eelnevalt kindlaksmääratud kriteeriumid peavad olema sihipärased, proportsionaalsed ja konkreetsed. Liikmesriigid tagavad, et broneeringuinfo üksused kehtestavad kõnealused kriteeriumid ja vaatavad need korrapäraselt läbi koostöös artiklis 7 osutatud pädevate asutustega. Kõnealused kriteeriumid ei tohi mitte mingil juhul põhineda inimese rassil või etnilisel päritolul, poliitilisel seisukohal, usutunnistusel või filosoofilisel veendumusel, ametiühingusse kuuluvusel, terviseseisundil, seksuaalelul või seksuaalsel sättumusel.

5.   Liikmesriigid tagavad, et kõik lõike 2 punkti a kohasel broneeringuinfo automaatsel töötlemisel saadavad positiivsed tulemused vaadatakse ükshaaval mitteautomaatselt läbi, et kontrollida, kas artiklis 7 osutatud pädev asutus peab võtma meetmeid vastavalt liikmesriigi õigusele.

6.   Liikmesriigi broneeringuinfo üksus edastab lõike 2 punkti a kohaselt tuvastatud isikute broneeringuinfo või kõnealuse info töötlemise tulemused täiendavaks uurimiseks artiklis 7 osutatud sama liikmesriigi pädevatele asutustele. Selline edastamine toimub igal konkreetsel juhul eraldi ja broneeringuinfo automaatse töötlemise korral pärast üksikjuhtumi mitteautomaatset läbivaatamist.

7.   Liikmesriigid tagavad, et andmekaitseametnikul on juurdepääs kõikidele broneeringuinfo üksuse poolt töödeldud andmetele. Kui andmekaitseametnik leiab, et andmete töötlemine ei olnud õiguspärane, võib ta suunata küsimuse riiklikule järelevalveasutusele.

8.   Broneeringuinfo üksus säilitab, töötleb ja analüüsib broneeringuinfot eranditult liikmesriigi territooriumil turvalises kohas või turvalistes kohtades.

9.   Käesoleva artikli lõike 2 punktis a osutatud reisijate hindamise tagajärjed ei tohi seada ohtu liidus vaba liikumise õigust omavate isikute õigust siseneda asjaomase liikmesriigi territooriumile, nagu on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2004/38/EÜ (11). Lisaks peavad juhul, kui hindamine toimub seoses liikmesriikide vaheliste ELi-siseste lendudega, mille suhtes kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 562/2006, (12) sellise hindamise tagajärjed olema kooskõlas nimetatud määrusega.

Artikkel 7

Pädevad asutused

1.   Iga liikmesriik võtab vastu selliste pädevate asutuste nimekirja, kes on volitatud broneeringuinfo üksuselt taotlema või saama broneeringuinfot või selle töötlemise tulemusi nimetatud info täiendavaks uurimiseks või asjakohaste meetmete võtmiseks, et ennetada, avastada ja uurida terroriakte ja raskeid kuritegusid ning nende eest vastutusele võtta.

2.   Lõikes 1 osutatud asutused on asutused, kel on pädevus ennetada, avastada ja uurida terroriakte või raskeid rahvusvahelisi kuritegusid või nende eest vastutusele võtta.

3.   Artikli 9 lõike 3 kohaldamisel edastab iga liikmesriik oma pädevate asutuste nimekirja komisjonile hiljemalt 25. maiks 2017 ja võib igal ajal oma teadet muuta. Komisjon avaldab teate ja selle muudatused Euroopa Liidu Teatajas.

4.   Broneeringuinfo üksuselt saadud broneeringuinfot ja selle töötlemise tulemusi võivad liikmesriikide pädevad asutused täiendavalt töödelda üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise konkreetsel eesmärgil.

5.   Lõige 4 ei piira liikmesriikide õiguskaitse- ja kohtuasutuste volitusi juhul, kui andmete töötlemisele järgnevate jõustamismeetmete käigus avastatakse muid rikkumisi või neile osundavaid tõendeid.

6.   Pädevad asutused ei tohi teha ühtki otsust, mille õiguslik mõju isikule on negatiivne või mis teda oluliselt mõjutab, üksnes automaatselt töödeldud broneeringuinfo põhjal. Selliseid otsuseid ei tehta inimese rassi või etnilise päritolu, poliitiliste seisukohtade, usutunnistuse või filosoofiliste veendumuste, ametiühingusse kuuluvuse, terviseseisundi, seksuaalelu või seksuaalse sättumuse põhjal.

Artikkel 8

Lennuettevõtjate kohustused seoses andmete edastamisega

1.   Liikmesriigid võtavad vastu vajalikud meetmed selle tagamiseks, et lennuettevõtjad edastaksid tõukemeetodil I lisas loetletud broneeringuinfo ulatuses, milles nad sellist infot oma tavapärase äritegevuse käigus on juba kogunud, selle liikmesriigi broneeringuinfo üksuse andmebaasi, mille territooriumile lend saabub või mille territooriumilt lend väljub. Kui lennu puhul on kood jagatud ühe või mitme lennuettevõtja vahel, vastutab kõigi reisijate broneeringuinfo edastamise eest see lennuettevõtja, kes lendu teostab. Kui ELi-välisel lennul on üks või mitu vahepeatust liikmesriikide lennujaamades, edastavad lennuettevõtjad kõigi reisijate broneeringuinfo kõigi asjaomaste liikmesriikide broneeringuinfo üksustele. Sama kehtib ka juhul, kui ELi-sisesel lennul on üks või mitu vahepeatust erinevate liikmesriikide lennujaamades, kuid ainult ELi-siseste lendude kohta broneeringuinfot koguvate liikmesriikide puhul.

2.   Juhul kui lennuettevõtjad on kogunud reisijaid käsitlevat eelteavet, mis on loetletud I lisa punktis 18, kuid ei säilita kõnealust eelteavet tehniliselt samal viisil kui muud broneeringuinfot, võtavad liikmesriigid vajalikud meetmed selle tagamiseks, et lennuettevõtjad edastaksid tõukemeetodil ka kõnealuse eelteabe lõikes 1 osutatud liikmesriigi broneeringuinfo üksusele. Sellise edastamise korral kohaldatakse kõiki käesoleva direktiivi sätteid kõnealusele eelteabele.

3.   Lennuettevõtjad edastavad broneeringuinfo elektrooniliselt, kasutades ühiseid protokolle ja toetatavaid andmevorminguid, mis võetakse vastu vastavalt artikli 17 lõikes 2 osutatud kontrollimenetlusele, või tehnilise rikke korral mõnel muul asjakohasel viisil, millega tagatakse piisav andmeturbe tase, tehes seda

a)

24–48 tundi enne lennu kavandatud väljumisaega ning

b)

kohe pärast pardalemineku lõppemist, st pärast seda, kui reisijad on läinud väljumiseks valmistuva õhusõiduki pardale ja reisijatel ei lubata enam pardale minna ega pardalt lahkuda.

4.   Liikmesriigid lubavad lennuettevõtjatel piirduda lõike 3 punktis b osutatud broneeringuinfo edastamisel nimetatud lõike punkti a kohaselt edastatud andmete ajakohastusega.

5.   Igal üksikjuhul eraldi ja kui juurdepääs broneeringuinfole on vajalik terroriakti või raske kuriteoga seonduvale konkreetsele ja tegelikule ohule reageerimiseks, edastavad lennuettevõtjad broneeringuinfo üksuse taotlusel kooskõlas liikmesriigi õigusega broneeringuinfo muul kui lõikes 3 osutatud ajal.

Artikkel 9

Teabevahetus liikmesriikide vahel

1.   Liikmesriigid tagavad, et broneeringuinfo üksus edastab kogu tema poolt vastavalt artikli 6 lõikele 2 tuvastatud isikute asjakohase ja vajaliku broneeringuinfo või selle töötlemise tulemused teiste liikmesriikide vastavatele broneeringuinfo üksustele. Andmeid saava liikmesriigi broneeringuinfo üksus edastab saadud teabe artikli 6 lõike 6 kohaselt oma pädevatele asutustele.

2.   Liikmesriigi broneeringuinfo üksusel on õigus taotleda vajaduse korral mis tahes teise liikmesriigi broneeringuinfo üksuselt viimati nimetatu andmebaasis säilitatavat broneeringuinfot, mille andmevälju ei ole veel artikli 12 lõike 2 kohaselt varjamise teel anonüümseks muudetud, ja vajaduse korral ka kõnealuse info töötlemise tulemusi, kui broneeringuinfot on juba töödeldud artikli 6 lõike 2 punkti a kohaselt. Sellist taotlust põhjendatakse asjakohaselt. Taotlus võib põhineda ühel või mitmel andmeväljal vastavalt sellele, mida taotluse esitanud broneeringuinfo üksus peab konkreetsel juhul vajalikuks terroriakti või raske kuriteo ennetamiseks, avastamiseks, uurimiseks või selle eest vastutusele võtmiseks. Broneeringuinfo üksused esitavad taotletud info võimalikult kiiresti. Juhul kui taotletud info andmeväljad on artikli 12 lõike 2 kohaselt varjamise teel anonüümseks muudetud, esitab broneeringuinfo üksus täieliku broneeringuinfo ainult juhul, kui on alust arvata, et see on vajalik artikli 6 lõike 2 punktis b osutatud eesmärgil, ja üksnes juhul, kui selleks on andnud loa artikli 12 lõikes 3 osutatud asutus.

3.   Liikmesriigi pädevad asutused võivad taotleda teise liikmesriigi broneeringuinfo üksuse andmebaasis säilitatavat broneeringuinfot asjaomaselt üksuselt otse ainult erakorralistel juhtudel ja lõikes 2 sätestatud tingimustel. Pädevate asutuste taotlused peavad olema põhjendatud. Taotluse koopia tuleb alati saata taotleva liikmesriigi broneeringuinfo üksusele. Kõigil teistel juhtudel esitavad pädevad asutused oma taotlused enda liikmesriigi broneeringuinfo üksuse kaudu.

4.   Erandjuhtudel, kui juurdepääs broneeringuinfole on vajalik terroriakti või raske kuriteoga seonduvale konkreetsele ja tegelikule ohule reageerimiseks, on liikmesriigi broneeringuinfo üksusel õigus taotleda teise liikmesriigi broneeringuinfo üksuselt artikli 8 lõike 5 kohaselt broneeringuinfo hankimist ja selle edastamist taotluse esitanud broneeringuinfo üksusele.

5.   Käesoleva artikli kohane teabevahetus võib toimuda liikmesriikide pädevate asutuste vahelisi olemasolevaid koostöökanaleid kasutades. Taotlemiseks ja teabe vahetamiseks kasutatakse konkreetse kanali puhul kasutatavat keelt. Liikmesriigid esitavad komisjonile artikli 4 lõike 5 kohasel teavitamisel ka nende kontaktpunktide kontaktandmed, kellele võib taotlused erakorralistel juhtudel saata. Komisjon edastab saadud kontaktandmed liikmesriikidele.

Artikkel 10

Europoli juurdepääs broneeringuinfole

1.   Europolil on õigus taotleda liikmesriikide broneeringuinfo üksustelt broneeringuinfot või selle töötlemise tulemusi oma pädevuse raames ja Europoli tööülesannete täitmiseks.

2.   Europol võib esitada liikmesriigis asuva Europoli siseriikliku üksuse kaudu igal üksikjuhul eraldi elektroonilise ja asjakohaselt põhjendatud taotluse liikmesriigi broneeringuinfo üksusele konkreetse broneeringuinfo või selle töötlemise tulemuste edastamiseks. Europol võib esitada sellise taotluse juhul, kui see on tingimata vajalik, et toetada ja tõhustada liikmesriikide tegevust konkreetse terroriakti või raske kuriteo ennetamisel, avastamisel või uurimisel, kui see terroriakt või kuritegu kuulub Europoli pädevusse vastavalt nõukogu otsusele 2009/371/JSK. Kõnealuses taotluses esitatakse mõistlikud põhjused, miks broneeringuinfo või selle töötlemise tulemuste edastamine aitab Europoli arvates märkimisväärselt kaasa asjaomase kuriteo ennetamisele, avastamisele või uurimisele.

3.   Europol teavitab kooskõlas otsuse 2009/371/JSK artikliga 28 ametisse nimetatud andmekaitseametnikku igast käesoleva artikli alusel toimunud teabevahetusest.

4.   Käesoleva artikli kohane teabevahetus toimub SIENA kaudu ja kooskõlas otsusega 2009/371/JSK. Taotlemiseks ja teabe vahetamiseks kasutatakse SIENAs kasutatavat keelt.

Artikkel 11

Andmete edastamine kolmandatele riikidele

1.   Liikmesriik võib broneeringuinfo üksuses artikli 12 kohaselt säilitatava broneeringuinfo ja selle töötlemise tulemused edastada kolmandale riigile üksnes igal üksikjuhul eraldi ja kui

a)

täidetud on raamotsuse 2008/977/JSK artiklis 13 sätestatud tingimused;

b)

edastamine on vajalik käesoleva direktiivi artikli 1 lõikes 2 osutatud eesmärkide saavutamiseks;

c)

kolmas riik nõustub edastama andmeid teisele kolmandale riigile üksnes juhul, kui see on tingimata vajalik käesoleva direktiivi artikli 1 lõikes 2 osutatud eesmärkide saavutamiseks ja üksnes kõnealuse liikmesriigi sõnaselgel loal, ning

d)

täidetud on samad tingimused kui artikli 9 lõikes 2.

2.   Olenemata raamotsuse 2008/977/JSK artikli 13 lõikest 2 võib broneeringuinfot üksnes erandjuhtudel edastada ilma selle liikmesriigi eelneva nõusolekuta, kellelt broneeringuinfo saadi, kui

a)

selline edastamine on hädavajalik liikmesriiki või kolmandat riiki ähvardavale terroriakti või raske kuriteoga seonduvale konkreetsele ja tegelikule ohule reageerimiseks ning

b)

eelnevat nõusolekut ei ole võimalik õigel ajal saada.

Asutust, kes vastutab nõusoleku andmise eest, teavitatakse sellest viivitamatult ning andmete edastamine dokumenteeritakse nõuetekohaselt ja seda võidakse järelkontrollida.

3.   Liikmesriigid edastavad broneeringuinfo kolmandate riikide pädevatele asutustele üksnes tingimustel, mis on kooskõlas käesoleva direktiiviga, ja ainult juhul, kui on kindlaks tehtud, et andmete saajad kavatsevad broneeringuinfot kasutada kooskõlas kõnealuste tingimuste ja kaitsemeetmetega.

4.   Broneeringuinfot edastanud liikmesriigi broneeringuinfo üksuse andmekaitseametnikku teavitatakse iga kord, kui liikmesriik edastab broneeringuinfot käesoleva artikli kohaselt.

Artikkel 12

Andmete säilitamise ja anonüümseks muutmise tähtaeg

1.   Liikmesriigid tagavad, et lennuettevõtjate poolt broneeringuinfo üksusele edastatud broneeringuinfot säilitatakse broneeringuinfo üksuse andmebaasis viis aastat pärast seda, kui see on edastatud selle liikmesriigi broneeringuinfo üksusele, kelle territooriumile lend saabub või kelle territooriumilt lend väljub.

2.   Pärast kuue kuu möödumist lõikes 1 nimetatud broneeringuinfo edastamisest muudetakse kogu broneeringuinfo anonüümseks, varjates järgmised andmeväljad, mis võiksid otseselt tuvastada reisija, keda broneeringuinfo käsitleb:

a)

nimi (nimed), sealhulgas broneeringuinfos sisalduvad teiste reisijate nimed ja koos reisivate reisijate arv;

b)

aadress ja kontaktandmed;

c)

kogu makseviise käsitlev teave, sealhulgas arve saatmise aadress, mis sisaldab teavet, mis võiks otseselt tuvastada reisija, keda broneeringuinfo käsitleb, või mõne teise isiku;

d)

püsikliendi staatust käsitlev teave;

e)

üldised märkused selles ulatuses, mil nad sisaldavad teavet, mis võiks otseselt tuvastada reisija, keda broneeringuinfo käsitleb, ning

f)

reisijaid käsitlev eelteave, mida on kogutud.

3.   Pärast lõikes 2 osutatud kuuekuulise tähtaja möödumist on täieliku broneeringuinfo avaldamine lubatud üksnes juhul, kui on

a)

alust arvata, et see on vajalik artikli 6 lõike 2 punktis b osutatud eesmärkidel, ning

b)

loa on andnud

i)

õigusasutus või

ii)

muu riigiasutus, kes on liikmesriigi õiguse alusel pädev kontrollima, kas avaldamise tingimused on täidetud, tingimusel et broneeringuinfo üksuse andmekaitseametnikku on sellest teavitatud ja kõnealune andmekaitseametnik teostab tagantjärele läbivaatamise.

4.   Liikmesriigid tagavad, et lõikes 1 osutatud tähtaja möödumisel kustutatakse broneeringuinfo jäädavalt. Kõnealune kohustus ei mõjuta juhtumeid, mil konkreetne broneeringuinfo on edastatud pädevale asutusele ning seda kasutatakse konkreetse juhtumi puhul terroriakti või raske kuriteo ennetamiseks, avastamiseks, uurimiseks või selle eest vastutusele võtmiseks, millisel juhul reguleerib pädeva asutuse poolt selliste andmete säilitamist liikmesriigi õigus.

5.   Broneeringuinfo üksus säilitab artikli 6 lõike 2 punktis a osutatud töötlemise tulemusi üksnes niikaua, kui see on vajalik, et teavitada pädevaid asutusi ja teiste liikmesriikide broneeringuinfo üksusi positiivsest tulemusest kooskõlas artikli 9 lõikega 1. Kui automaatse töötlemise tulemused osutuvad artikli 6 lõikes 5 osutatud üksikjuhtumi mitteautomaatse läbivaatamise järel negatiivseks, võib tulemusi siiski säilitada „valepositiivsete“ tulemuste vältimiseks tulevikus, kui alusandmeid ei ole käesoleva artikli lõike 4 kohaselt kustutatud.

Artikkel 13

Isikuandmete kaitse

1.   Iga liikmesriik tagab, et käesoleva direktiivi kohasel isikuandmete töötlemisel on igal reisijal samaväärne õigus oma isikuandmete kaitsele, õigus andmetega tutvuda, neid parandada, kustutada ja nende töötlemist piirata ning õigus saada hüvitist ja kasutada õiguskaitsevahendeid, nagu on sätestatud liidu ja liikmesriigi õiguses ning nagu see on vajalik raamotsuse 2008/977/JSK artiklite 17, 18, 19 ja 20 rakendamiseks. Seega kohaldatakse nimetatud artikleid.

2.   Iga liikmesriik näeb ette, et liikmesriikide õigusaktide sätteid, mis võetakse vastu raamotsuse 2008/977/JSK töötlemise konfidentsiaalsust ja andmete turvalisust käsitlevate artiklite 21 ja 22 rakendamiseks, kohaldatakse ka käesoleva direktiivi kohase isikuandmete töötlemise suhtes.

3.   Käesolev direktiiv ei piira Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (13) kohaldamist lennuettevõtjate poolse isikuandmete töötlemise suhtes, eelkõige mis puudutab nende kohustust võtta asjakohaseid tehnilisi ja korralduslikke meetmeid isikuandmete turvalisuse ja konfidentsiaalsuse kaitsmiseks.

4.   Liikmesriigid keelavad broneeringuinfo töötlemise, mis paljastab isiku rassi või etnilise päritolu, poliitilised seisukohad, usutunnistuse või filosoofilised veendumused, ametiühingusse kuulumise, terviseseisundi, seksuaalelu või seksuaalse sättumuse. Sellist teavet paljastava broneeringuinfo saamisel kustutab broneeringuinfo üksus selle viivitamata.

5.   Liikmesriigid tagavad, et broneeringuinfo üksus dokumenteerib kõik oma vastutusalasse kuuluvad töötlemise süsteemid ja menetlused. Nendes dokumentides on välja toodud vähemalt

a)

broneeringuinfo üksuses broneeringuinfo töötlemise eest vastutava üksuse ja töötajate nimed ja kontaktandmed ning juurdepääsulubade eri tasemed;

b)

teiste liikmesriikide pädevate asutuste ja broneeringuinfo üksuste tehtud taotlused;

c)

kõik kolmandate riikide esitatud taotlused ja broneeringuinfo edastused kolmandatele riikidele.

Broneeringuinfo üksus esitab kõik olemasolevad dokumendid taotluse korral riiklikule järelevalveasutusele.

6.   Liikmesriigid tagavad, et broneeringuinfo üksus säilitab dokumendid vähemalt järgmiste töötlemistoimingute kohta: kogumine, lugemine, avalikustamine ja kustutamine. Lugemist ja avalikustamist kajastavates dokumentides esitatakse andmed eelkõige selliste toimingute tegemise eesmärgi, kuupäeva ja kellaaja kohta ning võimaluse korral ka broneeringuinfot lugenud või avalikustanud ning saanud isiku kohta. Dokumente kasutatakse üksnes kontrollimise ja enesekontrolli, andmete tervikluse ja turvalisuse tagamise või auditeerimise eesmärgil. Broneeringuinfo üksus esitab taotluse korral dokumendid riiklikule järelevalveasutusele.

Kõnealuseid dokumente säilitatakse viis aastat.

7.   Liikmesriigid tagavad, et nende broneeringuinfo üksus võtab vajalikud tehnilised ja korralduslikud meetmed ning viib läbi menetlused, et tagada broneeringuinfo töötlemisest ja andmete laadist tulenevatele riskidele vastav kõrge turvalisus.

8.   Liikmesriigid tagavad, et kui isikuandmetega seotud rikkumine toob tõenäoliselt kaasa suure riski isikuandmete kaitsele või riivab andmesubjekti eraelu puutumatust, teavitab broneeringuinfo üksus rikkumisest põhjendamatu viivituseta andmesubjekti ja riiklikku järelevalveasutust.

Artikkel 14

Karistused

Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi alusel vastu võetud siseriiklike sätete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine.

Eelkõige kehtestavad liikmesriigid õigusnormid karistuste kohta, sealhulgas rahaliste karistuste kohta lennuettevõtjatele, kes ei edasta andmeid artikli 8 kohaselt või ei edasta seda nõutud vormingus.

Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad.

Artikkel 15

Riiklik järelevalveasutus

1.   Iga liikmesriik sätestab, et raamotsuse 2008/977/JSK artiklis 25 osutatud riiklik järelevalveasutus vastutab tema territooriumil käesoleva direktiivi kohaselt liikmesriikide poolt vastu võetud õigusnormide kohaldamisega seonduva nõustamise ja kohaldamise järelevalve eest. Kohaldatakse raamotsuse 2008/977/JSK artiklit 25.

2.   Kõnealused riiklikud järelevalveasutused täidavad lõike 1 kohaseid ülesandeid, et kaitsta isikuandmete töötlemisel põhiõigusi.

3.   Iga riiklik järelevalveasutus

a)

tegeleb andmesubjektide esitatud kaebustega, uurib kaebuste sisu ja teavitab andmesubjekte mõistliku aja jooksul uurimise käigust ja tulemusest;

b)

kontrollib andmetöötluse õiguspärasust, toimetab kooskõlas liikmesriigi õigusega uurimisi, inspekteerimisi ja auditeid kas omal algatusel või punktis a osutatud kaebuse alusel.

4.   Iga riiklik järelevalveasutus annab andmesubjektile tema taotluse korral nõu k