ISSN 1977-0650

Euroopa Liidu

Teataja

L 295

European flag  

Eestikeelne väljaanne

Õigusaktid

61. aastakäik
21. november 2018


Sisukord

 

I   Seadusandlikud aktid

Lehekülg

 

 

MÄÄRUSED

 

*

Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1724, 2. oktoober 2018, millega luuakse ühtne digivärav teabele ja menetlustele ning abi- ja probleemilahendamisteenustele juurdepääsu pakkumiseks ning millega muudetakse määrust (EL) nr 1024/2012 ( 1 )

1

 

*

Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1725, 23. oktoober 2018, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ ( 1 )

39

 

*

Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1726, 14. november 2018, mis käsitleb Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Liidu Ametit (eu-LISA) ning millega muudetakse määrust (EÜ) nr 1987/2006 ja nõukogu otsust 2007/533/JSK ja tunnistatakse kehtetuks määrus (EL) nr 1077/2011

99

 

*

Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1727, 14. november 2018, Euroopa Liidu Kriminaalõigusalase Koostöö Ameti (Eurojust) kohta ning millega asendatakse ja tunnistatakse kehtetuks nõukogu otsus 2002/187/JSK

138

 


 

(1)   EMPs kohaldatav tekst.

ET

Aktid, mille peakiri on trükitud harilikus trükikirjas, käsitlevad põllumajandusküsimuste igapäevast korraldust ning nende kehtivusaeg on üldjuhul piiratud.

Kõigi ülejäänud aktide pealkirjad on trükitud poolpaksus kirjas ja nende ette on märgitud tärn.


I Seadusandlikud aktid

MÄÄRUSED

21.11.2018   

ET

Euroopa Liidu Teataja

L 295/1


EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2018/1724,

2. oktoober 2018,

millega luuakse ühtne digivärav teabele ja menetlustele ning abi- ja probleemilahendamisteenustele juurdepääsu pakkumiseks ning millega muudetakse määrust (EL) nr 1024/2012

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 21 lõiget 2 ja artikli 114 lõiget 1,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust (1),

toimides seadusandliku tavamenetluse kohaselt (2)

ning arvestades järgmist:

(1)

Siseturg on üks liidu käegakatsutavamaid saavutusi. Ühtne turg võimaldab inimestel, kaupadel, teenustel ja kapitalil vabalt liikuda ning pakub seega kodanikele ja ettevõtjatele uusi võimalusi. Käesolev määrus on komisjoni 28. oktoobri 2015. aasta teatisega „Ühtse turu täiustamine: rohkem võimalusi inimestele ja ettevõtetele“ loodud ühtse turu strateegia oluline element. Strateegia eesmärk on kasutada kogu siseturu potentsiaali, lihtsustades kodanike ja ettevõtjate liikumist liidus ning piiriülest kaubandust, ettevõtete asutamist ja äritegevuse laiendamist.

(2)

Komisjoni 6. mai 2015. aasta teatises „Euroopa digitaalse ühtse turu strateegia“ tunnistatakse, et internet ja digitehnoloogiad on loonud võimalusi innovatsiooniks, majanduskasvuks ja töökohtade loomiseks ning seeläbi kujundanud ümber selle, kuidas me elame ning kuidas kodanikud ja ettevõtjad pääsevad juurde teabele, saavad teadmisi, ostavad kaupu ja teenuseid ning osalevad turul ja töötavad. Kõnealuses teatises ja mitmes Euroopa Parlamendi resolutsioonis tunnistatakse, et kodanike ja ettevõtjate riigisiseseid ja piiriüleseid vajadusi oleks võimalik täita paremini, kui olemasolevaid Euroopa portaale, veebisaite, võrgustikke, teenuseid ja süsteeme laiendataks ja integreeritaks ning need seotaks eri riiklike lahendustega, luues seega „ühtse digivärava“, mis toimib Euroopa ühtse juurdepääsupunktina („digivärav“). Komisjoni 19. aprilli 2016. aasta teatises „ELi e-valitsuse tegevuskava 2016–2020. Valitsussektori digitaalse arengu kiirendamine“ mainitakse digiväravat 2017. aasta ühe meetmena. Komisjoni 24. jaanuari 2017. aasta aruandes „Kodanike õiguste tugevdamine demokraatlike muutuste liidus – 2017. aasta aruanne ELi kodakondsuse kohta“ peetakse digiväravat liidu kodanike õiguste seisukohast prioriteediks.

(3)

Euroopa Parlament ja nõukogu on korduvalt kinnitanud vajadust põhjalikuma ja kasutajasõbralikuma teabe- ja abiteenuste paketi järele, mis aitaks kodanikel ja ettevõtjatel siseturul orienteeruda ning tugevdaks ja optimeeriks siseturu vahendeid, et vastata paremini ettevõtjate ja kodanike vajadustele nende piiriüleses tegevuses.

(4)

Neile üleskutsetele vastatakse käesoleva määrusega, mis pakub kodanikele ja ettevõtjatele juurdepääsu teabele ja menetlustele ning abi- ja probleemilahendamisteenustele, mida nad vajavad oma õiguste kasutamiseks siseturul. Digivärav võiks aidata parandada mitmesuguste äri- ja eluvaldkondadega (nt reisimine, pensionile jäämine, haridus, tööhõive, tervishoid, tarbijate õigused ja pereõigused) seotud õigusnormide läbipaistvust. Lisaks võiks see aidata suurendada tarbijate usaldust, vähendada teadmatust tarbijakaitsest ja siseturu eeskirjadest ning vähendada äriühingute nõuetega vastavusse viimise kulusid. Käesoleva määrusega luuakse kasutajasõbralik ja interaktiivne digivärav, mis peaks kasutajate vajadustest lähtudes juhatama nad kõige asjakohasemate teenuste juurde. Sellega seoses peaks komisjonil ja liikmesriikidel olema nimetatud eesmärkide saavutamisel tähtis roll.

(5)

Digivärav peaks lihtsustama ühelt poolt kodanike ja ettevõtjate ning teiselt poolt pädevate asutuste vahelist suhtlust, pakkudes juurdepääsu veebilahendustele, hõlbustades kodanike ja ettevõtjate igapäevast tegevust ning vähendades siseturul tekkivaid takistusi. Ühtne digivärav, mis annab veebijuurdepääsu täpsele ja ajakohasele teabele, menetlustele ning abi- ja probleemilahendamisteenustele, võib aidata suurendada kasutajate teadlikkust mitmesugustest olemasolevatest veebiteenustest ning säästa nende aega ja vähendada kulusid.

(6)

Käesoleval määrusel on kolm eesmärki, nimelt vähendada nende kodanike ja ettevõtjate täiendavat halduskoormust, kes kasutavad või soovivad kasutada oma siseturust tulenevaid õigusi, sealhulgas isikute vaba liikumist, tehes seda täielikus kooskõlas liikmesriikide õigusnormide ja menetlustega, kaotada diskrimineerimine ning tagada siseturu toimimine seoses teabe, menetluste ning abi- ja probleemilahendamisteenuste pakkumisega. Kuna käesolev määrus hõlmab kodanike vaba liikumist, mida ei saa pidada pelgalt juhuslikuks, peaks käesolev määrus põhinema ELi toimimise lepingu artikli 21 lõikel 2 ja artikli 114 lõikel 1.

(7)

Selleks et liidu kodanikel ja ettevõtjatel oleks võimalik kasutada oma õigust siseturul vabalt liikuda, peaks liit vastu võtma konkreetsed ja mittediskrimineerivad meetmed, mis võimaldaksid neile lihtsa juurdepääsu piisavalt põhjalikule ja usaldusväärsele teabele nende liidu õigusest tulenevate õiguste kohta ning kohaldatavate liikmesriikide õigusnormide ja menetluste kohta, mida nad peavad järgima, kui nad kolivad mõnda teise liikmesriiki või kui nad elavad või õpivad või asutavad ettevõtte või tegelevad majandustegevusega teises liikmesriigis. Teavet tuleks pidada piisavalt põhjalikuks, kui see hõlmab kogu teavet, mida kasutajatel on vaja, et nad saaksid aru, millised on nende õigused ja kohustused ning mis määratleb õigusnormid, mida kohaldatakse tegevuste suhtes, mida nad piiriüleste kasutajatena soovivad ellu viia. Teave peaks olema sõnastatud selgelt, lühidalt ja arusaadavalt ning olema operatiivne ja sihtkasutajarühmale hästi kohandatud. Teave menetluste kohta peaks hõlmama kõiki võimalikke menetluslikke samme, mis on kasutaja jaoks asjakohased. Kodanike ja ettevõtjate jaoks, kes seisavad silmitsi keeruka õiguskeskkonnaga, näiteks nende jaoks, kes tegutsevad e-kaubanduses ja jagamismajanduses, on oluline, et nad saaksid hõlpsasti leida kohaldatavaid norme ja teavet selle kohta, kuidas neid norme nende tegevuse suhtes kohaldatakse. Lihtne ja kasutajasõbralik juurdepääs teabele tähendab kasutaja võimalust teavet lihtsalt leida, hõlpsasti kindlaks teha, milline osa teabest on tema konkreetse olukorra suhtes asjakohane, ning asjakohasest teabest raskusteta aru saada. Liikmesriigi tasandil tuleks anda teavet mitte üksnes liidu õiguse siseriiklike rakendusnormide kohta, vaid ka kõigi muude liikmesriigi õigusnormide kohta, mida kohaldatakse nii muude kui piiriüleste kasutajate kui ka piiriüleste kasutajate suhtes.

(8)

Käesoleva määruse sätted, mis käsitlevad teabe esitamist, ei peaks kohalduma liikmesriikide kohtusüsteemidele, kuna teave, mis on piiriüleste kasutajate jaoks selles valdkonnas asjakohane, on juba lisatud e-õiguskeskkonna portaali. Mõnes käesoleva määrusega hõlmatud olukorras tuleks kohtuid siiski käsitleda pädevate asutustena, näiteks kui kohtud haldavad äriregistreid. Lisaks tuleks mittediskrimineerimise põhimõtet kohaldada ka veebipõhiste menetluste suhtes, millega antakse juurdepääs kohtumenetlusele.

(9)

On selge, et teiste liikmesriikide kodanikud ja ettevõtjad võivad olla ebasoodsamas olukorras, kuna nad ei tunne liikmesriigi õigusnorme ja haldussüsteeme, kasutatakse erinevaid keeli ja nad asuvad teise liikmesriigi pädevatest asutustest geograafiliselt kaugel. Sellest tulenevaid siseturu tõkkeid saab kõige tõhusamalt vähendada nii, et nii piiriülestele kasutajatele kui muudele kui piiriülestele kasutajatele antakse võimalus pääseda juurde veebipõhisele teabele neile mõistetavas keeles, et neil oleks võimalik läbida liikmesriigi õigusnormide täitmiseks vajalikud menetlused täiesti veebipõhiselt, ning pakutakse neile abi juhul, kui õigusnormid ja menetlused ei ole piisavalt selged või kui esineb takistusi nende õiguste teostamisel.

(10)

Probleeme on püütud lahendada mitme liidu õigusaktiga, millega on loodud valdkondlikud ühtsed kontaktpunktid, sealhulgas Euroopa Parlamendi ja nõukogu direktiiviga 2006/123/EÜ (3) loodud ühtsed kontaktpunktid, mis pakuvad veebipõhist teavet, tugiteenuseid ja juurdepääsu menetlustele, mis seonduvad teenuste osutamisega; Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 764/2008 (4) loodud toote kontaktpunktid ning Euroopa Parlamendi ja nõukogu määrusega (EL) nr 305/2011 (5) loodud ehitusvaldkonna toodete kontaktpunktid, mis loodi, et anda juurdepääs tootespetsiifilistele tehnilistele eeskirjadele, ning Euroopa Parlamendi ja nõukogu direktiiviga 2005/36/EÜ (6) loodud riiklikud kutsekvalifikatsioonide tugikeskused, mis abistavad välisriiki kolivaid professionaale. Lisaks on moodustatud võrgustikke, näiteks Euroopa tarbijakeskused, et parandada arusaamist liidu tarbijaõigustest ning aidata lahendada kaebusi, mis puudutavad teistest võrgustikku kuuluvatest liikmesriikidest reisidel või veebis tehtud oste. Ka komisjoni soovituses 2013/461/EL (7) osutatud SOLVIT püüab pakkuda kiireid, tõhusaid ja mitteformaalseid lahendusi eraisikutele ja ettevõtjatele, kellel avaliku sektori asutused ei lase siseturul nende siseturu õigusi kasutada. Kasutajate teavitamiseks liidu ja liikmesriikide õigusnormidest on samuti loodud mitu teabeportaali, näiteks „Teie Euroopa“ (siseturg) ja Euroopa e-õiguskeskkonna portaal (õigus).

(11)

Nimetatud liidu õigusaktide valdkondlikkuse tõttu on veebi kaudu teabe ja abi- ja probleemilahendamisteenuste pakkumine ning veebi kaudu kodanikele ja ettevõtjatele pakutavad menetlused praegu endiselt väga killustatud. Veebipõhise teabe ja menetluste kättesaadavus on ebaühtlane, teenuste kvaliteet on puudulik ning teadlikkus kõnealusest teabest ja abi- ja probleemilahendamisteenustest on vähene. Samuti on piiriülestel kasutajatel probleeme kõnealuste teenuste leidmise ja neile juurdepääsuga.

(12)

Käesoleva määrusega tuleks luua ühtse juurdepääsupunktina toimiv digivärav, mille kaudu saavad kodanikud ja ettevõtjad juurdepääsu teabele õigusnormide ja nõuete kohta, mida nad peavad täitma tulenevalt liidu või liikmesriikide õigusest. Digivärav peaks lihtsustama kodanike ja ettevõtjate kontakte liidu ja liikmesriikide tasandil loodud abi- ja probleemilahendamisteenustega ning neid kontakte tõhustama. Digivärav peaks ka lihtsustama veebimenetluste kättesaadavust ja nende läbimist. Käesolev määrus ei tohiks mingil viisil mõjutada kehtivaid õigusi ja kohustusi, mis tulenevad kõnealustes poliitikavaldkondades kehtivatest liidu või liikmesriikide õigusnormidest. Käesoleva määruse II lisas loetletud ning direktiivides 2005/36/EÜ, 2006/123/EÜ ning Euroopa Parlamendi ja nõukogu direktiivides 2014/24/EL (8) ja 2014/25/EL (9) sätestatud menetluste puhul peaks käesolev määrus eri liikmesriikide pädevate asutuste vahelise tõendite jagamise osas toetama andmete ühekordse küsimise põhimõtet ning täielikult austama põhiõigust isikuandmete kaitsele.

(13)

Digivärav ja selle sisu peaks olema kasutajakeskne ja kasutajasõbralik. Digivärava eesmärk peaks olema vältida kattumisi ja pakkuda linke olemasolevatele teenustele. See peaks võimaldama kodanikel ja ettevõtjatel suhelda liikmesriikide ja liidu tasandi ametiasutustega, et nad saaksid anda tagasisidet nii digivärava kaudu pakutavate teenuste kui ka nende siseturu toimimisega seotud kogemuste kohta. Tagasisidevahend peaks võimaldama kasutajal juhtida viisil, mis võimaldab tal jääda anonüümseks, tähelepanu kogetud probleemidele, puudujääkidele ja vajadustele, et toetada teenuste kvaliteedi pidevat parandamist.

(14)

Digivärava edu sõltub komisjoni ja liikmesriikide ühispingutusest. Digivärav peaks hõlmama olemasolevasse portaali „Teie Euroopa“ integreeritud ühist kasutajaliidest, mida haldab komisjon. Ühine kasutajaliides peaks pakkuma linke teabele, menetlustele ning abi- ja probleemilahendamisteenustele portaalides, mida haldavad liikmesriikide ja komisjoni pädevad asutused. Digivärava kasutamise lihtsustamiseks peaks ühine kasutajaliides olema kättesaadav kõigis liidu institutsioonide ametlikes keeltes („liidu ametlikud keeled“). Olemasoleval portaalil „Teie Euroopa“ ja selle peamisel juurdepääsu võimaldaval veebilehel, mis on kohandatud digivärava nõuetele, tuleks säilitada pakutava teabe mitmekeelsus. Digivärava toimimist tuleks toetada tehniliste vahenditega, mille töötab välja komisjon tihedas koostöös liikmesriikidega.

(15)

Direktiivi 2006/123/EÜ kohases elektrooniliste ühtsete kontaktpunktide hartas, mille nõukogu kiitis heaks 2013. aastal, võtsid liikmesriigid vabatahtlikult kohustuse esitada ühtsete kontaktpunktide kaudu teavet kasutajakeskselt, et kaetud oleksid ettevõtjatele eriti olulised valdkonnad, sealhulgas käibemaks, tulumaksud, sotsiaalkindlustus ja tööõiguse nõuded. Vastavalt hartale ja portaalist „Teie Euroopa“ saadud kogemustele tuleks selles teabes kirjeldada ka abi- ja probleemilahendamisteenuseid. Kodanikud ja ettevõtjad peaksid saama selliseid teenuseid kasutada, kui neil on probleeme teabe mõistmisel, kõnealuse teabe kohaldamisel oma olukorrale või menetluse läbimisel.

(16)

Käesolevas määruses loetletakse teabevaldkonnad, mis on olulised kodanikele ja ettevõtjatele, kes kasutavad siseturul oma õigusi ja täidavad seal oma kohustusi. Kõnealuste valdkondade puhul tuleb riiklikul, sealhulgas piirkondlikul ja kohalikul tasandil, ning liidu tasandil esitada piisavalt põhjalikku teavet, selgitades kohaldatavaid norme ja kohustusi ning menetlusi, mida kodanikud ja ettevõtjad peavad kõnealuste normide ja kohustuste täitmiseks läbima. Pakutavate teenuste kvaliteedi tagamiseks peaks digivärava kaudu pakutav teave olema selge, täpne ja ajakohane, selles tuleks kasutada võimalikult vähe keerulisi termineid ja akronüümide kasutamisel tuleks piirduda nendega, mis on lihtsad ja selgesti mõistetavad ega eelda erialaseid või õigusalaseid eelteadmisi. See teave tuleks esitada nii, et kasutajad saaksid hõlpsasti aru peamistest normidest ja nõuetest, mida sellistes valdkondades nende olukorra suhtes kohaldatakse. Kasutajaid on vaja ka teavitada, et mõnes liikmesriigis puuduvad I lisas loetletud valdkondade kohta siseriiklikud normid, ning eelkõige tuleb seda teha juhul, kui teistes liikmesriikides kohaldatakse nende valdkondade suhtes siseriiklikke norme. Teabe siseriiklike normide puudumise kohta võiks lisada portaali „Teie Euroopa“.

(17)

Võimaluse korral tuleks teavet, mida komisjon on liikmesriikidest kehtivate liidu õigusaktide või vabatahtlike kokkulepete alusel juba kogunud, näiteks Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/589 (10) loodud EURESe portaali, nõukogu otsusega 2001/470/EÜ (11) loodud e-õiguskeskkonna portaali või direktiiviga 2005/36/EÜ loodud reguleeritud kutsealade andmebaasi jaoks kogutud teavet, kasutada ühe osana teabest, mis tehakse käesoleva määruse alusel kodanikele ja ettevõtjatele liidu ja liikmesriikide tasandil kättesaadavaks. Liikmesriikidel ei peaks olema kohustust esitada oma riiklikel veebisaitidel teavet, mis on komisjoni hallatavates asjaomastes andmebaasides juba olemas. Kui liikmesriigid peavad veebipõhist teavet muude liidu õigusaktide, näiteks Euroopa Parlamendi ja nõukogu direktiivi 2014/67/EL (12) kohaselt nagunii esitama, peaks piisama sellest, kui nad lisavad olemasoleva veebipõhise teabe kohta lingid. Kui teatavad poliitikavaldkonnad, näiteks tarbija õigused, on liidu õiguse kaudu juba täielikult ühtlustatud, peaks liidu tasandil esitatavast teabest kasutajate asjaomaste õiguste ja kohustuste selgitamiseks üldjuhul piisama. Sellisel juhul peaks olema nõutav, et liikmesriigid üksnes lisavad täiendavalt juurde teabe oma siseriiklike haldusmenetluste ja abiteenuste või muude siseriiklike haldusnormide kohta, kui see on kasutajate jaoks asjakohane. Teave tarbijate õiguste kohta ei tohiks mõjutada näiteks lepinguõigust, sellega tuleks pigem teavitada kasutajaid sellest, millised on nende kaubanduslike tehingutega seonduvad õigused vastavalt liidu ja liikmesriigi õigusele.

(18)

Käesoleva määrusega tuleks tõhustada veebipõhiste menetluste siseturu mõõdet ja aidata seeläbi kaasa siseturu digiteerimisele, järgides mittediskrimineerimise üldpõhimõtet, muu hulgas seoses kodanike ja ettevõtjate juurdepääsuga veebipõhistele menetlustele, mis on liikmesriikide tasandil liidu või liikmesriigi õiguse alusel juba kehtestatud, ning sellistele menetlustele, mis tuleb käesoleva määruse kohaselt veebipõhiselt täielikult kättesaadavaks teha. Kui kasutaja on olukorras, mis piirdub eranditult üheainsa liikmesriigiga ning menetlus on talle asjaomases liikmesriigis käesoleva määrusega hõlmatud valdkonnas veebipõhiselt kättesaadav ja ta saab selle veebipõhiselt läbida, peaks kõnealune menetlus olema ka piiriülese kasutaja jaoks veebipõhiselt kättesaadav ja veebipõhiselt läbitav, ning seda kas sama tehnilise lahenduse või alternatiivse tehniliselt eraldiseisva lahenduse abil, mis viib sama tulemuseni, ilma igasuguste diskrimineerivate takistusteta. Takistused võivad olla tingitud konkreetse riigi jaoks väljatöötatud lahendustest, näiteks vormide väljad, millele tuleb sisestada riigisisene telefoninumber, telefoninumbri riigisisene suunanumber või posti riigisisene sihtnumber; tasud, mida on võimalik maksta vaid süsteemides, mis ei võimalda rahvusvahelisi makseid; üksikasjalike selgituste puudumine keeles, millest piiriülesed kasutajad aru saavad; võimaluse puudumine esitada elektroonilisi tõendeid teises liikmesriigis asuvatelt ametiasutustelt ning teistes liikmesriikides väljaantud elektrooniliste identimisvahendite mittetunnustamine. Liikmesriigid peaksid kõnealustele probleemidele lahendusi pakkuma.

(19)

Kui kasutajad läbivad piiriüleseid veebipõhiseid menetlusi, peaks neil olema võimalus saada kõik asjakohased selgitused liidu ametlikus keeles, millest võimalikult suur arv piiriüleseid kasutajaid üldjoontes aru saab. See ei tähenda, et liikmesriigid peaksid oma menetlusega seotud administratiivsed vormid ja menetluse tulemuse sellesse keelde tõlkima. Liikmesriike innustatakse siiski kasutama tehnilisi lahendusi, mis võimaldavad kasutajatel menetlusi võimalikult paljudel juhtudel teises keeles läbida, austades samas keelte kasutamist käsitlevad liikmesriikide õigusnorme.

(20)

See, millised veebipõhised siseriiklikud menetlused on piiriüleste kasutajate jaoks asjakohased, et võimaldada neil oma õigusi siseturul kasutada, sõltub sellest, kas nende elu- või asukoht on asjaomases liikmesriigis või soovivad nad juurdepääsu selle liikmesriigi menetlustele, kui nende elu- või asukoht on teises liikmesriigis. Käesolev määrus ei tohiks takistada liikmesriike nõudmast, et piiriülesed kasutajad, kelle elu- või asukoht on nende territooriumil, taotleksid veebipõhistele siseriiklikele menetlustele juurdepääsu saamiseks riikliku identifitseerimisnumbri, tingimusel et sellega ei kaasne kasutajate jaoks põhjendamatult suurt koormust või kulu. Selliste piiriüleste kasutajate jaoks, kelle elu- või asukoht ei ole asjaomases liikmesriigis, ei pea veebipõhiseid siseriiklikke menetlusi, mis ei ole nende jaoks siseturu õiguste kasutamiseks asjakohased, näiteks registreerumine selliste kohalike teenuste saamiseks nagu prügivedu ja parkimisload, veebipõhiselt täielikult kättesaadavaks tegema.

(21)

Käesolev määrus peaks tuginema Euroopa Parlamendi ja nõukogu määrusele (EL) nr 910/2014, (13) milles sätestatakse tingimused, mille alusel liikmesriigid tunnustavad teatavaid füüsiliste ja juriidiliste isikute e-identimise vahendeid, mis kuuluvad teise liikmesriigi teavitatud e-identimise süsteemi. Määruses (EL) nr 910/2014 sätestatakse kasutajatele tingimused, mille täitmisel nad saavad piiriülestes olukordades kasutada oma elektroonilisi identimis- ja autentimisvahendeid veebipõhistele avalikele teenustele juurdepääsu saamiseks. Liidu institutsioone, organeid ja asutusi kutsutakse üles aktsepteerima elektroonilisi identimis- ja autentimisvahendeid menetluste puhul, mille eest nad vastutavad.

(22)

Menetluste täielikult veebis kättesaadavaks tegemist nõutakse mitmes valdkondlikus liidu õigusaktis, näiteks direktiivides 2005/36/EÜ, 2006/123/EÜ, 2014/24/EL ja 2014/25/EL. Käesoleva määruse kohaselt peaks olema nõutav muuta veebis täielikult kättesaadavaks mitmed menetlused, mis on enamikule piiriüleselt oma õigusi kasutavatele ja kohustusi täitvatele kodanikele ja ettevõtjatele väga olulised.

(23)

Selleks et kodanikud ja ettevõtjad saaksid takistusteta ja asjatu täiendava halduskoormuseta kasutada ühtse turu eeliseid, tuleks käesoleva määrusega nõuda, et teatavate käesoleva määruse II lisas loetletud põhimenetluste kasutajaliidesed peavad olema piiriüleste kasutajate jaoks täielikult veebipõhised. Käesolevas määruses tuleks ühtlasi sätestada kriteeriumid, mille alusel tehakse kindlaks, kas menetlus kvalifitseerub täielikult veebipõhiseks. Kohustus teha kindlaks, kas menetlus kvalifitseerub täielikult veebipõhiseks peaks kehtima ainult juhul, kui menetluse on kehtestanud liikmesriik. Käesolev määrus ei tohiks hõlmata äritegevuse esmakordset registreerimist ega menetlusi, mille tulemuseks on ettevõtete või äriühingute asutamine juriidiliste isikutena või selliste ettevõtete või äriühingute registriandmete hilisem muutmine, kuna sellised menetlused nõuavad terviklikku lähenemisviisi, mille eesmärk on lihtsustada digilahenduste kasutamist kogu ettevõtte elutsükli jooksul. Kui ettevõte registreerib end teises liikmesriigis, peab ta ühinema sotsiaal- ja kindlustuskavaga, et registreerida oma töötajad ja maksta makseid mõlemale kavale. Ettevõttel võib olla vajadus oma äritegevusest teatada, luba taotleda ja registreerida muudatused oma äritegevuses. Need menetlused on ühised paljudes majandusharudes tegutsevatele ettevõtjatele, mistõttu on asjakohane nõuda, et need menetlused tehtaks veebis kättesaadavaks.

(24)

Käesolevas määruses tuleks täpsustada, mida menetluse täielik veebipõhine pakkumine hõlmab. Menetlust tuleks pidada täielikult veebipõhiseks, kui kasutaja saab teostada kõik menetlusetapid juurdepääsust kuni läbimiseni suheldes pädeva asutusega (front office) elektrooniliselt, distantsilt ja veebipõhise teenuse kaudu. Kõnealune veebipõhine teenus peaks juhtima kasutaja nimekirja juurde, milles on toodud kõik nõuded, mis tuleb täita, ning kõik tõendid, mis tuleb esitada, võimaldama kasutajal esitada teavet ja tõendeid kõigi kõnealuste nõuete täitmise kohta ning edastama kasutajale automaatse kättesaamiskinnituse, välja arvatud juhul, kui menetluse tulemus saadakse koheselt. See ei tohiks takistada pädevaid asutusi kasutajatega otse ühendust võtmast, kui menetluseks on vaja saada täiendavaid selgitusi. Ka käesolevas määruses sätestatud menetluse tulemuse peaksid pädevad asutused võimaluse korral edastama kasutajale elektrooniliselt, tehes seda vastavalt kohaldatavale liidu ja liikmesriigi õigusele.

(25)

Käesolev määrus ei tohiks mõjutada II lisas loetletud riiklike, piirkondlike või kohalike menetluste sisu ning selles ei sätestata II lisas toodud valdkondade kohta materiaalõigus- ja menetlusnorme, sh mõjutatud ei tohiks olla maksuküsimused. Käesoleva määruse eesmärk on sätestada tehnilised nõuded, tagamaks et sellised menetlused, kui nad on asjaomases liikmesriigis kehtestud, tehtaks veebis täielikult kättesaadavaks.

(26)

Käesolev määrus ei tohiks mõjutada riigi ametiasutuste pädevust menetluse käigus, sealhulgas esitatud andmete ja tõendite täpsuse ja kehtivuse kontrollimisel ning ehtsuse kontrollimisel, kui tõendid esitatakse teiste vahendite kaudu kui andmete ühekordse küsimise põhimõttel põhineva tehnilise süsteemi kaudu. Samuti ei tohiks käesolev määrus mõjutada menetluslikke töövoogusid pädevates asutustes (back-office) ja nende vahel, olenemata sellest, kas need on digitaalsed või mitte. Kui see on äritegevuse muutumise registreerimisel teatavate menetluste puhul vajalik, peaks liikmesriikidel olema jätkuvalt võimalik kaasata notar või jurist, kes võivad soovida kasutada kontrollivahendeid, sealhulgas videokonverentsi või muid veebipõhiseid vahendeid, mis pakuvad audiovisuaalset ühendust reaalajas. Selline kaasamine ei tohiks siiski takistada muutuste registreerimise menetluse täielikult veebipõhist läbimist.

(27)

Mõnel juhul võidakse kasutajalt nõuda tõendite esitamist selliste asjaolude tõendamiseks, mida ei ole võimalik tuvastada veebipõhiste vahenditega. Sellised tõendid võivad olla näiteks arstitõend, elusolemise tõend, mootorsõiduki tehnoülevaatuse tõend ja selle kerenumbri tõend. Kui selliseid tõendeid saab esitada elektroonilisel kujul, ei tehta menetluse täielikult veebipõhise pakkumise põhimõttest erandit. Muudel juhtudel võib juhtuda, et veebipõhise menetluse kasutajatel on veebipõhise menetluse osana endiselt vaja pädevasse asutusse isiklikult kohale tulla. Sellised erandid, välja arvatud need, mis tulenevad liidu õigusest, peaksid piirduma olukordadega, mis on põhjendatud avalikust huvist tulenevate ülekaalukate põhjustega avaliku julgeoleku, rahvatervise või pettuste vastu võitlemise valdkonnas. Läbipaistvuse tagamiseks peaksid liikmesriigid jagama komisjoni ja teiste liikmesriikidega selliseid erandeid, nende kohaldamise põhjuseid ja kohaldamise asjaolusid käsitlevat teavet. Liikmesriigid ei peaks olema kohustatud esitama teavet iga konkreetse juhtumi kohta, mil erandkorras oli nõutav füüsiline kohalolek, vaid peaksid pigem teatama siseriiklikest sätetest, millega sellised juhtumid on reguleeritud. Digivärava koordineerimisrühmas tuleks korrapäraselt arutada häid riiklikke tavasid ja tehnika arengut, mis võimaldab kõnealuses valdkonnas täiendavat digiteerimist.

(28)

Aadressi muutumise registreerimise menetlus võib piiriülestes olukordades koosneda kahest eraldi menetlusest – üks toimub päritoluliikmesriigis vana aadressi registrist kustutamiseks ning teine sihtkohaks olevas liikmesriigis, et taotleda registreerimist uuel aadressil. Mõlemad menetlused peaksid olema hõlmatud käesoleva määrusega.

(29)

Kuna kutsekvalifikatsioonide tunnustamise nõuete, menetluste ja formaalsuste digiteerimine on juba hõlmatud direktiiviga 2005/36/EÜ, peaks käesolev määrus hõlmama üksnes selliste diplomite, tõendite või teiste õppekava läbimist tõendavate dokumentide akadeemilise tunnustamise menetluste digiteerimist, mille puhul isik soovib alustada või jätkata õpinguid või kasutada akadeemilist tiitlit, ning ei peaks hõlmama formaalsusi, mis seonduvad kutsekvalifikatsioonide tunnustamisega.

(30)

Käesoleva määrusega ei tohiks mõjutada sotsiaalkindlustuse koordineerimist käsitlevaid õigusnorme, mis on sätestatud Euroopa Parlamendi ja nõukogu määrustes (EÜ) nr 883/2004 (14) ja (EÜ) nr 987/2009, (15) milles määratakse kindlaks kindlustatute ja sotsiaalkindlustusasutuste õigused ja kohustused ning sotsiaalkindlustuse koordineerimise vallas kohaldatavad menetlused.

(31)

Selleks et abistada kodanikke ja ettevõtjaid nende piiriüleses tegevuses, on liidu ja liikmesriikide tasandil moodustatud mitu võrgustikku ja teenust. On oluline, et need teenused, sh kõik liidu tasandil loodud olemasolevad abi- ja probleemilahendamisteenused, nagu Euroopa tarbijakeskused, teenus „Teie Euroopa Nõuanne“, SOLVIT, intellektuaalomandi õiguste kasutajatugi, Europe Direct ja Euroopa ettevõtlusvõrgustik, kuuluksid digiväravasse, et kõik võimalikud kasutajad suudaksid neid leida. III lisas loetletud teenused on loodud siduvate liidu õigusaktidega, teised teenused toimivad aga vabatahtlikkuse alusel. Siduvate liidu õigusaktidega loodud teenuste suhtes tuleks kohaldada käesolevas määruses sätestatud kvaliteedinõudeid. Vabatahtlikkuse alusel toimivate teenuste puhul tuleks kõnealuseid kvaliteedinõudeid täita siis, kui soovitakse teha teenused digivärava kaudu kättesaadavaks. Käesoleva määrusega ei tohiks muuta nende teenuste ulatust, laadi, halduskorda, kehtivaid tähtaegu ning nende toimimise vabatahtlikku, lepingulist või muud alust. Näiteks kui nendega antav abi on mitteametlik, ei tohiks käesoleva määrusega sellist abi muuta siduva iseloomuga õigusnõustamiseks.

(32)

Lisaks peaks liikmesriikidel ja komisjonil olema võimalik lisada digiväravasse käesolevas määruses sätestatud tingimustel muid riiklikke abi- ja probleemilahendamisteenuseid, mida osutavad pädevad asutused või eraõiguslikud või erasektori osalusega asutused või avaliku sektori asutused, näiteks kaubanduskojad või valitsusvälised abiteenused kodanikele. Põhimõtteliselt peaksid pädevad asutused vastutama kodanike ja ettevõtjate abistamise eest kõigi päringute puhul, mis puudutavad kohaldatavaid õigusnorme ja menetlusi ja millega ei saa täies mahus tegeleda veebiteenuste vahendusel. Väga spetsiifilistes valdkondades ja juhul, kui eraõiguslike ja erasektori osalusega asutuste osutatud teenus vastab kasutajate vajadustele, võivad liikmesriigid teha komisjonile ettepaneku lisada sellised teenused digiväravasse, tingimusel et need vastavad kõigile käesolevas määruses sätestatud tingimustele ega dubleeri juba lisatud abi- ja probleemilahendamisteenuseid.

(33)

Selleks et aidata kasutajatel välja selgitada sobiv teenus, tuleks käesoleva määrusega ette näha abiteenuse otsingumootor, mis automaatselt juhatab kasutajad õige teenuseni.

(34)

Selleks, et digivärav oleks edukas, tuleb järgida kvaliteedinõuete miinimumnimekirja, et teabe või teenuste pakkumine oleks usaldusväärne, sest vastasel korral kahjustaks see oluliselt digivärava kui terviku usaldusväärsust. Nõuete järgimise peamiseks eesmärgiks on tagada, et teave või teenus on esitatud selgelt ja kasutajasõbralikult. Kõnealuse eesmärgi täitmiseks peavad liikmesriigid otsustama, kuidas teavet kogu kasutamistsükli kestel esitatakse. Näiteks kuigi kasutajatel on kasulik juba enne menetluse algatamist teada, millised on üldiselt kättesaadavad õiguskaitsevahendid juhuks, kui menetluse tulemus ei sobi kasutajale, on palju kasutajasõbralikum anda konkreetset teavet sellisel puhul kasutatavate võimalike edasiste sammude kohta menetluse lõpus.

(35)

Piiriüleste kasutajate juurdepääsu teabele on võimalik märkimisväärselt parandada, kui teave on kättesaadav liidu ametlikus keeles, millest võimalikult suur osa piiriülestest kasutajatest üldjoontes aru saab. See keel peaks enamikul juhtudel olema võõrkeel, mida kasutajad kogu liidus kõige rohkem õpivad, kuid mõnel konkreetsel juhul, eelkõige siis, kui piirilähedased väikesed omavalitsused annavad teavet kohalikul tasandil, võib kõige sobivam keel olla naaberliikmesriigi piiriüleste kasutajate esimese keelena kasutatav keel. Kõnealuste liikmesriikide keel(t)est nimetatud liidu ametlikku keelde tõlgitud tekst peaks täpselt väljendama originaalkeel(t)es esitatud teabe sisu. Teise keelde tõlkimisel võib piirduda teabega, mida kasutajad vajavad, et mõista oma olukorra suhtes kohaldatavaid peamisi norme ja nõudeid. Kuigi liikmesriike tuleks julgustada tõlkima võimalikult palju teavet liidu ametlikku keelde, mis on võimalikult paljudele piiriülestele kasutajatele üldjoontes arusaadav, sõltub käesoleva määruse kohaselt tõlgitava teabe maht selleks olemasolevatest rahalistest vahenditest, eelkõige liidu eelarve rahalistest vahenditest. Komisjon peaks tegema asjakohased korraldused, et tagada taotluse korral tõlgete nõuetekohane edastamine liikmesriikidele. Digivärava koordineerimisrühm peaks arutama, millisesse liidu ametlikku keelde või keeltesse selline teave tuleks tõlkida, ja andma selle kohta juhiseid.

(36)

Vastavalt Euroopa Parlamendi ja nõukogu direktiivile (EL) 2016/2102 (16) on liikmesriigid kohustatud tagama, et nende avaliku sektori asutuste veebisaidid on kooskõlas tajutavuse, talitlusvõime, mõistetavuse ja töökindluse põhimõtetega juurdepääsetavad ning vastavad nimetatud direktiivis sätestatud nõuetele. Komisjon ja liikmesriigid peaksid tagama vastavuse ÜRO puuetega inimeste õiguste konventsioonile, eriti selle artiklitele 9 ja 21, ning selleks, et edendada vaimse puudega inimeste juurdepääsu teabele, tuleks võimalikult ulatuslikult ja proportsionaalsuse põhimõtet järgides pakkuda lihtsalt sõnastatud alternatiive. Liikmesriigid on nimetatud konventsiooni ratifitseerimise ja liit selle sõlmimise kaudu (17) võtnud endale kohustuse võtta asjakohased meetmed, et võimaldada puudega inimestele teistega võrdsetel alustel juurdepääsu uutele info- ja kommunikatsioonitehnoloogiatele ja -süsteemidele, sh internetile, hõlbustades teabe kättesaadavust vaimse puudega isikutele ning pakkudes võimalikult ulatuslikult ja proportsionaalselt lihtsalt sõnastatud alternatiive.

(37)

Direktiivi (EL) 2016/2102 ei kohaldata liidu institutsioonide, organite ja asutuste veebisaitidele ja mobiilirakendustele, kuid komisjon peaks tagama, et digiväravasse liidetavad ühine kasutajaliides ja tema vastutusel olevad veebilehed on puuetega inimeste jaoks juurdepääsetavad, mis tähendab, et need on tajutavad, talitlusvõimelised, mõistetavad ja töökindlad. Tajutavus tähendab, et teavet ja ühise kasutajaliidese komponente peab esitama kasutajatele viisil, mida nad suudavad tajuda; talitlusvõime tähendab, et ühise kasutajaliidese komponendid ja navigeerimine peavad olema kasutatavad; mõistetavus tähendab, et teave ja ühise kasutajaliidese toimimine peavad olema mõistetavad; ja töökindlus tähendab, et sisu peab olema piisavalt töökindel selleks, et seda saaksid usaldusväärselt tõlgendada väga erinevad kasutajaagendid, sh tugitehnoloogiad. Komisjoni kutsutakse üles sel eesmärgil tagama tajutavuse, talitlusvõime ja mõistetavuse osas vastavus asjakohastele ühtlustatud standarditele.

(38)

Veebipõhiste menetluste käigus või abi- ja probleemilahendamisteenuste osutamise eest võetavate tasude maksmise lihtsustamiseks peaks piiriülestel kasutajatel olema võimalik kasutada kreedit- või otsekorraldusi, nagu on sätestatud Euroopa Parlamendi ja nõukogu määruses (EL) nr 260/2012, (18) või teisi tavaliselt kasutatavaid piiriüleseid makseviise, sealhulgas deebet- või krediitkaarte.

(39)

Kasutajatel oleks kasulik saada teavet selle kohta, kui kaua võib menetluse läbimine aega võtta. Seetõttu tuleks kasutajaid teavitada kohaldatavatest tähtaegadest või vaikimisi heakskiitmise või haldusasutuste vaikimismenetluste korrast, või kui see ei ole võimalik, siis vähemalt keskmisest, prognoositavast või ligikaudsest ajast, mis tavaliselt asjaomase menetluse läbimiseks kulub. Sellistel prognoosidel või hinnangutel ei tohiks olla õiguslikku mõju, vaid need peaksid üksnes aitama kasutajatel kavandada oma tegevust või teha järgnevaid haldustoiminguid.

(40)

Käesoleva määrusega tuleks ette näha ka kasutajate esitatud elektrooniliste tõendite kontroll, kui need tõendid esitatakse väljaandnud pädeva asutuse e-templita või -sertifikaadita, juhul kui eri liikmesriikide pädevate asutuste vahelist tõendite otsevahetust või kontrolli võimaldav tehniline vahend, mis on loodud käesoleva määruse alusel, või muu sellist otsevahetust või kontrolli võimaldav süsteem ei ole kättesaadav. Sellisteks juhtudeks tuleks käesoleva määrusega ette näha liikmesriikide pädevate asutuste vahelise halduskoostöö tõhus mehhanism, mis tugineks siseturu infosüsteemile (IMI), mis on loodud Euroopa Parlamendi ja nõukogu määruse (EL) nr 1024/2012 (19) alusel. Sellistel juhtudel peaks pädeva asutuse otsus IMI kasutamiseks olema vabatahtlik, kuid kui kõnealune asutus on teabe esitamise või koostöö taotluse esitatud IMI kaudu, peaks taotluse saanud pädev asutus olema kohustatud tegema koostööd ja vastama. Taotluse võib saata IMI kaudu kas tõendeid väljastavale pädevale asutusele või keskasutusele, mille määrab liikmesriik vastavalt oma siseriiklikele haldusnormidele. Tarbetu dubleerimise vältimiseks ning kuna Euroopa Parlamendi ja nõukogu määrus (EL) 2016/1191 (20) hõlmab osa käesoleva määrusega hõlmatud menetluste jaoks vajalikest tõenditest, võib määruses (EL) 2016/1191 sätestatud IMI koostöökorda kasutada ka muude tõendite suhtes, mis on käesoleva määrusega hõlmatud menetluste jaoks vajalikud. Selleks et liidu institutsioonidel, organitel ja asutustel oleks võimalik IMIs osaleda, tuleks määrust (EL) nr 1024/2012 muuta.

(41)

Pädevate asutuste osutatud veebiteenustel on oluline roll kodanikele ja ettevõtjatele osutatavate teenuste kvaliteedi ja turvalisuse parandamisel. Liikmesriikide ametiasutused teevad ühe enam tööd andmete korduvkasutamise nimel ning loobuvad nõudmast, et kodanikelt ja ettevõtjad esitaksid sama teavet korduvalt. Andmete korduvkasutust tuleks lisakoormuse vähendamiseks soodustada piiriüleste kasutajate puhul.

(42)

Selleks et võimaldada seaduslikku piiriülest tõendite ja teabe vahetust kogu liidus rakendatava andmete ühekordse küsimise põhimõtte abil, tuleks käesolevat määrust ja andmete ühekordse küsimise põhimõtet rakendada kooskõlas kõigi kohaldatavate andmekaitse normidega, sealhulgas võimalikult väheste andmete kogumise, andmete täpsuse, säilitamise piiramise, terviklikkuse ja konfidentsiaalsuse, vajalikkuse, proportsionaalsuse ning otstarbe piiramise põhimõttega. Samuti tuleks seda rakendada täielikus kooskõlas sisseprojekteeritud turbe ja lõimprivaatsuse põhimõtetega ning austades inimeste põhiõigusi, sealhulgas õiglust, ja läbipaistvust.

(43)

Liikmesriigid peaksid tagama, et menetluste kasutajatele antakse selget teavet selle kohta, kuidas nende isikuandmeid vastavalt Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (21) artiklitele 13 ja 14 ning määruse (EL) 2018/1725 (22) artiklitele 15 ja 16 töödeldakse.

(44)

Selleks et aidata veelgi kaasa veebipõhiste menetluste kasutamisele, tuleks käesoleva määrusega luua andmete ühekordse küsimise põhimõttega kooskõlas olev alus täielikult talitlusvõimelise, ohutu ja turvalise tehnilise lahenduse loomiseks ja kasutamiseks, mille abil vahetatakse tõendeid menetluses osalevate poolte vahel piiriüleselt automaatselt, kui kodanikud või ettevõtjad seda sõnaselgelt taotlevad. Kui tõendite vahetamine hõlmab isikuandmeid, tuleks taotlus lugeda sõnaselgeks, kui selles kas avalduse vormis või nõusoleku kinnitusena on vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt välja toodud isiku soov asjakohaste isikuandmete vahetamiseks. Kui kasutaja ei ole isik, keda andmed puudutavad, ei tohi veebipõhine menetlus mõjutada tema määruses (EL) 2016/679 sätestatud õigusi. Andmete ühekordse küsimise põhimõtte piiriülene kohaldamine peaks tähendama, et kodanikud ja ettevõtjad ei peaks esitama samu andmeid riigiasutustele rohkem kui üks kord ning neid andmeid peaks saama kasutaja taotlusel kasutada ka selliste piiriüleste veebipõhiste menetluste läbimiseks, mis hõlmavad piiriüleseid kasutajaid. Kohustust kasutada eri liikmesriikide ametiasutuste vaheliseks tõendite vahetamiseks automatiseeritud tehnilist süsteemi tuleks väljaandva pädeva asutuse suhtes kohaldada üksnes juhul, kui ametiasutused annavad oma liikmesriigis seaduslikult välja elektroonilisel kujul tõendeid, muutes nii sellise automaatse teabevahetuse võimalikuks.

(45)

Igasugusel tõendite piiriülesel vahetamisel peaks olema asjakohane õiguslik alus, näiteks direktiiv 2005/36/EÜ, 2006/123/EÜ, 2014/24/EL või 2014/25/EL või II lisas loetletud menetluste puhul muu kohaldatav liidu või liikmesriigi õigus.

(46)

On asjakohane sätestada käesolevas määruses, et üldreeglina toimub piiriülene automaatne tõendite vahetamine kasutaja sõnaselge taotluse korral. Seda nõuet ei tuleks kohaldada, kui asjakohane liidu või liikmesriigi õigus võimaldab piiriülest automaatset andmete vahetamist ilma kasutaja sõnaselge taotluseta.

(47)

Käesoleva määruse alusel loodud tehnilise süsteemi kasutamine peaks jääma vabatahtlikuks ning kasutajale peaks jääma võimalus esitada tõendeid ka muul viisil kui tehnilise süsteemi kaudu. Kasutajal peaks olema võimalus tõendid üle vaadata ja õigus tõendite vahetamist mitte jätkata, kui ta avastab enne tõendite vahetamist nende ülevaatamisel, et teave on ebatäpne, aegunud või läheb kaugemale sellest, mis on asjaomase menetluse jaoks vajalik. Ülevaadatud andmeid ei tohiks säilitada kauem, kui see on tehniliselt möödapääsmatult vajalik.

(48)

Käesoleva määruse alusel tõendite vahetamiseks loodav turvaline tehniline süsteem peaks andma taotluse esitanud pädevatele asutustele kindlustunde, et tõendi esitas õige väljaandev asutus. Enne kasutaja poolt menetluse raames esitatava teabe aktsepteerimist peaks pädeval asutusel olema võimalus kahtluse korral teavet kontrollida, et veenduda selle õigsuses.

(49)

Suutlikkuse, mida saab kasutada selleks, et luua tehniline süsteem, loovad mitmed elemendid, näiteks Euroopa Parlamendi ja nõukogu määrusega (EL) nr 1316/2013 loodud Euroopa ühendamise rahastu (23) ning komponendid eDelivery ja eID, mis on nimetatud rahastu osad. Need elemendid hõlmavad tehnilisi kirjeldusi, näidistarkvara ja tugiteenuseid ning nende eesmärgiks on tagada olemasolevate info- ja kommunikatsioonitehnoloogia (IKT) süsteemide koostalitlusvõime eri liikmesriikides, et kodanikud, ettevõtjad ja ametiasutused saaksid liidus asuvatest ühtsetest avalikest digitaalteenustest kasu.

(50)

Käesoleva määruse alusel loodud tehniline süsteem peaks lisanduma muudele asutustevahelist koostööd võimaldavatele süsteemidele, nagu IMI, ning see ei tohiks mõjutada muid selliseid süsteeme nagu määruses (EÜ) nr 987/2009 sätestatud süsteem, direktiivi 2014/24/EL kohane Euroopa ühtne hankedokument, määruse (EÜ) nr 987/2009 kohane sotsiaalkindlustusalase teabe elektrooniline vahetamine, direktiivi 2005/36/EÜ kohane Euroopa kutsekaart, Euroopa Parlamendi ja nõukogu direktiivi (EL) 2017/1132 (24) kohane riiklike registrite ühendamine ning kesk-, kaubandus- ja äriregistrite ühendamine ning Euroopa Parlamendi ja nõukogu määruse (EL) 2015/848 (25) kohane maksejõuetusregistrite ühendamine.

(51)

Selleks et tagada tõendite automaatset vahetamist võimaldava tehnilise süsteemi ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused, et kehtestada eelkõige sellise süsteemi tehniline ja talitluskirjeldus, mis võimaldab töödelda kasutajate taotlusi tõendite vahetamiseks ja selliseid tõendeid edastada, ning võtta vastu meetmed, millega tagatakse edastamise terviklus ja konfidentsiaalsus. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (26).

(52)

Selleks et tagada andmete ühekordse küsimise põhimõtte piiriülese kohaldamise tehnilise süsteemi turvalisuse kõrge tase, peaks komisjon sellise tehnilise süsteemi kirjeldusi sätestavate rakendusaktide vastuvõtmisel võtma nõuetekohaselt arvesse Euroopa ja rahvusvaheliste standardiorganisatsioonide ja -asutuste koostatud standardeid ja tehnilisi kirjeldusi, eelkõige Euroopa Standardikomitee (CEN), Euroopa Telekommunikatsioonistandardite Instituudi (ETSI), Rahvusvahelise Standardiorganisatsiooni (ISO) ja Rahvusvahelise Telekommunikatsiooni Liidu (ITU) koostatud standardeid ja tehnilisi kirjeldusi, samuti määruse (EL) 2016/679 artiklis 32 ja määruse (EL) 2018/1725 artiklis 22 osutatud turvalisuse standardeid.

(53)

Selleks et tagada komisjoni vastutusel oleva tehnilise süsteemi osade arendamine, kättesaadavus, hooldus, järelevalve, seire ja turvalisuse haldamine, peaks komisjon küsima vajaduse korral nõu Euroopa Andmekaitseinspektorilt.

(54)

Pädevad asutused ja komisjon peaksid tagama, et nende vastutusalasse kuuluv teave, menetlused ja teenused vastavad kvaliteedikriteeriumidele. Liikmesriikide ja liidu tasandil peaksid korrapäraste ajavahemike järel kvaliteedi- ja turvakriteeriumide täitmist kontrollima ning esilekerkivate probleemidega tegelema vastavalt käesoleva määruse alusel nimetatud riiklikud koordinaatorid ja komisjon. Lisaks peaksid riiklikud koordinaatorid abistama komisjoni piiriülest tõendite vahetamist võimaldava tehnilise süsteemi toimimise jälgimisel. Käesoleva määrusega tuleks anda komisjoni käsutusse vahendid, et tegeleda digivärava kaudu pakutavate teenuste kvaliteedi võimaliku halvenemisega sõltuvalt sellise halvenemise tõsidusest ja püsivusest, kaasates vajadusel digivärava koordineerimisrühma. See ei tohiks piirata komisjoni üldist vastutust seoses käesoleva määruse täitmise järelevalvega.

(55)

Käesolevas määruses tuleks täpsustada digivärava toimimist toetavate tehniliste vahendite, eelkõige ühise kasutajaliidese, lingikogu ja abiteenuse ühisotsingu peamised funktsioonid. Ühine kasutajaliides peaks tagama, et kasutajad saavad riikide ja liidu tasandi veebisaitidelt kergesti leida teavet, menetlusi ning abi- ja probleemilahendamisteenuseid. Liikmesriigid ja komisjon peaksid seadma eesmärgiks lisada lingid ühele digivärava jaoks vajalikule teabeallikale, et vältida kasutajate seas segadust, mida põhjustavad erinevad ning täielikult või osaliselt üksteist dubleerivad sama teabe allikad. See ei tohiks välistada linkide lisamist eri geograafiliste piirkondade kohalike või piirkondlike pädevate asutuste pakutavale sarnasele teabele. Samuti ei tohiks see takistada teabe dubleerimist, kui see on vältimatu või soovitav, näiteks juhul, kui mõningaid liidu õigusi, kohustusi ja norme korratakse või kirjeldatakse riiklikel veebisaitidel kasutajasõbralikkuse suurendamiseks. Selleks et vähendada inimsekkumist ühises kasutajaliideses kasutatavate linkide ajakohastamisel, tuleks luua otseühendus liikmesriikide asjaomaste tehniliste süsteemide ja lingikogu vahel, kui see on tehniliselt võimalik. Tavapärased IKT tugivahendid võivad kasutada peamiste avalike teenuste põhisõnastikku (CPSV), et hõlbustada koostalitlust liikmesriikide teenusekataloogide ja semantikaga. Liikmesriike tuleks innustada CPSVd kasutama, kuid nad võivad otsustada siseriiklike lahenduste kasutamise kasuks. Lingikogus sisalduv teave tuleks avalikustada avatud, üldiselt kasutatavas ja masinloetavas vormingus, näiteks rakendusliideste vormingus, et võimaldada teabe taaskasutamist.

(56)

Ühise kasutajaliidese otsingufunktsioon peaks juhtima kasutajad vajaliku teabe juurde olenemata sellest, kus see liidu või liikmesriigi tasandi veebisaitidel asub. Lisaks sellele jääb kasutajate kasuliku teabe juurde suunamise alternatiivseks viisiks ka edaspidi linkide loomine olemasolevate ja täiendavate veebisaitide või veebilehtede vahel, nende võimalikult suures ulatuses optimeerimine ja grupeerimine ning linkide loomine veebilehtede ja liidu ja liikmesriigi tasandi veebilehtede vahel, mis pakuvad juurdepääsu veebiteenustele ja -teabele.

(57)

Käesolevas määruses tuleks täpsustada ka ühise kasutajaliidese kvaliteedinõuete kogum. Komisjon peaks tagama, et ühine kasutajaliides vastab kõnealustele nõuetele, ning eelkõige peaks see olema veebis eri kanalite kaudu kättesaadav ja juurdepääsetav ja seda peaks olema lihtne kasutada.

(58)

Selleks et tagada digiväravat toetavate tehniliste lahenduste ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused, et ta saaks vajaduse korral täpsustada kohaldatavad standardid ja koostalitlusnõuded, et lihtsustada sellise liikmesriikide ja komisjoni vastutusalasse kuuluva teabe leitavust, mis käsitleb norme ja kohustusi, menetlusi ning abi- ja probleemilahendamisteenuseid. Neid volitusi tuleks teostada kooskõlas määrusega (EL) nr 182/2011.

(59)

Käesoleva määrusega tuleks samuti selgelt jagada komisjoni ja liikmesriikide vaheline vastutus digivärava IKT tugirakenduste arendamise, kättesaadavuse, hooldamise ja turvalisuse eest. Komisjon ja liikmesriigid peaksid oma hooldusülesannetega seoses korrapäraselt jälgima, kas IKT tugirakendused toimivad nõuetekohaselt.

(60)

Digiväravaga hõlmatava teabe, menetluste ning abi- ja probleemilahendamisteenuste eri valdkondade täieliku potentsiaali arendamiseks tuleks tublisti suurendada sihtrühmade teadlikkust nende olemasolust ja toimimisest. Teabe, menetluste ning abi- ja probleemilahendamisteenuste lisamine digiväravasse peaks oluliselt lihtsustama kasutajatele vajamineva leidmist, isegi juhul, kui nad ei ole nendega kursis. Lisaks on vaja teha koordineeritud teavitamistööd, et liidu kodanikud ja ettevõtjad saaksid digivärava olemasolust ja sellega kaasnevatest eelistest teadlikuks. Teavitamismeetmed peaksid hõlmama otsingumootorite optimeerimist ning teisi veebipõhiseid teadlikkuse suurendamise meetmeid, kuna need on kõige kulutasuvamad ja nendega oleks võimalik jõuda kõige suurema sihtrühmani. Maksimaalse kasuteguri saavutamiseks tuleks teavitustegevust digivärava koordineerimisrühma töö raames kooskõlastada ning liikmesriigid peaksid oma teavitustegevuse korraldama nii, et kõigis olulistes kontekstides kasutataks viidet ühisele kaubamärgile ning digivärava kaubamärki saaks siduda riiklike algatustega.

(61)

Kõiki liidu institutsioone, organeid ja asutusi tuleks innustada levitama teavet digivärava kohta ning lisama oma vastutusalas olevatele asjakohastele veebilehtedele digivärava linke ja logot.

(62)

Digiväravat tuleks üldsusele kirjeldada ja tutvustada nimega „Your Europe“. Ühine kasutajaliides peaks olema silmatorkav ja kergesti leitav, eelkõige liikmesriikide ja liidu veebisaitide ja -lehtede kaudu. Digivärava logo peaks olema asjakohastel liidu ja liikmesriikide veebisaitidel nähtav.

(63)

Et saada asjakohast teavet digivärava tulemuslikkuse mõõtmiseks ja parandamiseks, tuleks käesoleva määrusega nõuda, et pädevad asutused ja komisjon koguksid ja analüüsiksid andmeid, mis seonduvad digivärava kaudu pakutavate eri teabevaldkondade, menetluste ja teenuste kasutamisega. Kasutusstatistika (näiteks konkreetsete veebilehtede külastuste arv, liikmesriigi kasutajate arv võrreldes teistest liikmesriikidest pärit kasutajate arvuga, kasutatud otsingusõnad, enim külastatud veebilehed, osutatud veebisaidid ning abitaotluste arv, päritolu ja sisu) kogumine peaks digivärava toimimist parandama, kuna see aitab määratleda sihtrühmad, arendada teavitustegevust ja parandada pakutavate teenuste kvaliteeti. Dubleerimise vältimiseks tuleks andmete kogumisel võtta arvesse komisjoni iga-aastast e-valitsuse võrdlusuuringut.

(64)

Selleks et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused kasutusstatistika kogumise ja vahetamise meetodit käsitlevate ühetaoliste õigusnormide kehtestamiseks. Neid volitusi tuleks teostada kooskõlas määrusega (EL) nr 182/2011.

(65)

Digivärava kvaliteet sõltub selle kaudu pakutavate liidu ja liikmesriikide teenuste kvaliteedist. Seepärast tuleks digivärava kaudu kättesaadava teabe, menetluste, abi- ja probleemilahendamisteenuste kvaliteeti korrapäraselt kontrollida ka kasutajate tagasiside vahendi kaudu, mille puhul palutakse kasutajatel hinnata kasutatud teabe, menetluste või abi- ja probleemilahendamisteenuste ulatust ja kvaliteeti ning anda selle kohta tagasisidet. Tagasisidet tuleks koguda ühtse vahendiga, millele peaks olema juurdepääs komisjonil, pädevatel asutustel ja riiklikel koordinaatoritel. Selleks et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendusvolitused seoses kasutajate tagasiside vahendite ühiste funktsioonide ning kasutajate tagasiside kogumise ja jagamise üksikasjadega. Neid volitusi tuleks teostada kooskõlas määrusega (EL) nr 182/2011. Komisjon peaks avaldama anonüümsed veebipõhised kokkuvõtlikud ülevaated probleemidest, mis on tuvastatud käesoleva määruse kohaselt kogutava teabe, kasutusstatistika ning olulisema kasutajate tagasiside pinnalt.

(66)

Lisaks sellele peaks digiväravas olema tagasiside vahend, mis võimaldab kasutajatel anda vabatahtlikult ja anonüümselt märku probleemidest ja raskustest, mis neil siseturu õigusi kasutades on ette tulnud. Kõnealust vahendit tuleks käsitada üksnes kaebuste käsitlemise mehhanismide täiendusena, sest see ei saa pakkuda kasutajatele individuaalseid vastuseid. Saadud teavet tuleks vaadelda koos koondteabega, mis on saadud abi- ja probleemilahendamisteenuste raames käsitletud juhtumitest, et saada ülevaade siseturust, nii nagu kasutajad seda tajuvad, ning tuvastada probleemsed valdkonnad, kus võimalike tulevaste meetmetega saaks siseturu toimimist parandada. See ülevaade peaks olema seotud olemasolevate aruandlusvahenditega, näiteks ühtse turu tulemustabeliga.

(67)

Käesolev määrus ei tohiks mõjutada liikmesriikide õigust otsustada, kes peaks täitma riikliku koordinaatori rolli. Liikmesriigid peaksid saama kohandada digiväravaga seotud riikliku koordinaatori ülesandeid ja kohustusi oma riigisiseste haldusstruktuuridega. Liikmesriikidel peaks olema võimalik määrata täiendavaid riiklikke koordinaatoreid, kes täidavad käesolevast määrusest tulenevaid ülesandeid kas üksinda või koos teistega; nende koordinaatorite vastutusalad määratakse haldusüksuste, geograafiliste piirkondade või mõne muu kriteeriumi põhjal. Liikmesriigid peaksid komisjoni teavitama ühtsest riiklikust koordinaatorist, kelle nad on määranud komisjoniga suhtlemise kontaktpunktiks.

(68)

Käesoleva määruse kohaldamise hõlbustamiseks tuleks luua riiklikest koordinaatoritest koosnev ja komisjoni juhitav digivärava koordineerimisrühm, mis tegeleks eelkõige parimate tavade vahetamise ja koostööga, et parandada käesoleva määrusega nõutava teabe esitamise järjepidevust. Digivärava koordineerimisrühma töös tuleks võtta arvesse eesmärke, mis on määratletud iga-aastases tööprogrammis, mille komisjon peaks koordineerimisrühmale arutamiseks esitama. Iga-aastane tööprogramm tuleks esitada kas suuniste või soovituste kujul, mis ei ole liikmesriikidele siduvad. Komisjon võib Euroopa Parlamendi taotluse korral otsustada, et palub Euroopa Parlamendil saata digivärava koordineerimisrühma koosolekutele oma eksperte.

(69)

Käesolevas määruses tuleks selgitada, milliseid digivärava osasid rahastatakse liidu eelarvest ning milliste osade rahastamine on liikmesriikide ülesanne. Komisjon peaks aitama liikmesriikidel teha kindlaks korduskasutatavad IKT elemendid ning mitmesuguste liidu fondide ja programmide kaudu kättesaadava rahastamise, mis võib aidata katta liikmesriikides käesoleva määruse nõuete täitmiseks vajalike IKT rakenduste ja arendamise kulusid. Käesoleva määruse rakendamiseks vajalik eelarve peaks olema kooskõlas kohaldatava mitmeaastase finantsraamistikuga.

(70)

Liikmesriike innustatakse oma avaliku halduse ja teenuste turvalisuse ja vastupidavuse suurendamiseks omavahel senisest enam tegevust kooskõlastama, teavet vahetama ja koostööd tegema, et suurendada küberturbe valdkonnas oma strateegilist, operatiivset ning teadus- ja arendamisalast suutlikkust, rakendades selleks eelkõige võrgu- ja infoturvet, millele on osutatud Euroopa Parlamendi ja nõukogu direktiivis (EL) 2016/1148 (27). Liikmesriike innustatakse suurendama tehingute turvalisust ning tagama, et elektrooniliste vahendite usaldusväärsus oleks piisav, kasutades selleks määruse (EL) nr 910/2014 alusel loodud eIDASe raamistikku ja eelkõige piisava kindluse andmist. Liikmesriigid võivad võtta liidu õiguse kohaselt meetmeid, et tagada küberturvalisus ning ennetada identiteedipettust ja teisi pettuse liike.

(71)

Kui käesoleva määruse rakendamisega kaasneb isikuandmete töötlemine, tuleks seda teha kooskõlas isikuandmete kaitset käsitleva liidu õigusega, eelkõige määrustega (EL) 2016/679 ning (EL) 2018/1725. Käesoleva määruse kontekstis tuleks kohaldada ka Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/680 (28). Vastavalt määruses (EL) 2016/679 sätestatule on liikmesriikidel lubatud säilitada või kehtestada täiendavaid tingimusi, sealhulgas piiranguid seoses terviseandmete töötlemisega, ning nad võivad kehtestada täpsemaid eeskirju töötajate isikuandmete töötlemiseks töösuhete kontekstis.

(72)

Käesoleva määrusega tuleks edendada ja hõlbustada digiväravaga hõlmatud teenuste halduskorra lihtsustamist. Sel eesmärgil peaks komisjon tihedas koostöös liikmesriikidega vaatama läbi olemasoleva halduskorra ja seda vajaduse korral kohandama, et vältida dubleerimist ja ebaefektiivsust.

(73)

Käesoleva määruse eesmärk on tagada, et teistes liikmesriikides tegutsevatel kasutajatel oleks veebis juurdepääs põhjalikule, usaldusväärsele, kättesaadavale ja kergesti mõistetavale liidu ja riiklikule teabele õiguste, õigusnormide ja kohustuste kohta, veebipõhistele menetlustele, mida saab täiel määral läbida piiriüleselt, ning abi- ja probleemilahendamisteenustele. Kuna liikmesriigid ei suuda kõnealust eesmärki piisavalt saavutada, küll aga saab seda käesoleva määruse ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

(74)

Et komisjon ja liikmesriigid saaksid arendada ja rakendada käesoleva määruse jõustamiseks vajalikke vahendeid, tuleks selle teatavaid sätteid hakata kohaldama kahe aasta möödumisel selle jõustumise kuupäevast. Kohaliku omavalitsuse asutustele tuleks anda nende vastutusalas oleva teabe, menetluste ning abi- ja probleemilahendamisteenuste kohta teabe andmiseks aega kuni neli aastat pärast käesoleva määruse jõustumist. Käesoleva määruse sätteid, mis käsitlevad täielikult veebipõhiselt pakutavaid menetlusi, piiriülest juurdepääsu veebipõhistele menetlustele ja piiriülese automaatse tõendite vahetamise tehnilist süsteemi vastavalt andmete ühekordse küsimise põhimõttele, tuleks rakendada hiljemalt viis aastat pärast käesoleva määruse jõustumist.

(75)

Käesolevas määruses austatakse põhiõigusi ja järgitakse eeskätt Euroopa Liidu põhiõiguste hartas tunnustatud põhimõtteid ning seda tuleks kohaldada kooskõlas nimetatud õiguste ja põhimõtetega.

(76)

Euroopa andmekaitseinspektoriga konsulteeriti kooskõlas Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 45/2001 (29) artikli 28 lõikega 2 ning ta esitas oma arvamuse (30)1. augustil 2017,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

ÜLDSÄTTED

Artikkel 1

Reguleerimisese

1.   Käesolevas määruses sätestatakse:

a)

ühtse digivärava loomine ja toimimine, et pakkuda kodanikele ja ettevõtjatele lihtsal viisil kvaliteetset teavet, tõhusat menetlust ning tulemuslikke abi- ja probleemilahendamisteenuseid seoses liidu ja liikmesriikide õigusnormidega, mida kohaldatakse kodanike ja ettevõtjate suhtes, kes kasutavad või kavatsevad kasutada liidu õigusest tulenevaid õigusi siseturu valdkonnas ELi toimimise lepingu artikli 26 lõike 2 tähenduses;

b)

menetluste kasutamine piiriüleste kasutajate poolt ning andmete ühekordse küsimise põhimõtte rakendamine seoses käesoleva määruse II lisas loetletud menetluste ning direktiivides 2005/36/EÜ, 2006/123/EÜ, 2014/24/EL ja 2014/25/EL sätestatud menetlustega;

c)

siseturu takistustest teatamine, tuginedes kasutajate tagasisidele ja digivärava kaudu pakutavate teenuste kohta kogutud statistikale.

2.   Kui käesolev määrus on vastuolus mõne muu liidu õigusakti sättega, milles reguleeritakse käesoleva määruse reguleerimiseseme spetsiifilisi aspekte, on ülimuslik liidu muu õigusakti säte.

3.   Käesolev määrus ei mõjuta liidu või liikmesriikide tasandil kehtestatud menetluste sisu ega menetlusega antud õigusi üheski käesoleva määrusega hõlmatud valdkonnas. Samuti ei mõjuta käesolev määrus liidu õiguse kohaselt võetavaid meetmeid küberturvalisuse tagamiseks ja pettuste ärahoidmiseks.

Artikkel 2

Ühtse digivärava loomine

1.   Ühtne digivärav („digivärav“) luuakse komisjoni ja liikmesriikide poolt käesoleva määruse kohaselt. Digivärav koosneb komisjoni hallatavast ühisest kasutajaliidesest („ühine kasutajaliides“), mis peab olema integreeritud portaali „Teie Euroopa“ ning annab juurdepääsu liidu ja liikmesriikide asjakohastele veebisaitidele.

2.   Digivärav annab juurdepääsu järgmisele:

a)

teave liidu ja liikmesriikide õiguses sätestatud õiguste, kohustuste ja õigusnormide kohta, mida kohaldatakse kasutajate suhtes, kes kasutavad või kavatsevad kasutada I lisas loetletud valdkondades oma õigusi, mis tulenevad liidu siseturuõigusest;

b)

teave liidu või liikmesriikide tasandil kehtestatud veebipõhiste ja muude menetluste, sealhulgas II lisas sätestatud menetluste kohta ning lingid veebipõhistele menetlustele, mis võimaldavad kasutajatel teostada õigusi ning täita kohustusi ja järgida I lisas loetletud siseturu valdkondade õigusnorme;

c)

teave III lisas loetletud või artiklis 7 osutatud abi- ja probleemilahendamisteenuste kohta, mida kodanikud ja ettevõtjad võivad kasutada, kui neil on küsimusi või probleeme seoses õiguste, kohustuste, õigusnormide või menetlustega, millele on osutatud käesoleva lõike punktides a ja b, samuti lingid kõnealustele abi- ja proleemilahendamisteenustele.

3.   Ühist kasutajaliidest saab kasutada kõigis liidu ametlikes keeltes.

Artikkel 3

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)

„kasutaja“ – liidu kodanik, liikmesriigis elav füüsiline isik või juriidiline isik, kelle registrijärgne asukoht on liikmesriigis ning kes kasutab digivärava kaudu artikli 2 lõikes 2 osutatud teavet, menetlusi või abi- ja probleemilahendamisteenuseid;

2)

„piiriülene kasutaja“ – kasutaja, kes tegutseb olukorras, mille kõik aspektid ei piirdu üksnes üheainsa liikmesriigiga;

3)

„menetlus“ – järjestikused toimingud, mida kasutaja peab tegema nõuete täitmiseks või pädevalt asutuselt otsuse saamiseks, et ta saaks kasutada oma õigusi, millele on osutatud artikli 2 lõike 2 punktis a;

4)

„pädev asutus“ – liikmesriigis riiklikul, piirkondlikul või kohalikul tasandil asutatud asutus või organ, kellel on käesoleva määrusega hõlmatud teabe ja menetluste ning abi- ja probleemilahendamisteenuste puhul konkreetne vastutus;

5)

„tõend“ – dokument või andmed, sealhulgas tekst ja heli, visuaal- ja audiovisuaalsalvestis, olenemata andmekandjast, mida nõuab pädev asutus, et tõendada faktilisi asjaolusid või vastavust artikli 2 lõike 2 punktis b osutatud menetlusnõuetele.

II PEATÜKK

DIGIVÄRAVA TEENUSED

Artikkel 4

Juurdepääs teabele

1.   Liikmesriigid tagavad, et nende riigi veebisaitidel saavad kasutajad lihtsalt ja veebipõhiselt juurdepääsu järgmisele teabele:

a)

teave liikmesriigi õigusest tulenevate õiguste, kohustuste ja õigusnormide kohta, millele on osutatud artikli 2 lõike 2 punktis a;

b)

teave liikmesriigi tasandil kehtestatud menetluste kohta, millele on osutatud artikli 2 lõike 2 punktis b;

c)

teave liikmesriigi tasandil pakutavate abi- ja probleemilahendamisteenuste kohta, millele on osutatud artikli 2 lõike 2 punktis c.

2.   Komisjon tagab, et kasutajad saavad portaalis „Teie Euroopa“ lihtsalt ja veebipõhiselt juurdepääsu järgmisele teabele:

a)

teave liikmesriigi õigusest tulenevate õiguste, kohustuste ja õigusnormide kohta, millele on osutatud artikli 2 lõike 2 punktis a;

b)

teave liidu tasandil kehtestatud menetluste kohta, millele on osutatud artikli 2 lõike 2 punktis b;

c)

teavet liidu tasandil sätestatud abi- ja probleemilahendamisteenuste kohta, millele on osutatud artikli 2 lõike 2 punktis c.

Artikkel 5

Juurdepääs teabele, mis ei sisaldu I lisas

1.   Liikmesriigid ja komisjon võivad pakkuda linke pädevate asutuste, komisjoni ja liidu organite ja asutuste pakutava teabe kasutamiseks valdkondades, mida I lisas ei ole loetletud, tingimusel et see teave jääb artikli 1 lõike 1 punktis a määratletud digivärava kohaldamisalasse ja vastab artiklis 9 sätestatud kvaliteedinõuetele.

2.   Lingid käesoleva artikli lõikes 1 osutatud teabele tuleb esitada kooskõlas artikli 19 lõigetega 2 ja 3.

3.   Enne kõnealuste linkide aktiveerimist veendub komisjon, et lõikes 1 sätestatud tingimused on täidetud ja konsulteerib digivärava koordineerimisrühmaga.

Artikkel 6

Täielikult veebipõhiselt pakutavad menetlused

1.   Liikmesriik tagab, et kõik II lisas loetletud menetlused, kui need on asjaomases liikmesriigis kehtestatud, on kasutajatele täiel määral veebis kättesaadavad ja läbitavad.

2.   Lõikes 1 osutatud menetlused loetakse täielikult veebipõhisteks, kui

a)

nii kasutajate identimise, teabe ja tõendite esitamise, allkirjastamise kui lõpliku esitamise saab elektrooniliste vahendite abil läbi viia distantsilt teenusekanali kaudu, mis võimaldab kasutajatel kasutajasõbralikul ja struktureeritud viisil täita kõik menetlusega seotud nõuded;

b)

kasutaja saab automaatse kättesaamiskinnituse, välja arvatud juhul, kui menetluse tulemus edastatakse viivitamata;

c)

menetluse tulemus edastatakse elektrooniliselt, või edastatakse füüsiliselt, kui see on nõutav kohaldatava liidu või liikmesriigi õiguse kohaselt, ning

d)

kasutajad saavad elektroonilise teatise menetluse läbimise kohta.

3.   Kui erandlikel juhtudel ei saa ülekaaluka avaliku huvi tõttu avaliku julgeoleku, rahvatervise või pettuste vastu võitlemise valdkonnas taotletavat eesmärki täielikult veebipõhiselt saavutada, võivad liikmesriigid nõuda, et kasutaja tuleks menetluse teatavas etapis pädevasse asutusse isiklikult kohale. Neil erandlikel juhtudel nõuab liikmesriik füüsilist kohalolekut üksnes möödapääsmatult vajalikel ja objektiivselt põhjendatud juhtudel ning tagab, et menetluse muid etappe saab läbida täielikult veebipõhiselt. Lisaks peavad liikmesriigid tagama, et füüsilise kohaloleku nõuetega ei diskrimineerita piiriüleseid kasutajaid.

4.   Liikmesriigid teatavad ja esitavad ühise lingikogu vahendusel komisjonile ja teistele liikmesriikidele selgituse kõikidest põhjustest ja asjaoludest, mille puhul lõikes 3 osutatud menetlusetappide jaoks võib olla vajalik füüsiline kohalolek, ning mille puhul on vajalik lõike 2 punktis c osutatud füüsiline edastamine.

5.   Käesolev artikkel ei takista liikmesriikidel kasutajatega otse ühendust võtta või pakkuda kasutajatele täiendavaid võimalusi artikli 2 lõike 2 punktis b osutatud menetluste kasutamiseks ja nende läbimiseks muul viisil kui veebipõhiselt.

Artikkel 7

Juurdepääs abi- ja probleemilahendamisteenustele

1.   Liikmesriigid ja komisjon tagavad, et kasutajad, sealhulgas piiriülesed kasutajad, saavad eri kanalite kaudu lihtsalt ja veebipõhiselt kasutada artikli 2 lõike 2 punktis c osutatud abi- ja probleemilahendamisteenuseid.

2.   Artiklis 28 osutatud riiklikud koordinaatorid ja komisjon võivad kooskõlas artikli 19 lõigetega 2 ja 3 esitada linke pädevate asutuste, komisjoni või liidu organite ja asutuste pakutavatele abi- ja probleemilahendamisteenustele, mida ei ole III lisas loetletud, kui need teenused vastavad artiklites 11 ja 16 sätestatud kvaliteedinõuetele.

3.   Kui see on vajalik kasutajate vajaduste täitmiseks, võib riiklik koordinaator teha komisjonile ettepaneku lisada digiväravasse lingid eraõiguslike või erasektori osalusega asutuste pakutavatele abi- ja probleemilahendamisteenustele, kui nende teenused vastavad järgmistele tingimustele:

a)

teenus pakub teavet või abi käesoleva määrusega hõlmatud valdkondades ja eesmärkidel ning täiendab digiväravas juba pakutavaid teenuseid;

b)

teenust pakutakse tasuta või hinnaga, mis on mikroettevõtjate, mittetulundusühenduste ja kodanike jaoks taskukohane, ning

c)

teenus vastab artiklites 8, 11 ja 16 sätestatud nõuetele.

4.   Kui riiklik koordinaator on vastavalt käesoleva artikli lõikele 3 teinud ettepaneku lingi lisamiseks ja esitab lingi artikli 19 lõike 3 kohaselt, hindab komisjon, kas lingi kaudu lisatav teenus vastab käesoleva artikli lõikes 3 sätestatud tingimustele, ning kui vastab, aktiveerib lingi.

Kui komisjon leiab, et lisatav teenus ei vasta lõikes 3 sätestatud tingimustele, teatab ta riiklikule koordinaatorile põhjused, miks linki ei aktiveerita.

Artikkel 8

Veebi kaudu juurdepääsetavuse kvaliteedinõuded

Komisjon teeb veebisaidid ja -lehed, mille kaudu ta tagab juurdepääsu artikli 4 lõikes 2 osutatud teabele ning artiklis 7 osutatud abi- ja probleemilahendamisteenustele, paremini kättesaadavaks – tajutavaks, kasutatavaks, arusaadavaks ja töökindlaks.

III PEATÜKK

KVALITEEDINÕUDED

1. JAGU

Õigusi, kohustusi, õigusnorme, menetlusi ning abi- ja probleemilahendamisteenuseid käsitleva teabega seonduvad kvaliteedinõuded

Artikkel 9

Õigusi, kohustusi ja õigusnorme käsitleva teabe kvaliteet

1.   Kui liikmesriigid ja komisjon vastutavad vastavalt artiklile 4 artikli 2 lõike 2 punktis a osutatud teabele juurdepääsu andmise eest, peavad nad tagama, et teave vastab järgmistele nõuetele:

a)

teave on kasutajasõbralik, aitab kasutajal teavet kergesti leida ja mõista ning aru saada, milline osa teabest on kasutajale konkreetses olukorras oluline;

b)

teave on täpne ja piisavalt põhjalik, et hõlmata teavet, mida kasutajatel on vaja teada oma õiguste kasutamiseks täielikus kooskõlas kohaldatavate õigusnormide ja kohustustega;

c)

teave sisaldab vajaduse korral viiteid, linke õigusaktidele, tehnilisi kirjeldusi ja suuniseid;

d)

teave sisaldab teabe sisu eest vastutava pädeva asutuse või üksuse nime;

e)

teave sisaldab kõigi asjaomaste abi- ja probleemilahendamisteenuste kontaktandmeid, näiteks telefoninumber, e-posti aadress ning veebiankeedi vorm või muu tavapäraselt kasutatav elektronside vahend, mis on pakutava teenuse ja selle sihtrühma jaoks kõige sobivam;

f)

teave sisaldab teabe viimase ajakohastamise kuupäeva või kui teavet ei ole ajakohastatud, selle avaldamise kuupäeva;

g)

teave on hästi liigendatud ja esitatud nii, et kasutajad leiaksid vajaliku teabe kiiresti;

h)

teavet ajakohastatakse ning

i)

teave on koostatud selges ja lihtsas keeles, mis vastab sihtkasutajate vajadustele.

2.   Liikmesriigid teevad kooskõlas artikliga 12 käesoleva artikli lõikes 1 osutatud teabe kättesaadavaks liidu ametlikus keeles, millest võimalikult suur osa piiriülestest kasutajatest üldjoontes aru saab.

Artikkel 10

Menetlust käsitleva teabe kvaliteet

1.   Artikli 4 nõuete täitmiseks tagavad liikmesriigid ja komisjon, et kasutajal on enne seda, kui ta peab end menetluse algatamiseks identima, juurdepääs piisavalt põhjalikele, selgetele ja kasutajasõbralikele selgitustele artikli 2 lõike 2 punktis b osutatud asjakohaste menetluste järgmiste elementide kohta:

a)

menetluse asjaomased etapid, mis kasutajal tuleb läbida, sealhulgas artikli 6 lõike 3 kohased erandid liikmesriikide kohustusest pakkuda täielikult veebipõhist menetlust;

b)

menetluse eest vastutava pädeva asutuse nimi ja kontaktandmed;

c)

konkreetse menetluse puhul aktsepteeritavad autentimise, identimise ja allkirjastamise viisid;

d)

esitamisele kuuluvate tõendite liik ja formaat;

e)

õiguskaitsevahendid või edasikaebamisvõimalused, mida saab üldjuhul kasutada, kui pädevate asutustega tekib vaidlus;

f)

nõutavad tasud ja veebimakse võimalused;

g)

tähtajad, mida kasutaja ja pädev asutus peavad järgima; kui tähtaegu ei ole kehtestatud, siis keskmine, prognoositav või ligikaudne aeg, mis pädeval asutusel menetluse läbiviimiseks kulub;

h)

pädevalt asutuselt vastuse saamata jäämisega seotud õigusnormid ja selle õiguslikud tagajärjed kasutajale, sealhulgas vaikimisi heakskiitmise või haldusasutuste vaikimismenetluse kord;

i)

muud keeled, milles võib menetluse läbi viia.

2.   Kui vaikimisi heakskiitmise, haldusasutuste vaikimismenetluse või muud sarnast korda ei ole kehtestatud, peavad pädevad asutused asjakohasel juhul teavitama kasutajaid igast viivitusest või tähtaja pikendamisest ning selle tagajärgedest.

3.   Kui lõikes 1 osutatud selgitus on juba kättesaadavaks tehtud kasutajatele, kes ei ole piiriülesed kasutajad, võib seda käesoleva määruse kohaldamisel kasutada või uuesti kasutada, tingimusel et see käib vajaduse korral ka piiriüleste kasutajate kohta.

4.   Liikmesriigid teevad kooskõlas artikliga 12 käesoleva artikli lõikes 1 osutatud teabe kättesaadavaks liidu ametlikus keeles, millest võimalikult suur osa piiriülestest kasutajatest üldjoontes aru saab.

Artikkel 11

Abi- ja probleemilahendamisteenuseid käsitleva teabe kvaliteet

1.   Artikli 4 nõuete täitmiseks tagavad liikmesriigid ja komisjon, et kasutajatel on enne artikli 2 lõike 2 punktis c osutatud teenuse taotluse esitamist juurdepääs selgetele ja kasutajasõbralikele selgitustele järgneva kohta:

a)

pakutava teenuse liik, eesmärk ja eeldatavad tulemused;

b)

teenuse eest vastutavate üksuste kontaktandmed, näiteks telefoninumber, e-posti aadress ning veebiankeedi vorm või muu tavapäraselt kasutatav elektronside vahend, mis on pakutava teenuse ja selle sihtrühma jaoks kõige sobivam;

c)

nõutavad tasud ja veebimakse võimalused, kui see on asjakohane;

d)

kehtivad tähtajad ning nende puudumise korral teenuse osutamiseks keskmiselt või hinnanguliselt kuluv aeg;

e)

muud keeled, milles saab taotlust esitada ja mida saab kasutada hilisema suhtlemise käigus.

2.   Liikmesriigid teevad kooskõlas artikliga 12 käesoleva artikli lõikes 1 osutatud teabe kättesaadavaks liidu ametlikus keeles, millest võimalikult suur osa piiriülestest kasutajatest üldjoontes aru saab.

Artikkel 12

Teabe tõlkimine

1.   Kui liikmesriik ei esita artiklites 9, 10 ja 11 ning artikli 13 lõike 2 punktis a sätestatud teavet, selgitusi ja juhiseid liidu ametlikus keeles, millest võimalikult paljud piiriülesed kasutajad üldjoontes aru saavad, taotleb liikmesriik komisjonilt tõlgete koostamist kõnealuses keeles artikli 32 lõike 1 punktis c osutatud liidu olemasolevate eelarvevahendite piires.

2.   Liikmesriigid tagavad, et käesoleva artikli lõike 1 aluselt tõlkimiseks esitatud tekstid katavad vähemalt kõigi I lisas loetletud valdkondade põhiteabe ning, kui liidu eelarvevahendid on piisavad, artiklites 9, 10 ja 11 ning artikli 13 lõike 2 punktis a osutatud täiendava teabe, selgitused ja juhised, võttes arvesse piiriüleste kasutajate kõige tähtsamaid vajadusi. Liikmesriigid lisavad artiklis 19 osutatud lingikogusse tõlgitud teabele viitavad lingid.

3.   Lõikes 1 osutatud keel peab olema kogu liidu kasutajate seas kõige laialdasemalt võõrkeelena õpitav liidu ametlik keel. Kui eeldatakse, et tõlgitav teave, selgitused ja juhised pakuvad huvi valdavalt ühest teisest liikmesriigist pärit piiriülestele kasutajatele, võib lõikes 1 osutatud keel olla erandkorras asjaomaste piiriüleste kasutajate esimeseks võõrkeeleks olev liidu ametlik keel.

4.   Liikmesriik, kes taotleb tõlkimist teise liidu ametlikku keelde, mis ei ole kogu liidu kasutajate seas kõige laialdasemalt võõrkeelena õpitav liidu ametlik keel, peab oma taotlust põhjendama. Kui komisjon leiab, et lõikes 3 osutatud teise keele valimiseks nõutavad tingimused ei ole täidetud, võib ta taotluse tagasi lükata ning teatab sellest liikmesriigile.

2. JAGU

Veebipõhiste menetlustega seonduvad nõuded

Artikkel 13

Piiriülene juurdepääs veebipõhistele menetlustele

1.   Liikmesriigid tagavad, et kui artikli 2 lõike 2 punktis b osutatud ja liikmesriigi tasandil kehtestatud menetlus on muude kui piiriüleste kasutajate jaoks veebis kättesaadav ja läbitav, siis võivad sellele mittediskrimineerival viisil juurde pääseda ja selle läbida ka piiriülesed kasutajad kas sama või alternatiivset tehnilise lahenduse kaudu.

2.   Liikmesriigid tagavad, et käesoleva artikli lõikes 1 osutatud menetluste puhul on täidetud vähemalt järgmised nõuded:

a)

kasutajatel on kooskõlas artikliga 12 võimalik menetluse läbimiseks juurde pääseda juhistele liidu ametlikus keeles, millest võimalikult suur osa piiriülestest kasutajatest üldjoontes aru saab;

b)

piiriülestel kasutajatel on võimalik nõutavat teavet esitada, sealhulgas ka siis, kui kõnealuse teabe struktuur erineb asjaomase liikmesriigi sarnase teabe omast;

c)

piiriülestel kasutajatel on vastavalt määrusele (EL) nr 910/2014 võimalik end elektrooniliselt identida ja autentida ning dokumente elektrooniliselt allkirjastada või pitseerida kõigil juhtudel, kui see on võimalik ka muude kui piiriüleste kasutajate jaoks;

d)

piiriülesed kasutajad saavad esitada tõendeid kohaldatavate nõuete täitmise kohta ja saada menetluste tulemusi elektrooniliselt kõigil juhtudel, kui see on võimalik ka muude kui piiriüleste kasutajate jaoks;

e)

kui menetluse läbimiseks tuleb sooritada makse, saavad kasutajad maksta kõik tasud veebis, kasutades laialdaselt kättesaadavaid piiriüleseid makseteenuseid, ilma et neid diskrimineeritaks makseteenuse osutaja asukoha, maksedokumendi väljastamise koha või liidus oleva maksekonto asukoha põhjal.

3.   Kui menetluse puhul ei nõuta lõike 2 punktis c osutatud elektroonilist identimist või autentimist ja kui pädevatel asutustel lubatakse vastavalt kohaldatavale liikmesriigi õigusele või haldustavadele aktsepteerida muude kui piiriüleste kasutajate puhul mitteelektrooniliste isikut tõendavate dokumentide (näiteks isikutunnistus või pass) digikoopiaid, aktsepteerivad pädevad asutused kõnealuseid digikoopiaid ka piiriüleste kasutajate puhul.

Artikkel 14

Tõendite automaatse piiriülese vahetamise tehniline süsteem ja andmete ühekordse küsimise põhimõtte kohaldamine

1.   Tõendite vahetamise jaoks käesoleva määruse II lisas loetletud veebipõhistes menetlustes ning direktiividega 2005/36/EÜ, 2006/123/EÜ, 2014/24/EL ja 2014/25/EL ette nähtud menetlustes loob komisjon koostöös liikmesriikidega tehnilise tõendite automaatse vahetamise süsteemi eri liikmesriikide pädevate asutuste vahel („tehniline süsteem“).

2.   Kui pädevad asutused väljastavad oma liikmesriigis seaduslikult tõendeid elektrooniliselt ja automaatset vahetamist võimaldaval kujul, mis on asjakohased lõikes 1 osutatud veebipõhiste menetluste puhul, edastavad nad nimetatud tõendid ka teise liikmesriigi taotlevale pädevale asutusele elektroonilises vormis, mis võimaldab tõendite automaatset vahetamist.

3.   Tehniline süsteem vastab eelkõige järgmistele nõuetele:

a)

võimaldab tõendite taotlusi kasutaja sõnaselge taotluse korral menetleda;

b)

võimaldab menetleda tõenditele juurdepääsu või nende vahetamise taotlusi;

c)

võimaldab tõendite edastamist pädevate asutuste vahel;

d)

võimaldab tõendite töötlemist taotleva pädeva asutuse poolt;

e)

tagab tõendite konfidentsiaalsuse ja tervikluse;

f)

võimaldab kasutajal taotleva pädeva asutuse poolt kasutatavad tõendid eelnevalt üle vaadata ning otsustada, kas tõendeid vahetada või mitte;

g)

tagab piisava koostalitlusvõime teiste asjaomaste süsteemidega;

h)

tagab tõendite edastamise ja töötlemise kõrge turbeastme;

i)

ei töötle tõendeid rohkem, kui tõendite vahetamiseks on tehniliselt vajalik, ja teeb seda ainult selleks otstarbeks vajaliku aja jooksul.

4.   Kasutaja ei ole kohustatud tehnilist süsteemi kasutama ning see on lubatud üksnes tema sõnaselge soovi alusel, kui liidu või liikmesriigi õiguses ei ole sätestatud teisiti. Kasutajal peab olema õigus esitada tõendeid taotlevale pädevale asutusele väljaspool tehnilist süsteemi ja vahetult.

5.   Käesoleva artikli lõike 3 punktis f osutatud võimalus tõendid eelnevalt üle vaadata ei ole nõutav menetluste puhul, kus automaatne piiriülene andmevahetus on kohaldatava liidu või liikmesriigi õigusega lubatud ilma ülevaatamiseta. Tõendite ülevaatamise võimalus ei mõjuta määruse (EL) 2016/679 artiklitest 13 ja 14 tulenevat teabe esitamise kohustust.

6.   Liikmesriigid integreerivad täielikult toimiva tehnilise süsteemi lõikes 1 osutatud menetlustesse.

7.   Lõikes 1 osutatud veebipõhiste menetluste eest vastutavad pädevad asutused taotlevad asjaomase kasutaja sõnaselge, vabatahtliku, konkreetse, teadliku ja ühemõttelise taotluse korral tehnilise süsteemi kaudu tõendeid otse teistes liikmesriikides tõendeid välja andvatelt pädevatelt asutustelt. Lõikes 2 osutatud väljaandvad pädevad asutused teevad lõike 3 punkti e kohaselt sellised tõendid kättesaadavaks sama süsteemi kaudu.

8.   Taotlevale pädevale asutusele kättesaadavaks tehtud tõendid piirduvad taotletuga ning nimetatud asutus kasutab neid üksnes selle menetluse jaoks, millega seoses tõendeid vahetati. Tehnilise süsteemi kaudu vahetatud tõendid loetakse taotleva pädeva asutuse seisukohalt autentseks.

9.   Komisjon võtab hiljemalt 12. juuniks 2021 vastu rakendusaktid, milles sätestatakse käesoleva artikli rakendamiseks vajaliku tehnilise süsteemi tehniline ja talitluskirjeldus. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 37 lõikes 2 osutatud kontrollimenetlusega.

10.   Lõikeid 1–8 ei kohaldata liidu tasandil kehtestatud menetluste suhtes, millega nähakse ette teistsugused mehhanismid tõendite vahetuseks, välja arvatud juhul, kui käesoleva artikli kohaldamiseks vajalik tehniline süsteem on kõnealustesse menetlustesse integreeritud vastavalt nende liidu õigusaktide õigusnormidele, millega need menetlused on kehtestatud.

11.   Komisjon ja iga liikmesriik vastutab talle kuuluvate tehnilise süsteemi osade arendamise, kättesaadavuse, hoolduse, järelevalve, seire ja turvalisuse haldamise eest.

Artikkel 15

Liikmesriikidevaheline tõendite kontroll

Kui on vaja kontrollida kasutaja poolt pädevale asutusele veebipõhise menetluse jaoks esitatud elektrooniliste tõendite autentsust, kuid tehniline süsteem või muu süsteem, mis võimaldab liikmesriikide vahel tõendeid vahetada või neid kontrollida, ei ole kättesaadav või kasutatav, või kui kasutaja ei taotle tehnilise süsteemi kasutamist, teevad pädevad asutused koostööd siseturu infosüsteemi (IMI) kaudu.

3. JAGU

Abi- ja probleemilahendamisteenuste kvaliteedinõuded

Artikkel 16

Abi- ja probleemilahendamisteenuste kvaliteedinõuded

Pädevad asutused ja komisjon tagavad oma pädevuse piires, et III lisas loetletud abi- ja probleemilahendamisteenused ning artikli 7 lõigete 2, 3 ja 4 kohaselt digiväravaga hõlmatud abi- ja probleemilahendamisteenused vastavad järgmistele kvaliteedinõuetele:

a)

teenuseid osutatakse mõistliku aja jooksul, võttes arvesse taotluse keerukust;

b)

tähtaja pikendamise korral teavitatakse kasutajaid eelnevalt selle põhjustest ja uuest tähtajast;

c)

kui teenuse saamiseks tuleb sooritada makse, saavad kasutajad maksta kõik tasud veebis, kasutades laialdaselt kättesaadavaid piiriüleseid makseteenuseid, ilma et neid diskrimineeritaks makseteenuse osutaja asukoha, maksedokumendi väljastamise koha või liidus oleva maksekonto asukoha põhjal.

4. JAGU

Kvaliteedikontroll

Artikkel 17

Kvaliteedikontroll

1.   Artiklis 28 osutatud riiklikud koordinaatorid ja komisjon kontrollivad oma pädevuse piires korrapäraselt digivärava kaudu kättesaadava teabe, menetluste ning abi- ja probleemilahendamisteenuste vastavust artiklites 8–13 ja 16 sätestatud kvaliteedinõuetele. Kontrollimisel võetakse aluseks artiklite 24 ja 25 kohaselt kogutud andmed.

2.   Lõikes 1 osutatud ja pädevate asutuste poolt pakutava teabe, menetluste ning abi- ja probleemilahendamisteenuste kvaliteedi halvenemise korral võtab komisjon halvenemise tõsidust ja püsivust arvestades ühe või mitu järgmistest meetmetest:

a)

teavitab asjaomast riiklikku koordinaatorit ja palub võtta parandusmeetmeid;

b)

esitab kvaliteedinõuete paremaks täitmiseks soovitatud meetmed digivärava koordineerimisrühmale arutamiseks;

c)

saadab asjaomasele liikmesriigile kirja soovitustega;

d)

ühendab teabe, menetluse või abi- või probleemilahendamisteenuse ajutiselt digiväravast lahti.

3.   Kui abi- või probleemilahendamisteenus, mille link on esitatud vastavalt artikli 7 lõikele 3, ei vasta pidevalt artiklites 11 ja 16 sätestatud nõuetele või ei vasta enam kasutajate vajadustele, nagu osutavad artiklite 24 ja 25 kohaselt kogutud andmed, võib komisjon selle digiväravast lahti ühendada, olles eelnevalt konsulteerinud asjaomase riikliku koordinaatoriga ning vajaduse korral digivärava koordineerimisrühmaga.

IV PEATÜKK

TEHNILISED LAHENDUSED

Artikkel 18

Ühine kasutajaliides

1.   Komisjon pakub tihedas koostöös liikmesriikidega digivärava nõuetekohase toimimise tagamiseks ühist kasutajaliidest, mis on integreeritud portaali „Teie Euroopa“.

2.   Ühine kasutajaliides võimaldab juurdepääsu teabele, menetlustele ning abi- ja probleemilahendamisteenustele linkide kaudu, mis viivad asjaomastele liidu ja liikmesriigi tasandi veebisaitidele või veebilehtedele ning mida hoitakse artiklis 19 osutatud lingikogus.

3.   Liikmesriigid ja komisjon tagavad artiklis 4 sätestatud rollide ja vastutusalade kohaselt, et teave normide ja kohustuste, menetluste ning abi- ja probleemilahendamisteenuste kohta on korraldatud ja märgistatud nii, et hõlbustada selle leitavust ühise kasutajaliidese kaudu.

4.   Komisjon tagab, et ühine kasutajaliides vastab järgmistele kvaliteedinõuetele:

a)

seda on lihtne kasutada;

b)

see on eri elektrooniliste seadmete abil veebis kättesaadav;

c)

see töötatakse välja ja optimeeritakse eri veebibrauserites kasutamiseks;

d)

see vastab järgmistele veebi juurdepääsetavuse nõuetele: tajutavus, talitlusvõime, mõistetavus ja töökindlus.

5.   Komisjon võib võtta vastu rakendusakte, milles sätestataks koostalitlusnõuded, et lihtsustada õigusnorme ja kohustusi, menetlusi ning abi- ja probleemilahendamisteenuseid käsitleva teabe leidmist ühise kasutajaliidese kaudu. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 37 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 19

Lingikogu

1.   Komisjon loob tihedas koostöös liikmesriikidega elektroonilise kogu linkidest, mis viitavad artikli 2 lõikes 2 osutatud teabele, menetlustele ning abi- ja probleemilahendamisteenustele, võimaldades ühendust selliste teenuste ja digivärava ühise kasutajaliidese vahel, ning haldab seda kogu.

2.   Komisjon esitab lingikogus lingid teabele, menetlustele ning abi- ja probleemilahendamisteenustele, millele on juurdepääs liidu tasandil hallatavatel veebilehtedel, ning hoiab lingid õiged ja ajakohased.

3.   Riiklikud koordinaatorid esitavad lingikogus lingid teabele, menetlustele ning abi- ja probleemilahendamisteenustele, millele on juurdepääs pädevate asutuste või artikli 7 lõikes 3 osutatud eraõiguslike või erasektori osalusega asutuste hallatavatel veebilehtedel, ning hoiavad lingid õiged ja ajakohased.

4.   Kui see on tehniliselt teostatav, võib lõikes 3 osutatud linkide esitamine toimuda liikmesriikide vastavate süsteemide ning lingikogu vahel automaatselt.

5.   Komisjon teeb lingikogus sisalduva teabe üldsusele avatud ja masinloetaval kujul kättesaadavaks.

6.   Komisjon ja riiklikud koordinaatorid tagavad, et digivärava kaudu pakutavad lingid teabele, menetlustele ning abi- ja probleemilahendamisteenustele ei sisalda täielikku või osalist dubleerimist ega kattumist, mis võib kasutajaid segadusse ajada.

7.   Kui artiklis 4 osutud teabe kättesaadavaks tegemine on sätestatud muudes liidu õigusnormides, võivad komisjon ja riiklikud koordinaatorid esitada nimetatud artikli nõuete täitmiseks linke kõnealusele teabele.

Artikkel 20

Abiteenuse ühisotsing

1.   Juurdepääsu hõlbustamiseks III lisas loetletud või artikli 7 lõigetes 2 ja 3 osutatud abi- ja probleemilahendamisteenustele tagavad pädevad asutused ja komisjon, et kasutajatel on neile juurdepääs digivärava kaudu kättesaadava abi- ja probleemilahendamisteenuse ühisotsingu („abiteenuse ühisotsing“) kaudu.

2.   Komisjon töötab abiteenuse ühisotsingu välja, haldab seda ning paneb paika abi- ja probleemilahendamisteenuste kirjelduste ja kontaktandmete esitamise struktuuri ja vormingu, et võimaldada abiteenuse ühisotsingu nõuetekohast toimimist.

3.   Riiklikud koordinaatorid esitavad lõikes 2 osutatud kirjeldused ja kontaktandmed komisjonile.

Artikkel 21

Digiväravat toetavate IKT rakendustega seonduv vastutus

1.   Komisjon vastutab järgmiste IKT rakenduste ja veebilehtede arendamise, kättesaadavuse, järelevalve, ajakohastamise, hoolduse, turvalisuse ja majutamise eest:

a)

artikli 2 lõikes 1 osutatud portaal „Teie Euroopa“;

b)

artikli 18 lõikes 1 osutatud ühine kasutajaliides, sealhulgas otsingumootor või mõni muu veebis asuva teabe ja teenuste otsingut võimaldav IKT vahend;

c)

artikli 19 lõikes 1 osutatud lingikogu;

d)

artikli 20 lõikes 1 osutatud abiteenuse ühisotsing;

e)

artikli 25 lõikes 1 ja artikli 26 lõike 1 punktis a osutatud kasutajate tagasiside vahendid.

IKT rakenduste arendamisel teeb komisjon tihedat koostööd liikmesriikidega.

2.   Liikmesriigid vastutavad selliste IKT rakenduste arendamise, kättesaadavuse, järelevalve, ajakohastamise, hoolduse ja turvalisuse eest, mis on seotud nende hallatavate riiklike veebisaitide ja -lehtedega, mis on lingitud ühise kasutajaliidesega.

V PEATÜKK

TEAVITUSTEGEVUS

Artikkel 22

Nimi, logo ja kvaliteedimärgis

1.   Digiväravat kirjeldatakse ja tutvustatakse üldsusele nime „Your Europe“ all.

Digiväravat kirjeldava ja üldsusele tutvustava logo valiku otsustab komisjon tihedas koostöös digivärava koordineerimisrühmaga hiljemalt 12. juuniks 2019.

Digivärava logo ja link digivärava juurde esitatakse ja tehakse kättesaadavaks digiväravaga lingitud asjaomastel liidu ja liikmesriigi tasandi veebisaitidel.

2.   Artiklites 9, 10 ja 11 osutatud kvaliteedinõuete järgimise tõendusena toimivad digivärava nimi ja logo ka kvaliteedimärgisena. Digivärava logo võivad kvaliteedimärgisena kasutada üksnes artiklis 19 osutatud lingikogusse lisatud veebisaidid.

Artikkel 23

Teavitustegevus

1.   Liikmesriigid ja komisjon edendavad kodanike ja ettevõtjate seas teadlikkust digiväravast ja selle kasutamisest ning tagavad digivärava, seda puudutava teabe ja menetluste ja selle abi- ja probleemilahendamisteenuste nähtavuse ja hõlpsasti leitavuse üldsusele kättesaadavate otsingumootorite kaudu.

2.   Liikmesriigid ja komisjon kooskõlastavad lõikes 1 osutatud teavitustegevuse ning viitavad sellise tegevuse raames digiväravale ja kasutavad selle logo, vajaduse korral koos muude kaubamärkidega.

3.   Liikmesriigid ja komisjon tagavad, et digivärav on nende vastutusalasse kuuluvate asjakohaste veebisaitide kaudu hõlpsasti leitav ning kõigile asjaomastele liidu ja liikmesriigi tasandi veebisaitidele lisatakse selged lingid ühisele kasutajaliidesele.

4.   Riiklikud koordinaatorid teavitavad liikmesriikide pädevaid asutusi digiväravast.

VI PEATÜKK

KASUTAJATE TAGASISIDE JA STATISTIKA KOGUMINE

Artikkel 24

Kasutusstatistika

1.   Pädevad asutused ja komisjon tagavad, et digivärava toimimise parandamiseks kogutakse digivärava ja sellega linkide kaudu seotud veebilehtede külastuste kohta statistikat viisil, mis tagab kasutajate anonüümsuse.

2.   Pädevad asutused, artikli 7 lõikes 3 osutatud abi- ja probleemilahendamisteenuste osutajad ning komisjon koguvad koondandmeid abi- ja probleemilahendamisteenuste taotluste arvu, päritolu ja sisu ning vastamisaja kohta ning vahetavad neid andmeid omavahel.

3.   Lõigete 1 ja 2 kohaselt digivärava kaudu lingitud teabe, menetluste ning abi- ja probleemilahendamisteenuste kohta kogutavad andmed hõlmavad järgmisi andmekategooriaid:

a)

andmed digivärava kasutajate arvu, päritolu ja liigi kohta;

b)

andmed kasutajate eelistuste ja liikumise kohta;

c)

andmed teabe, menetluste ning abi- ja probleemilahendamisteenuste kasutatavuse, leitavuse ja kvaliteedi kohta.

Andmed tehakse avalikul, üldkasutataval ja masinloetaval kujul üldsusele kättesaadavaks.

4.   Komisjon võtab vastu rakendusaktid, milles sätestatakse käesoleva artikli lõigetes 1, 2 ja 3 osutatud kasutusstatistika kogumise ja vahetamise meetod. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 37 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 25

Kasutajate tagasiside digivärava teenuste kohta

1.   Otsese teabe kogumiseks selle kohta, kuidas kasutajad on rahul digivärava kaudu pakutavate teenuste ja teabega, teeb komisjon kasutajatele digivärava kaudu kättesaadavaks kasutajasõbraliku tagasiside andmise vahendi, mis võimaldab neil vahetult pärast artikli 2 lõikes 2 osutatud teenuste kasutamist anonüümselt kommenteerida digivärava kaudu pakutavate teenuste ja teabe ja ühise kasutajaliidese kvaliteeti ja kättesaadavust.

2.   Pädevad asutused ja komisjon tagavad, et kasutajad saavad lõikes 1 osutatud vahendit kasutada kõigi digiväravasse kuuluvate veebilehtede kaudu.

3.   Komisjonil, pädevatel asutustel ja riiklikel koordinaatoritel peab olema vahetu juurdepääs lõikes 1 osutatud vahendi kaudu kogutud kasutajate tagasisidele, et nad saaksid tõstatatud probleeme lahendada.

4.   Pädevad asutused ei ole kohustatud andma kasutajatele oma digivärava kaudu juurdepääsetavatel veebilehtedel juurdepääsu lõikes 1 osutatud kasutajate tagasiside vahendile, kui lõikes 1 osutatud kasutajate tagasiside vahendile sarnaste funktsioonidega kasutajate tagasiside vahend teenuse kvaliteedi kontrollimiseks on nende veebilehtedel juba olemas. Pädevad asutused koguvad oma kasutajate tagasiside vahendi kaudu saadud kasutajate tagasiside kokku ning jagavad seda komisjoni ja teiste liikmesriikide riiklike koordinaatoritega.

5.   Komisjon võtab vastu rakendusaktid, millega nähakse ette kasutajate tagasiside kogumise ja jagamise eeskirjad. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 37 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 26

Aruandlus siseturu toimimise kohta

1.   Komisjon:

a)

pakub digivärava kasutajatele kasutajasõbralikku vahendit, et nad saaksid anda anonüümselt tagasisidet ja märku kõikidest takistustest, mis neil siseturu õigusi kasutades on ette tulnud;

b)

kogub digivärava kaudu kättesaadavatelt abi- ja probleemilahendamisteenustelt koondteavet taotluste ja vastuste sisu kohta.

2.   Komisjonil, pädevatel asutustel ja riiklikel koordinaatoritel on lõike 1 punkti a kohaselt kogutud tagasisidele vahetu juurdepääs.

3.   Liikmesriigid ja komisjon analüüsivad ja uurivad kasutajate poolt käesoleva artikli kohaselt tõstatatud probleeme ning lahendavad need võimaluse korral asjakohaste vahenditega.

Artikkel 27

Veebipõhised kokkuvõtlikud ülevaated

Komisjon avaldab anonüümsed veebipõhised kokkuvõtlikud ülevaated probleemidest, mis on esile kerkinud seoses artikli 26 lõike 1 kohaselt kogutava teabe, artiklis 24 osutatud kasutusstatistika ning artiklis 25 osutatud olulisema kasutajate tagasisidega.

VII PEATÜKK

DIGIVÄRAVA JUHTIMINE

Artikkel 28

Riiklikud koordinaatorid

1.   Iga liikmesriik määrab riikliku koordinaatori. Lisaks artiklite 7, 17, 19, 20, 23 ja 25 kohaste kohustuste täitmisele teevad riiklikud koordinaatorid järgmist:

a)

tegutsevad kõigis digiväravaga seotud küsimustes oma ametiasutuste kontaktpunktina;

b)

edendavad artiklite 9–16 ühetaolist kohaldamist pädevate asutuste poolt;

c)

tagavad artikli 17 lõike 2 punktis c osutatud soovituste nõuetekohase rakendamise.

2.   Liikmesriik võib lõikes 1 loetletud ülesannete täitmiseks määrata vastavalt oma riigisisesele haldusstruktuurile ühe või mitu koordinaatorit. Igas liikmesriigis vastutab kõigis digiväravaga seotud küsimustes komisjoniga suhtluse eest üksainus riiklik koordinaator.

3.   Liikmesriik teatab teistele liikmesriikidele ja komisjonile oma riikliku koordinaatori nime ja kontaktandmed.

Artikkel 29

Koordineerimisrühm

Käesolevaga luuakse koordineerimisrühm („digivärava koordineerimisrühm“). Sellesse kuulub üks riiklik koordinaator igast liikmesriigist ja selle tööd juhib komisjoni esindaja. Digivärava koordineerimisrühm võtab vastu oma töökorra. Sekretariaaditeenuseid osutab komisjon.

Artikkel 30

Digivärava koordineerimisrühma ülesanded

1.   Digivärava koordineerimisrühm toetab käesoleva määruse rakendamist. Eelkõige on sellel järgmised ülesanded:

a)

edendada parimate tavade vahetamist ja regulaarset ajakohastamist;

b)

toetada täielikult veebipõhiste menetluste kasutuselevõttu lisaks käesoleva määruse II lisas esitatud menetlustele, ning autentimise, identimise ja allkirjastamise veebipõhiste vahendite kasutuselevõttu, eelkõige kooskõlas määrusega (EL) nr 910/2014;

c)

arutada, kuidas parandada teabe kasutajasõbralikku esitamist I lisas loetletud valdkondades, eelkõige artiklite 24 ja 25 kohaselt kogutud andmete põhjal;

d)

abistada komisjoni digiväravat toetavate ühiste IKT lahenduste väljatöötamisel;

e)

arutada iga-aastase tööprogrammi projekti;

f)

aidata komisjonil kontrollida iga-aastase tööprogrammi täitmist;

g)

arutada artikli 5 kohaselt esitatavat täiendavat teavet, et õhutada teisi liikmesriike samasugust teavet esitama, kui see on kasutajatele vajalik;

h)

aidata komisjonil kooskõlas artikliga 17 kontrollida artiklites 8–16 sätestatud nõuete täitmist;

i)

teavitada artikli 6 lõike 1 rakendamisest;

j)

arutada ja esitada pädevatele asutustele ja komisjonile soovituslikke meetmeid digivärava kaudu kättesaadavate teenuste asjatu dubleerimise vältimiseks või kaotamiseks;

k)

esitada arvamusi menetluste või meetmete kohta, et tõhusalt lahendada kasutajate poolt teenuste kvaliteediga seoses tõstatatud probleeme, või teha ettepanekuid kvaliteedi parandamiseks;

l)

arutada käesoleva määruse kontekstis sisseprojekteeritud turbe ja lõimprivaatsuse põhimõtete kohaldamist;

m)

arutada küsimusi seoses artiklites 24 ja 25 osutatud kasutajate tagasiside ja kasutusstatistika kogumisega, et jätkuvalt parandada liidu ja liikmesriikide tasandil pakutavate teenuste kvaliteeti;

n)

arutada digivärava kaudu pakutavate teenuste kvaliteedinõuetega seotud küsimusi;

o)

vahetada kogemusi ja abistada komisjoni artikli 2 lõikes 2 osutatud teenuste korraldamise, struktuuri ja esitlemise küsimustes, et tagada ühise kasutajaliidese nõuetekohane toimimine;

p)

hõlbustada koordineeritud teavitustegevuse väljatöötamist ja rakendamist;

q)

teha koostööd teabeteenuste ning abi- ja probleemilahendamisteenuste juhtorganite ja võrgustikega;

r)

esitada suunised täiendavate liidu ametlike keelte kohta, mida pädevad asutused peaksid vastavalt artikli 9 lõikele 2, artikli 10 lõikele 4, artikli 11 lõikele 2 ja artikli 13 lõike 2 punktile a kasutama.

2.   Komisjon võib digivärava koordineerimisrühmaga konsulteerida kõikides küsimustes, mis on seotud käesoleva määrusega kohaldamisega.

Artikkel 31

Iga-aastane tööprogramm

1.   Komisjon võtab vastu iga-aastase tööprogrammi, milles nähakse ette eelkõige järgmine:

a)

meetmed I lisas loetletud valdkondade spetsiifilise teabe esitusviisi parandamiseks ning meetmed, mis aitavad kõikide tasandite, sealhulgas kohaliku tasandi pädevatel asutustel teabe esitamise nõudeid õigeaegselt rakendada;

b)

artiklite 6 ja 13 järgimist soodustavad meetmed;

c)

artiklites 9–12 sätestatud nõuete järjekindla järgimise tagamiseks vajalikud meetmed;

d)

digivärava tutvustamisega seotud meetmed kooskõlas artikliga 23.

2.   Iga-aastase tööprogrammi projekti ette valmistades võtab komisjon arvesse artiklite 24 ja 25 kohaselt kogutud kasutajate tagasisidet ja kasutusstatistikat ning liikmesriikide soovitusi. Komisjon esitab iga-aastase tööprogrammi projekti enne vastuvõtmist arutamiseks digivärava koordineerimisrühmale.

VIII PEATÜKK

LÕPPSÄTTED

Artikkel 32

Kulud

1.   Euroopa Liidu üldeelarvest kaetakse järgmised kulud:

a)

liidu tasandil käesoleva määruse rakendamist toetavate IKT vahendite väljatöötamine ja hooldus;

b)

digivärava tutvustamine liidu tasandil;

c)

teabe, selgituste ja juhiste tõlkimine vastavalt artiklile 12 iga liikmesriigi jaoks ettenähtud maksimaalses iga-aastases mahus, ilma et see piiraks võimalust vajaduse korral vahendeid ümber jaotada, et olemasolev eelarve täielikult ära kasutada.

2.   Liikmesriigi tasandil kehtestatud riiklike veebiportaalide, teabeplatvormide, abiteenuste ja menetlustega seotud kulud kaetakse liikmesriikide vastavatest eelarvetest, kui liidu õigusaktidega ei ole ette nähtud teisiti.

Artikkel 33

Isikuandmete kaitse

Käesoleva määruse raames toimuv isikuandmete töötlemine pädevate asutuste poolt peab toimuma kooskõlas määrusega (EL) 2016/679. Käesoleva määruse raames toimuv isikuandmete töötlemine komisjonis peab toimuma kooskõlas määrusega (EL) 2018/1725.

Artikkel 34

Koostöö muude teabe- ja abivõrgustikega

1.   Pärast konsulteerimist liikmesriikidega otsustab komisjon, millised olemasolevad III lisas loetletud abi- ja probleemilahendamisteenuste mitteametlikud juhtimiskorrad ja I lisaga hõlmatud teabevaldkondade mitteametlikud juhtimiskorrad tuuakse digivärava koordineerimisrühma vastutusalasse.

2.   Kui teabe- ja abiteenused või -võrgustikud on I lisas nimetatud teabevaldkonnas loodud õiguslikult siduva liidu õigusaktiga, kooskõlastab komisjon digivärava koordineerimisrühma ja selliste teenuste või võrgustike juhtorganite tööd, et saavutada koostoime ja vältida dubleerimist.

Artikkel 35

Siseturu infosüsteem

1.   Määrusega (EL) nr 1024/2012 loodud siseturu infosüsteemi kasutatakse kooskõlas artikli 6 lõikega 4 ja artikliga 15 ning neis sätestatud eesmärkidel.

2.   Komisjon võib otsustada kasutada siseturu infosüsteemi artikli 19 lõikes 1 osutatud elektroonilise lingikoguna.

Artikkel 36

Aruandlus ja läbivaatamine

Komisjon vaatab käesoleva määruse kohaldamise läbi hiljemalt 12. detsembriks 2022 ja seejärel kord kahe aasta jooksul ning esitab Euroopa Parlamendile ja nõukogule hindamisaruande digivärava ja siseturu toimimise kohta, võttes aluseks artiklite 24, 25 ja 26 kohaselt kogutud statistika ja tagasiside. Läbivaatamise käigus hinnatakse eelkõige käesoleva määruse artikli 14 kohaldamisala, võttes arvesse tehnika, turu ja õiguse arengut selles osas, mis puudutab tõendite vahetamist pädevate asutuste vahel.

Artikkel 37

Komiteemenetlus

1.   Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2.   Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

Artikkel 38

Määruse (EL) nr 1024/2012 muutmine

Määrust (EL) nr 1024/2012 muudetakse järgmiselt.

1)

Artikkel 1 asendatakse järgmisega:

„Artikkel 1

Reguleerimisese

Käesolevas määruses sätestatakse eeskirjad siseturu infosüsteemi (Internal Market Information System, edaspidi „IMI“) kasutamiseks IMI osaliste vaheliseks halduskoostööks, sealhulgas isikuandmete töötlemiseks.“

2)

Artikli 3 lõige 1 asendatakse järgmisega:

„1.   IMId kasutatakse teabe, sealhulgas isikuandmete vahetamiseks IMI osaliste vahel ning kõnealuse teabe töötlemiseks ühel järgmistest eesmärkidest:

a)

lisas loetletud õigusaktide kohaselt nõutav halduskoostöö;

b)

artikli 4 kohaselt toimuva katseprojektiga seotud halduskoostöö.“

3)

Artikli 5 teist lõiku muudetakse järgmiselt:

a)

punkt a asendatakse järgmisega:

„a)

„IMI“ – komisjoni väljatöötatud elektrooniline vahend, et hõlbustada IMI osaliste vahelist halduskoostööd;“;

b)

punkt b asendatakse järgmisega:

„b)

„halduskoostöö“ – IMI osaliste vaheline koostöö teabevahetuse ja andmetöötluse valdkonnas, eesmärgiga paremini kohaldada liidu õigust;“;

c)

punkt g asendatakse järgmisega:

„g)

„IMI osalised“ – pädevad asutused, IMI koordinaatorid, komisjon ning liidu organid ja asutused;“.

4)

Artikli 8 lõikesse 1 lisatakse järgmine punkt:

„f)

tagada koostöö liidu organite ja asutustega ning tagada neile juurdepääs IMI-le.“

5)

Artikli 9 lõige 4 asendatakse järgmisega:

„4.   Liikmesriigid, komisjon ning liidu organid ja asutused tagavad asjakohased vahendid, et IMI kasutajatel oleks lubatud IMIs töödeldud isikuandmetele juurde pääseda üksnes teadmisvajaduse korral ja üksnes siseturuvaldkonnas või -valdkondades, kus neile on antud juurdepääsuõigus kooskõlas lõikega 3.“

6)

Artiklit 21 muudetakse järgmiselt:

a)

lõige 2 asendatakse järgmisega:

„2.   Euroopa andmekaitseinspektor vastutab käesoleva määruse sätete kohaldamise jälgimise ja tagamise eest, kui komisjon või liidu organid ja asutused töötlevad IMI osalistena isikuandmeid. Kohaldatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 (*1) artiklites 57 ja 58 osutatud kohustusi ja õigusi.

(*1)  Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39)“;"

b)

lõige 3 asendatakse järgmisega:

„3.   Liikmesriikide järelevalveasutused ja Euroopa andmekaitseinspektor teevad oma pädevuse piires tegutsedes koostööd, et tagada koordineeritud järelevalve teostamine IMI ja selle kasutamise üle IMI osaliste poolt kooskõlas määruse (EL) nr 2018/1725 artikliga 62.“;

c)

lõige 4 jäetakse välja.

7)

Artikli 29 lõige 1 jäetakse välja.

8)

Lisasse lisatakse järgmised punktid:

„11.

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (*2): artiklid 56 ja 60–66 ning artikli 70 lõige 1.

12.

Euroopa Parlamendi ja nõukogu 2. oktoobri 2018. aasta määrus (EL) 2018/1725, millega luuakse ühtne digivärav teabele, menetlustele ning abi- ja probleemilahendamisteenustele juurdepääsu pakkumiseks ning millega muudetakse määrust (EL) nr 1024/2012 (*3): artikli 6 lõige 4 ning artiklid 15 ja 19.

(*2)  ELT L 119, 4.5.2016, lk 1."

(*3)  ELT L 295, 21.11.2018, lk 39.“"

Artikkel 39

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Artikleid 2, 4, 7–12, 16 ja 17, artikli 18 lõikeid 1–4, artikleid 19 ja 20, artikli 24 lõikeid 1, 2 ja 3, artikli 25 lõikeid 1–4 ning artikleid 26 ja 27 kohaldatakse alates 12. detsembrist 2020.

Artikleid 6 ja 13, artikli 14 lõikeid 1–8 ja 10 ning artiklit 15 kohaldatakse alates 12. detsembrist 2023.

Artiklite 2, 9, 10 ja 11 kohaldamiskuupäevast sõltumata teevad kohaliku omavalitsuse ametiasutused nimetatud artiklites osutatud teabe, selgitused ja juhised kättesaadavaks hiljemalt 12. detsembriks 2022.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Strasbourg, 2. oktoober 2018

Euroopa Parlamendi nimel

president

A. TAJANI

Nõukogu nimel

eesistuja

J. BOGNER-STRAUSS


(1)  ELT C 81, 2.3.2018, lk 88.

(2)  Euroopa Parlamendi 13. septembri 2018. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 27. septembri 2018. aasta otsus.

(3)  Euroopa Parlamendi ja nõukogu 12. detsembri 2006. aasta direktiiv 2006/123/EÜ teenuste kohta siseturul (ELT L 376, 27.12.2006, lk 36).

(4)  Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 764/2008, milles sätestatakse menetlused seoses teatavate riiklike tehniliste eeskirjade kohaldamisega teises liikmesriigis seaduslikult turustatavate toodete suhtes ja tunnistatakse kehtetuks otsus nr 3052/95/EÜ (ELT L 218, 13.8.2008, lk 21).

(5)  Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta määrus (EL) nr 305/2011, millega sätestatakse ehitustoodete ühtlustatud turustustingimused ning tunnistatakse kehtetuks nõukogu direktiiv 89/106/EMÜ (ELT L 88, 4.4.2011, lk 5).

(6)  Euroopa Parlamendi ja nõukogu 7. septembri 2005. aasta direktiiv 2005/36/EÜ kutsekvalifikatsioonide tunnustamise kohta (ELT L 255, 30.9.2005, lk 22).

(7)  Komisjoni 17. septembri 2013. aasta soovitus 2013/461/EL SOLVITi toimimise põhimõtete kohta (ELT L 249, 19.9.2013, lk 10).

(8)  Euroopa Parlamendi ja nõukogu 26. veebruari 2014. aasta direktiiv 2014/24/EL riigihangete kohta ja direktiivi 2004/18/EÜ kehtetuks tunnistamise kohta (ELT L 94, 28.3.2014, lk 65).

(9)  Euroopa Parlamendi ja nõukogu 26. veebruari 2014. aasta direktiiv 2014/25/EL, milles käsitletakse vee-, energeetika-, transpordi- ja postiteenuste sektoris tegutsevate üksuste riigihankeid ja millega tunnistatakse kehtetuks direktiiv 2004/17/EÜ (ELT L 94, 28.3.2014, lk 243).

(10)  Euroopa Parlamendi ja nõukogu 13. aprilli 2016. aasta määrus (EL) 2016/589, milles käsitletakse Euroopa tööturuasutuste võrgustikku (EURESe võrgustik), töötajate juurdepääsu liikuvusteenustele ja tööturgude edasist integratsiooni ning millega muudetakse määruseid (EL) nr 492/2011 ja (EL) nr 1296/2013 (ELT L 107, 22.4.2016, lk 1).

(11)  Nõukogu 28. mai 2001. aasta otsus 2001/470/EÜ, millega luuakse tsiviil- ja kaubandusasju käsitlev Euroopa kohtute võrk (EÜT L 174, 27.6.2001, lk 25).

(12)  Euroopa Parlamendi ja nõukogu 15. mai 2014. aasta direktiiv 2014/67/EL, mis käsitleb direktiivi 96/71/EÜ (töötajate lähetamise kohta seoses teenuste osutamisega) jõustamist ning millega muudetakse määrust (EL) nr 1024/2012, mis käsitleb siseturu infosüsteemi kaudu tehtavat halduskoostööd („IMI määrus“) (ELT L 159, 28.5.2014, lk 11).

(13)  Euroopa Parlamendi ja nõukogu 23. juuli 2014. aasta määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73).

(14)  Euroopa Parlamendi ja nõukogu 29. aprilli 2004. aasta määrus (EÜ) nr 883/2004 sotsiaalkindlustussüsteemide koordineerimise kohta (ELT L 166, 30.4.2004, lk 1).

(15)  Euroopa Parlamendi ja nõukogu 16. septembri 2009. aasta määrus (EÜ) nr 987/2009 milles sätestatakse määruse (EÜ) nr 883/2004 (sotsiaalkindlustussüsteemide koordineerimise kohta) rakendamise kord (ELT L 284, 30.10.2009, lk 1).

(16)  Euroopa Parlamendi ja nõukogu 26. oktoobri 2016. aasta direktiiv (EL) 2016/2102, mis käsitleb avaliku sektori asutuste veebisaitide ja mobiilirakenduste juurdepääsetavust (ELT L 327, 2.12.2016, lk 1).

(17)  Nõukogu 26. novembri 2009. aasta otsus 2010/48/EÜ Ühinenud Rahvaste Organisatsiooni puuetega inimeste õiguste konventsiooni sõlmimise kohta Euroopa Ühenduse nimel (ELT L 23, 27.1.2010, lk 35).

(18)  Euroopa Parlamendi ja nõukogu 14. märtsi 2012. aasta määrus (EL) nr 260/2012, millega kehtestatakse eurodes tehtavatele kreedit- ja otsekorraldustele tehnilised ja ärilised nõuded ning muudetakse määrust (EÜ) nr 924/2009 (ELT L 94, 30.3.2012, lk 22).

(19)  Euroopa Parlamendi ja nõukogu 25. oktoobri 2012. aasta määrus (EL) nr 1024/2012, mis käsitleb siseturu infosüsteemi kaudu tehtavat halduskoostööd ning millega tunnistatakse kehtetuks komisjoni otsus 2008/49/EÜ (IMI määrus) (ELT L 316, 14.11.2012, lk 1).

(20)  Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta määrus (EL) 2016/1191, millega edendatakse kodanike vaba liikumist, lihtsustades teatavate avalike dokumentide Euroopa Liidus esitamise nõudeid, ning muudetakse määrust (EL) nr 1024/2012 (ELT L 200, 26.7.2016, lk 1).

(21)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(22)  Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (vt käesoleva Euroopa Liidu Teataja lk 39).

(23)  Euroopa Parlamendi ja nõukogu 11. detsembri 2013. aasta määrus (EL) nr 1316/2013, millega luuakse Euroopa ühendamise rahastu, muudetakse määrust (EL) nr 913/2010 ning tunnistatakse kehtetuks määrused (EÜ) nr 680/2007 ja (EÜ) nr 67/2010 (ELT L 348, 20.12.2013, lk 129).

(24)  Euroopa Parlamendi ja nõukogu 14. juuni 2017. aasta direktiiv (EL) 2017/1132 äriühinguõiguse teatavate aspektide kohta (ELT L 169, 30.6.2017, lk 46).

(25)  Euroopa Parlamendi ja nõukogu 20. mai 2015. aasta määrus (EL) 2015/848 maksejõuetusmenetluse kohta (ELT L 141, 5.6.2015, lk 19).

(26)  Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(27)  Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus (ELT L 194, 19.7.2016, lk 1).

(28)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89).

(29)  Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(30)  ELT C 340, 11.10.2017, lk 6.


I LISA

Loetelu teabevaldkondadest, mis on olulised kodanikele ja ettevõtjatele, kes kasutavad oma siseturu õigusi, millele on osutatud artikli 2 lõike 2 punktis a

Kodanikega seotud teabevaldkonnad:

Valdkond

TEAVE LIIDU JA LIIKMESRIIGI ÕIGUSEST TULENEVATE ÕIGUSTE, KOHUSTUSTE JA ÕIGUSNORMIDE KOHTA

A.

Liidu piires reisimine

1)

dokumendid, mida nõutakse liidu kodanikelt, nende pereliikmetelt, kes ei ole liidu kodanikud, üksi reisivatelt alaealistelt, liidu piires piiriüleselt reisivatelt kolmandate riikide kodanikelt (isikutunnistus, viisa, pass)

2)

liidus ja liidust lennukiga, rongiga, laevaga ja bussiga reisijate ning pakettreise või seotud reisikorraldusteenuseid ostvate reisijate õigused ja kohustused

3)

piiratud liikumisvõimega isikutele liidus ja liidust reisimise korral pakutav abi

4)

loomade, taimede, alkoholi, tubaka, sigarettide ja muude kaupade vedu liidus reisides

5)

liidus häälkõnede tegemine ning elektrooniliste sõnumite ja andmete saatmine ja vastuvõtmine

B.

Liidu piires töötamine ja pensionile jäämine

1)

teises liikmesriigis töö otsimine

2)

teises liikmesriigis tööle asumine

3)

kvalifikatsioonide tunnustamine seoses teises liikmesriigis töötamisega

4)

maksustamine teises liikmesriigis

5)

õigusnormid teise liikmesriigi elu- või töökohaga seonduva vastutuse ja kohustusliku kindlustuse kohta

6)

seaduses või seadusest alamalseisvates üldkehtivates õigusaktides sätestatud või muul viisil õiguslikult siduvad töötingimused, sealhulgas lähetatud töötajate suhtes kehtivad tingimused (sealhulgas töötunnid, tasustatud puhkus, puhkuseõigused, ületunnitööga seotud õigused ja kohustused, tervisekontrollid, lepingu lõpetamine, vallandamine ja koondamine)

7)

võrdne kohtlemine (töökohal diskrimineerimist keelavad õigusnormid, õigusnormid meeste ja naiste võrdse tasustamise ning tähtajalise lepinguga töötajate ja tähtajatu lepinguga töötajate võrdse tasustamisekohta)

8)

eri liiki tegevustega seonduvad tervise- ja ohutusalased kohustused

9)

sotsiaalkindlustusalased õigused ja kohustused liidus, sh seoses pensioni saamisega

C.

Sõidukid liidus

1)

mootorsõiduki ajutine või alaline viimine teise liikmesriiki

2)

juhiloa saamine ja pikendamine

3)

liikluskindlustuse kohustuslikkus

4)

mootorsõiduki ostmine ja müümine teises liikmesriigis

5)

liikmesriigi liikluseeskirjad ja nõuded sõidukijuhtidele, sealhulgas riigi maanteetaristute kasutamise üldeeskirjad: ajatasu (teemaksukleebis), kilomeetritasu (tasulised maanteed), heitmekleebised

D.

Teises liikmesriigis elamine

1)

ajutiselt või alaliselt teise liikmesriiki kolimine

2)

kinnisvara ostmine ja müümine, sealhulgas kinnisvara (ka teise elukoha näol) maksustamise, omamise ja kasutamisega seotud tingimused ja kohustused

3)

kohalikel valimistel ja Euroopa Parlamendi valimistel osalemine

4)

liidu kodanike ja nende pereliikmete (sh pereliikmed, kes ei ole liidu kodanikud) elamisloakaartidega seonduvad nõuded

5)

teise liikmesriigi kodanike naturalisatsiooni tingimused

6)

surma korral kohalduvad õigusnormid, sealhulgas säilmete teise liikmesriiki repatrieerimist reguleerivad õigusnormid

E.

Õpingud või praktika teises liikmesriigis

1)

teise liikmesriigi haridussüsteem, sealhulgas alusharidus ja lapsehoid, alg- ja keskharidus, kõrgharidus ja täiskasvanuharidus

2)

teises liikmesriigis vabatahtlikuna töötamine

3)

teises liikmesriigis toimuv praktika

4)

teises liikmesriigis haridusprogrammi raames teadusuuringute läbiviimine

F.

Tervishoid

1)

teises liikmesriigis arstiabi saamine

2)

retseptiravimite ostmine muus liikmesriigis kui see, kus retsept välja kirjutati, kas veebis või ise kohale minnes

3)

lühi- või pikaajalise teises liikmesriigis viibimise korral kohaldatavad tervisekindlustusnormid, sealhulgas Euroopa ravikindlustuskaardi taotlemise juhend

4)

üldine teave riiklikele tervishoiualastele ennetusmeetmetele juurdepääsu õiguste või neis osalemise kohustuste kohta

5)

riiklike hädaabinumbrite, sealhulgas numbrite 112 ja 116 kaudu pakutavad teenused

6)

vanurite hooldekodusse kolimise õigused ja tingimused

G.

Kodanikuõigused ja perekonnaõigus

1)

sünd, alaealiste laste eestkoste, vanemlik vastutus, asendusemadus ja lapsendamine, sealhulgas peresisene lapsendamine, ning lastega seonduvad ülalpidamiskohustused piiriüleste perekondlike asjaolude korral

2)

eri kodakondsusest isikute, sealhulgas samasooliste isikute kooselu (abielu, registreeritud kooselu/partnerlus, lahuselu, abielulahutus, abieluvaraga seotud õigused, kooselupartnerite õigused)

3)

soo tunnustamise eeskirjad

4)

pärimisega seotud õigused ja kohustused teises liikmesriigis, sealhulgas maksustamisnormid

5)

õigused ja normid piiriülese (vanemliku) lapseröövi korral

H.

Tarbijaõigused

1)

teisest liikmesriigist kaupade, digitaalse infosisu või teenuste (sh finantsteenuste) ostmine veebis või ise kohale minnes

2)

pangakonto omamine teises liikmesriigis

3)

liitumine kommunaalteenustega, nagu gaas, elekter, vesi, jäätmekäitlus, telekommunikatsiooni- ja internetiteenused

4)

maksed, sh kreeditkorraldused, piiriüleste maksetega seonduvad viivitused

5)

tarbija õigused ja garantiid kaupade ja teenuste ostmisel, sealhulgas tarbijavaidluste lahendamise ja hüvitamise kord

6)

tarbekaupade ohutus ja turvalisus

7)

mootorsõiduki rentimine

I.

Isikuandmete kaitse

1)

andmesubjekti õiguste kasutamine seoses isikuandmete kaitsega

Ettevõtjatega seotud teabevaldkonnad:

Valdkond

TEAVE ÕIGUSTE, KOHUSTUSTE JA ÕIGUSNORMIDE KOHTA

J.

Ettevõtte asutamine, juhtimine ja tegevuse lõpetamine

1)

ettevõtte registreerimine, selle õigusliku vormi muutmine või tegevuse lõpetamine (registreerimismenetlused ja ettevõtluse õiguslikud vormid)

2)

ettevõtte üleviimine teise liikmesriiki

3)

intellektuaalomandiõigused (patendi taotlemine, kaubamärgi, joonise või disainilahenduse registreerimine, reprodutseerimisloa saamine)

4)

õiglus ja läbipaistvus seoses kaubandustavadega, sh tarbijate õigused ja garantiid kaupade ja teenuste müügi puhul

5)

kaupade ja teenuste veebimüügi puhul piiriüleste maksevõimaluste pakkumine

6)

lepinguõigusest tulenevad õigused ja kohustused, sh viivised

7)

maksejõuetusmenetlused ja äriühingute likvideerimine

8)

krediidikindlustus

9)

äriühingute ühinemine või ettevõtte müümine

10)

ettevõtte juhatuse liikmete tsiviilvastutus

11)

isikuandmete töötlemist käsitlevad normid ja kohustused

K.

Töötajad

1)

seaduses või seadusest alamalseisvates üldkehtivates õigusaktides sätestatud töötingimused (sealhulgas töötunnid, tasustatud puhkus, puhkuseõigused, ületunnitööga seotud õigused ja kohustused, tervisekontrollid, lepingu lõpetamine, vallandamine ja koondamine)

2)

sotsiaalkindlustusalased õigused ja kohustused liidus (tööandjaks registreerimine, töötajate registreerimine, töötaja lepingu lõppemisest teatamine, sotsiaalkindlustuse maksmine, pensionitega seotud õigused ja kohustused)

3)

teistest liikmesriikidest pärit töötajate töölevõtmine (töötajate lähetamine, teenuste osutamise vabadusega seotud õigusnormid, töötajate elukohanõuded)

4)

võrdne kohtlemine (töökohal diskrimineerimist keelavad õigusnormid, õigusnormid meeste ja naiste võrdse tasustamise ning tähtajalise lepinguga töötajate ja tähtajatu lepinguga töötajate võrdse tasustamise kohta)

5)

töötajate esindamist käsitlevad õigusnormid

L.

Maksud

1)

käibemaks: teave üldiste õigusnormide, maksumäärade ja -vabastuste kohta, käibemaksukohustuslasena registreerimine ja käibemaksu tasumine, maksutagastuse saamine

2)

aktsiisid: teave üldiste õigusnormide, maksumäärade ja -vabastuste kohta, maksukohustuslasena registreerimine ja aktsiisi tasumine, maksutagastuse saamine

3)

tollimaksud ja muud impordimaksud

4)

tolliprotseduurid impordil ja ekspordil vastavalt liidu tolliseadustikule

5)

muud maksud: tasumine, määrad, maksudeklaratsioonid

M.

Kaubad

1)

CE-märgise saamine

2)

tooteid puudutavad normid ja nõuded

3)

kohaldatavate standardite ja tehniliste kirjelduste kindlakstegemine, toodete sertifitseerimine

4)

selliste toodete vastastikune tunnustamine, mille suhtes ei kohaldata liidu spetsifikatsioone

5)

ohtlike kemikaalide klassifitseerimise, märgistamise ja pakendamisega seotud nõuded

6)

kaugmüük/väljaspool äriruume toimuv müük: tarbijatele antav eelteave, lepingu kirjalik kinnitus, lepingust taganemine, kauba tarnimine, muud erikohustused

7)

defektsed tooted: tarbijate õigused ja garantiid, müügijärgsed kohustused, kannatanu õiguskaitsevahendid

8)

sertifitseerimine, märgised (EMAS, energiamärgised, ökodisain, ELi ökomärgis)

9)

ringlussevõtt ja jäätmekäitlus

N.

Teenused

1)

litsentside või lubade saamine ettevõtte asutamiseks ja selle tegevuseks

2)

ametiasutuste teavitamine piiriülesest tegevusest

3)

kutsekvalifikatsioonide tunnustamine, mis hõlmab ka kutseharidust ja kutsekoolitust

O.

Ettevõtte rahastamine

1)

liidu tasandi rahastuse saamine, mis hõlmab ka liidu rahastamisprogramme ja ettevõtlustoetusi

2)

liikmesriigi tasandi rahastuse saamine

3)

ettevõtjatele suunatud algatused (uutele ettevõtjatele organiseeritud vahetused, mentorlusprogrammid jne)

P.

Riigihankelepingud

1)

riigihangetes osalemine: õigusnormid ja menetlused

2)

avaliku pakkumiskutse peale veebis pakkumuse esitamine

3)

pakkumismenetlusega seonduvatest õigusnormide rikkumistest teatamine

Q.

Töötervishoid ja tööohutus

1)

eri liiki tegevustega seonduvad tervishoiu- ja ohutusalased kohustused, sealhulgas riskide ennetamine, teavitamine ja koolitus


II LISA

Artikli 6 lõikes 1 osutatud menetlused

Elusündmused

Menetlused

Oodatav tulemus, mille puhul pädev asutus hindab taotlust kooskõlas liikmesriigi õigusega, kui see on asjakohane

Sünd

Sünni registreerimise tõendi taotlemine

Sünni registreerimise tõend või sünnitunnistus

Residentsus

Elukohatõendi taotlemine

Praegusel aadressil registreerimise kinnitus

Õppimine

Kolmanda taseme hariduse omandamise jaoks rahastamise, nagu õppetoetuste või -laenude taotlemine avaliku sektori organilt või asutuselt

Otsus rahastamistaotluse kohta või taotluse kättesaamise kinnitus

Esialgse avalduse esitamine riiklikku kõrgkooli astumiseks

Avalduse kättesaamise kinnitus

Diplomite, tõendite või muude õpinguid või kursusi tõendavate dokumentide akadeemilise tunnustamise taotlemine

Tunnustamise otsus

Töötamine

Taotlus kohaldatavate õigusaktide kindlaksmääramiseks kooskõlas määruse (EÜ) nr 883/2004 1 II jaotisega (1)

Otsus kohaldatavate õigusaktide kohta

Teatamine sotsiaalkindlustushüvitist mõjutavatest muutustest sotsiaalkindlustushüvitist saava isiku isiklikes või tööalastes asjaoludes

Kinnitus muutustest teatamise kättesaamise kohta

Euroopa ravikindlustuskaardi taotlemine

Euroopa ravikindlustuskaart

Tuludeklaratsiooni esitamine

Deklaratsiooni kättesaamise kinnitus

Kolimine

Aadressimuutuse registreerimine

Kinnitus eelmiselt aadressilt välja registreerimise ja uuele aadressile registreerimise kohta

Liikmesriigist pärit või liikmesriigis juba registreeritud mootorsõiduki registreerimine standardmenetluse korral (2)

Mootorsõiduki registreerimise tõend

Riigi maanteetaristute kasutamist lubava kleebise saamine: avaliku sektori organi või asutuse väljastatud: ajatasu (teemaksukleebis), kilomeetritasu (tasulised maanteed)

Teemaksukleebise kviitung või muu maksetõend

Avaliku sektori organi või asutuse väljastatud heitmekleebise saamine

Heitmekleebise kviitung või muu maksetõend

Pensionile jäämine

Pensioni- ja eelpensionihüvitiste taotlemine kohustuslikest pensioniskeemidest

Taotluse kättesaamise kinnitus või otsus pensioni- või eelpensionihüvitiste taotluse kohta

Teabe taotlemine kohustuslikest pensioniskeemidest saadavat pensionit iseloomustavate andmete kohta

Teatis isiku pensioniandmete kohta

Ettevõtte asutamine, juhtimine ja tegevuse lõpetamine

Majandustegevusest teavitamine, majandustegevusega seotud load, muudatused majandustegevuses ning majandustegevuse lõpetamine põhjustel, mis ei hõlma maksejõuetust ega likvideerimismenetlust, välja arvatud majandustegevuse esmakordne registreerimine äriregistris ning välja arvatud menetlused äriühingute (ELi toimimise lepingu artikli 54 teise lõigu tähenduses) asutamiseks või hiljem asutamisdokumentides muudatuste tegemiseks

Kinnitus teate, muudatusi puudutava teate või majandustegevuse loa taotluse kättesaamise kohta

Tööandja (füüsilise isiku) registreerimine kohustuslikus pensioni- ja kindlustusskeemis

Kinnitus registreerimise kohta või sotsiaalkindlustuse registreerimisnumber

Töötajate registreerimine kohustuslikus pensioni- ja kindlustusskeemis

Kinnitus registreerimise kohta või sotsiaalkindlustuse registreerimisnumber

Ettevõtte tuludeklaratsiooni esitamine

Deklaratsiooni kättesaamise kinnitus

Sotsiaalkindlustussüsteemide teavitamine töötaja lepingu lõppemisest, välja arvatud töölepingu kollektiivse lõpetamise menetlused

Teatise kättesaamise kinnitus

Töötajate sotsiaalmaksete tasumine

Kättesaamistõend või muu kinnitus töötajate sotsiaalmaksete tasumise kohta


(1)  Euroopa Parlamendi ja nõukogu 29. aprilli 2004. aasta määrus (EÜ) nr 883/2004 sotsiaalkindlustussüsteemide koordineerimise kohta (ELT L 166, 30.4.2004, lk 1).

(2)  See hõlmab järgmisi sõidukeid: a) kõik Euroopa Parlamendi ja nõukogu direktiivi 2007/46/EÜ (ELT L 263, 9.10.2007, lk 1) artiklis 3 loetletud mootorsõidukid või haagised ning b) kõik Euroopa Parlamendi ja nõukogu määruse (EL) nr 168/2013 (ELT L 60, 2.3.2013, lk 52) artiklis 1 loetletud nii paarisratastega kui ka muud kahe- ja kolmerattalised mootorsõidukid, mis on ette nähtud kasutamiseks teedel.


III LISA

Artikli 2 lõike 2 punktis c osutatud abi- ja probleemilahendamisteenuste loetelu

1)

Ühtsed kontaktpunktid (1)

2)

Toote kontaktpunktid (2)

3)

Ehitusvaldkonna toodete kontaktpunktid (3)

4)

Riiklikud kutsekvalifikatsioonide tugikeskused (4)

5)

Piiriüleste tervishoiuteenuste riiklikud kontaktpunktid (5)

6)

Euroopa tööturuasutuste võrgustik (EURES (6))

7)

Internetipõhine vaidluste lahendamine (7)


(1)  Euroopa Parlamendi ja nõukogu 12. detsembri 2006. aasta direktiiv 2006/123/EÜ teenuste kohta siseturul (ELT L 376, 27.12.2006, lk 36).

(2)  Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 764/2008, milles sätestatakse menetlused seoses teatavate riiklike tehniliste eeskirjade kohaldamisega teises liikmesriigis seaduslikult turustatavate toodete suhtes ja tunnistatakse kehtetuks otsus nr 3052/95/EÜ (ELT L 218, 13.8.2008, lk 21).

(3)  Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta määrus (EL) nr 305/2011, millega sätestatakse ehitustoodete ühtlustatud turustustingimused ning tunnistatakse kehtetuks nõukogu direktiiv 89/106/EMÜ (ELT L 88, 4.4.2011, lk 5).

(4)  Euroopa Parlamendi ja nõukogu 7. septembri 2005. aasta direktiiv 2005/36/EÜ kutsekvalifikatsioonide tunnustamise kohta (ELT L 255, 30.9.2005, lk 22).

(5)  Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).

(6)  Euroopa Parlamendi ja nõukogu 13. aprilli 2016. aasta määrus (EL) 2016/589, milles käsitletakse Euroopa tööturuasutuste võrgustikku (EURESe võrgustik), töötajate juurdepääsu liikuvusteenustele ja tööturgude edasist integratsiooni ning millega muudetakse määruseid (EL) nr 492/2011 ja (EL) nr 1296/2013 (ELT L 107, 22.4.2016, lk 1).

(7)  Euroopa Parlamendi ja nõukogu 21. mai 2013. aasta määrus (EL) nr 524/2013 tarbijavaidluste internetipõhise lahendamise kohta, millega muudetakse määrust (EÜ) nr 2006/2004 ja direktiivi 2009/22/EÜ (tarbijavaidluste internetipõhise lahendamise määrus) (ELT L 165, 18.6.2013, lk 1).


21.11.2018   

ET

Euroopa Liidu Teataja

L 295/39


EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2018/1725,

23. oktoober 2018,

mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust (1),

toimides seadusandliku tavamenetluse kohaselt (2)

ning arvestades järgmist:

(1)

Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta („harta“) artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu („ELi toimimise leping“) artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. See õigus on tagatud ka Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikliga 8.

(2)

Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 45/2001 (3) on sätestatud füüsilistele isikutele samaväärsed kohtulikult kaitstavad õigused, määratud kindlaks liidu institutsioonide ja asutuste vastutavate töötlejate kohustused andmete töötlemisel ning sellega on loodud sõltumatu järelevalveasutus, Euroopa Andmekaitseinspektor, mis vastutab isikuandmete liidu institutsioonide ja asutuste poolse töötlemise jälgimise eest. Seda ei kohaldata aga isikuandmete töötlemise suhtes, mis toimub liidu institutsioonide ja asutuste tegevuse käigus, mis jääb väljapoole liidu õiguse kohaldamisala.

(3)

Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (4) ning Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 (5) võeti vastu 27. aprillil 2016. Kui määruses on sätestatud üldnormid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus, siis direktiivis on sätestatud erinormid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

(4)

Määrusega (EL) 2016/679 on ette nähtud määruse (EÜ) nr 45/2001 muutmine, et tagada liidus tugev ja ühtne andmekaitseraamistik ning võimaldada määruse (EÜ) nr 45/2001 paralleelset kohaldamist määrusega (EL) 2016/679.

(5)

Kogu liitu hõlmava isikuandmete kaitset käsitleva sidusa lähenemisviisi ja liidus isikuandmete vaba liikumise huvides on ühtlustada võimalikult suures ulatuses liidu institutsioonide, organite ja asutuste andmekaitsenorme liikmesriikides avaliku sektori jaoks kehtestatud andmekaitsenormidega. Kui käesoleva määruse sätted tuginevad samadele põhimõtetele kui määruse (EL) 2016/679 sätted, tuleks mõlemaid õigusnormide kogumeid Euroopa Liidu Kohtu (Euroopa Kohus) kohtupraktika kohaselt tõlgendada ühetaoliselt, eelkõige seetõttu, et käesoleva määruse ülesehitust tuleks mõista määruse (EL) 2016/679 ülesehituse vastena.

(6)

Kaitsta tuleks isikuid, kelle isikuandmeid töödeldakse mistahes põhjustel liidu institutsioonides ja asutustes, näiteks seetõttu, et nad nendes institutsioonides või asutustes töötavad. Käesolevat määrust ei tuleks kohaldada surnud isikuid puudutavate isikuandmete suhtes. Käesolevat määrust ei kohaldata selliste andmete töötlemise suhtes, mis puudutavad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmete suhtes.

(7)

Selleks et vältida normide täitmisest kõrvalehoidumise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest.

(8)

Käesolevat määrust tuleks kohaldada isikuandmete töötlemise suhtes kõigis liidu institutsioonides, organites ja asutustes. Seda tuleks kohaldada isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja selliste isikuandmete automatiseerimata töötlemise suhtes, mis kuuluvad andmete kogumisse või mis kavatsetakse andmete kogumisse kanda. Käesoleva määruse kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole teatavate kriteeriumide kohaselt korrastatud, ega nende esilehed.

(9)

Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus ELi toimimise lepingu artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades. Seepärast tuleks käesoleva määruse eraldiseisvat peatükki, mis sisaldab üldreegleid, kohaldada kasutatavate isikuandmete töötlemise suhtes, näiteks isikuandmete suhtes, mida töötlevad kriminaaluurimise otstarbel liidu organid või asutused, kes tegutsevad kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.

(10)

Direktiivis (EL) 2016/680 on sätestatud ühtsed normid kuritegude tõkestamise, uurimise, avastamise või isikute nende eest vastutusele võtmise, kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil töödeldavate isikuandmete kaitse ja selliste andmete vaba liikumise kohta. Selleks et tagada kogu liidus ühesugune füüsiliste isikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et erinevused ei takistaks isikuandmete vahetamist ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse jäävaid tegevusi teostavate liidu organite ja asutuste ning pädevate asutuste vahel, peaksid selliste liidu organite ja asutuste töödeldud kasutatavate isikuandmete kaitset ja vaba liikumist käsitlevad õigusnormid olema kooskõlas direktiiviga (EL) 2016/680.

(11)

Kasutatavate isikuandmete töötlemist käsitleva käesoleva määruse peatüki) üldnorme tuleks kohaldada, ilma et see piiraks liidu organite ja asutuste poolse kasutatavate isikuandmete töötlemise suhtes kohaldatavaid erieeskirju, kui tegevus kuulub ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse. Selliseid erieeskirju tuleks käsitada kasutatavate isikuandmete töötlemist käsitleva käesoleva määruse peatüki sätete suhtes lex specialis’ena (lex specialis derogat legi generali). Õigusliku killustatuse vähendamiseks peaksid andmekaitse erieeskirjad, mida kohaldatakse isikuandmete töötlemise suhtes liidu organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse, olema kooskõlas kasutatavate isikuandmete töötlemist käsitleva käesoleva määruse peatükiga, samuti käesoleva määruse sätetega, mis on seotud sõltumatu järelevalve, õiguskaitsevahendite, vastutuse ja karistustega.

(12)

Kasutatavate isikuandmete töötlemist käsitlevat käesoleva määruse peatükki tuleks kohaldada liidu organite ja asutuste suhtes tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse, olenemata sellest, kas see tegevus on nende põhi- või lisaülesanne, et kuritegusid ennetada, avastada, uurida või nende eest vastutusele võtta. Seda ei tuleks aga kohaldada Europoli ega Euroopa Prokuratuuri suhtes, kuni neid õigusakte, millega luuakse Europol ja Euroopa Prokuratuur, on muudetud eesmärgiga muuta kasutatavate isikuandmete töötlemist käsitlev käesoleva määruse peatükk muudetud kujul kohaldatavaks ka nende suhtes.

(13)

Komisjon peaks läbi vaatama käesoleva määruse ning eelkõige kasutatavate isikuandmete töötlemist käsitleva käesoleva määruse peatüki. Komisjon peaks samuti vaatama läbi teised aluslepingute alusel vastu võetud õigusaktid, mis reguleerivad kasutatavate isikuandmete töötlemist liidu organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse. Selleks et tagada füüsiliste isikute ühetaoline ja järjepidev kaitse seoses isikuandmete töötlemisega, peaks komisjonil olema õigus esitada pärast nimetatud läbivaatamist asjakohaseid seadusandlikke ettepanekuid, sealhulgas ettepanekuid kasutatavate isikuandmete töötlemist käsitleva käesoleva määruse peatüki muutmiseks, et kohaldada seda Europoli ja Euroopa Prokuratuuri suhtes. Nimetatud muudatustes peaks muu hulgas võtma arvesse sätteid, mis on seotud sõltumatu järelevalve, õiguskaitsevahendite, vastutuse ja karistustega.

(14)

Käesolev määrus peaks hõlmama halduslikku laadi isikuandmete, näiteks personaliandmete töötlemist liidu organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse.

(15)

Käesolevat määrust tuleks kohaldada isikuandmete töötlemise suhtes liidu institutsioonide, organite ja asutuste poolt tegevustes, mis jäävad Euroopa Liidu lepingu (ELi leping) V jaotise 2. peatüki kohaldamisalasse. Käesolevat määrust ei tuleks kohaldada isikuandmete töötlemise suhtes ELi lepingu artikli 42 lõikes 1 ning artiklites 43 ja 44 osutatud missioonide poolt, kes rakendavad ühist julgeoleku- ja kaitsepoliitikat. Vajaduse korral tuleks esitada asjakohased ettepanekud, et reguleerida veelgi isikuandmete töötlemist ühise julgeoleku- ja kaitsepoliitika valdkonnas.

(16)

Andmekaitse põhimõtteid tuleks kohaldada igasuguse tuvastatud või tuvastatavat füüsilist isikut käsitleva teabe suhtes. Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogia arengut. Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, mis on teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

(17)

Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud välistama muid andmekaitsemeetmeid.

(18)

Füüsilisi isikuid võib seostada nende seadmete, rakenduste, tööriistade ja protokollide jagatavate võrguidentifikaatoritega, näiteks IP-aadresside või küpsistega, või muude identifikaatoritega, näiteks raadiosagedustuvastuse kiipidega. See võib jätta jälgi, mida võidakse kasutada füüsiliste isikute profileerimiseks ja nende tuvastamiseks, eelkõige juhul, kui neid kombineeritakse serveritesse saabuvate kordumatute identifikaatorite ja muu teabega.

(19)

Nõusolek tuleks anda selge kinnitusena, näiteks kirjaliku kinnituse vormis, sealhulgas elektroonilisel teel, või suulise avaldusena, millega andmesubjekt annab vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt nõusoleku teda puudutavate isikuandmete töötlemiseks. See võiks hõlmata vajaliku lahtri märgistamist veebisaidil, infoühiskonna teenuste tehniliste seadmete valimist või muud avaldust või käitumist, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek teda puudutavate isikuandmete kavandatavaks töötlemiseks. Vaikimist, eelnevalt märgistatud lahtreid või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel tehtavaid isikuandmete töötlemise toiminguid. Kui töötlemisel on mitu eesmärki, tuleks nõusolek anda kõigi nende kohta. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik ning mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse. Samas peaks andmesubjektil olema õigus nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Selle tagamiseks, et nõusolek on antud vabatahtlikult, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras ning seetõttu on ebatõenäoline, et nõusolek anti selle konkreetse olukorra kõigi asjaolude puhul vabatahtlikult. Sageli ei ole isikuandmete kogumise ajal võimalik täielikult kindlaks määrata teadusuuringute eesmärgil toimuva isikuandmete töötlemise eesmärki. Seetõttu peaks andmesubjektidel olema võimalik anda oma nõusolek teatavates teadusuuringuvaldkondades, kui järgitakse teadusuuringuvaldkonna tunnustatud eetikanorme. Andmesubjektidel peaks olema võimalus anda oma nõusolek üksnes teatavatele teadusuuringuvaldkondadele või teadusprojektide osadele kavandatud eesmärgiga lubatud ulatuses.

(20)

Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud. Kõnealune põhimõte puudutab eelkõige andmesubjektide teavitamist vastutava töötleja identiteedist ning töötlemise eesmärgist ja täiendavast teabest, et tagada asjaomaste füüsiliste isikute suhtes õiglane ja läbipaistev töötlemine ning nende õigus saada neid puudutavate isikuandmete töötlemise kohta kinnitust ja sõnumeid. Füüsilisi isikuid tuleks teavitada isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad sellise andmete töötlemisega seoses oma õigusi kasutada. Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal. Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik. See eeldab eelkõige, et tagatakse andmete säilitamise aja piirdumine rangelt minimaalsega. Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil. Selle tagamiseks, et isikuandmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks. Selle tagamiseks, et ebaõiged isikuandmed parandatakse või kustutatakse, tuleks võtta kõik mõistlikud meetmed. Isikuandmeid tuleks töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu ja nende loata kasutamise tõkestamise ning isikuandmete avalikustamise tõkestamise nende edastamise ajal.

(21)

Kui liidu institutsioonid ja asutused edastavad isikuandmeid kooskõlas vastutuse põhimõttega sama institutsiooni või asutuse siseselt kui vastuvõtja ei kuulu vastutava töötleja alluvusse või teistele liidu institutsioonidele või asutustele, peaksid nad kontrollima, kas isikuandmed on vajalikud vastuvõtja pädevusse kuuluvate ülesannete õiguspäraseks täitmiseks. Vastutav töötleja peaks pärast vastuvõtja taotlust isikuandmete edastamiseks kontrollima eelkõige seda, kas isikuandmete töötlemiseks on olemas õiguslik alus, ja vastuvõtja pädevust. Vastutav töötleja peaks andma andmete edastamise vajalikkusele esialgse hinnangu. Kui vajalikkuse osas tekib kahtlusi, peaks vastutav töötleja taotlema vastuvõtjalt täiendavat teavet. Vastuvõtja peaks tagama, et andmete edastamise vajalikkust on võimalik hiljem kontrollida.

(22)

Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda liidu institutsioonides ja organites üldistes huvides või avaliku võimu teostamisel täidetavate ülesannete vajalikkuse alusel, selliste õiguslikult siduvate kohustuste järgimise vajaduse alusel, mida vastutav töötleja peab täitma või käesoleva määruse kohasel muul õiguslikul alusel, sealhulgas asjaomase andmesubjekti nõusoleku alusel, kui tuleb täita lepingut, mille osaline andmesubjekt on, või selleks, et võtta andmesubjekti taotlusel enne lepingu sõlmimist meetmeid. Isikuandmete töötlemine liidu institutsioonides ja asutustes seoses üldistes huvides täidetavate ülesannetega hõlmab nende institutsioonide ja asutuste juhtimiseks ja toimimiseks vajalikku isikuandmete töötlemist. Isikuandmete töötlemist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks. Teise füüsilise isiku eluliste huvide alusel saaks isikuandmeid põhimõtteliselt töödelda üksnes siis, kui töötlemist ei saa ilmselgelt teostada muul õiguslikul alusel. Mõnda liiki isikuandmetöötlus võib teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.

(23)

Käesolevas määruses osutatud liidu õigus peaks olema selge ja täpne ning selle kohaldamine peaks olema eeldatav isikute jaoks, kelle suhtes seda kohaldatakse vastavalt hartas ning Euroopa inimõiguste ja põhivabaduste kaitse konventsioonis sätestatud nõuetele.

(24)

Käesolevas määruses osutatud sise-eeskirjad peaksid olema selged ja täpsed üldkohaldatavad õigusaktid, mille eesmärk on tekitada andmesubjektidele õiguslikke tagajärgi. Kõnealused sise-eeskirjad peaksid olema kehtestatud liidu institutsioonide ja organite kõrgeimal juhtimistasandil, nende pädevuse piires ja nende toimimist puudutavates küsimustes. Sise-eeskirjad tuleks avaldada Euroopa Liidu Teatajas. Kõnealuste eeskirjade kohaldamine peaks olema ettenähtav isikute jaoks, kelle suhtes neid kohaldatakse vastavalt hartas ning Euroopa inimõiguste ja põhivabaduste kaitse konventsioonis sätestatud nõuetele. Sise-eeskirjad võivad olla otsuste vormis, eelkõige juhul, kui need on kehtestanud liidu institutsioonid.

(25)

Isikuandmete töötlemine muul eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti. Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist. Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks. Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena. Liidu õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks. Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

(26)

Kui andmeid töödeldakse andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõendada, et andmesubjekt on andnud isikuandmete töötlemise toiminguks oma nõusoleku. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest. Kooskõlas nõukogu direktiiviga 93/13/EMÜ (6) peaks vastutava töötleja poolt ette valmistatud nõusolekuavaldus olema arusaadav ja lihtsasti kättesaadav, selles tuleks kasutada selget ja lihtsat keelt ning selles ei tohiks olla ebaõiglaseid tingimusi. Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda. Nõusolekut ei tohiks lugeda vabatahtlikult antuks, kui andmesubjektil pole tõelist või vaba valikuvõimalust või ta ei saa kahjulike tagajärgedeta nõusoleku andmisest keelduda või seda tagasi võtta.

(27)

Laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega. Eriline kaitse peaks eelkõige rakenduma isiku profiilide loomisel ja laste isikuandmete kogumisel liidu institutsioonide ja asutuste veebisaitidel otse lastele pakutavate teenuste kasutamise puhul, nagu näiteks isikutevahelise side teenused või piletite internetimüük, ning kui isikuandmete töötlemine toimub nõusoleku alusel.

(28)

Kui liidus asuvad vastuvõtjad, kes ei ole liidu institutsioonid või asutused, soovivad, et liidu institutsioonid või asutused edastaksid neile isikuandmeid, peaksid need vastuvõtjad tõendama, et andmete edastamine on vajalik nende avalikes huvides täidetava ülesande täitmiseks või avaliku võimu teostamiseks. Samuti peaksid need vastuvõtjad tõendama, et edastamine on vajalik konkreetsel avalikust huvist tuleneval eesmärgil ning vastutav töötleja peaks uurima, kas on põhjust arvata, et andmesubjekti õigustatud huvid võivad olla kahjustatud. Sellisel juhul peaks vastutav töötleja põhjalikult kaaluma erinevaid võistlevaid huvisid, et hinnata taotletud isikuandmete edastamise proportsionaalsust. Need konkreetsed avalikust huvist tulenevad eesmärgid võivad olla seotud liidu institutsioonide ja organite läbipaistvusega. Lisaks peaksid liidu institutsioonid ja asutused vastavalt läbipaistvuse ja hea halduse põhimõttele sellist vajadust tõendama juhul, kui nad andmete edastamist ise algatavad. Käesolevas määruses sätestatud nõudeid edastamise kohta liidus asuvatele vastuvõtjatele, kes ei ole liidu institutsioonid või asutused, tuleks tõlgendada seadusliku töötlemise tingimuste lisanõuetena.

(29)

Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. Selliseid isikuandmeid ei tohiks töödelda, välja arvatud juhul, kui käesolevas määruses sätestatud eritingimused on täidetud. Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu. Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud biomeetriliste andmete määratlusega üksnes siis, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida. Lisaks tundlike andmete töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid norme, eelkõige seoses seadusliku töötlemise tingimustega. Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas siis, kui andmesubjekt annab selleks oma sõnaselge nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

(30)

Tugevamat kaitset väärivate isikuandmete eriliike tuleks töödelda tervisega seotud eesmärkidel üksnes juhul, kui need eesmärgid on vaja saavutada füüsiliste isikute ja kogu ühiskonna hüvanguks, eelkõige tervishoiu- või sotsiaalhoolekandeteenuste ja -süsteemide juhtimise kontekstis. Seetõttu tuleks käesolevas määruses ette näha ühtsed tervisealaste isikuandmete eriliikide töötlemise tingimused konkreetsete vajaduste osas, eelkõige juhul, kui selliseid andmeid töötlevad teatavatel tervishoiuga seotud eesmärkidel isikud, kellel on õiguslikult siduv kohustus hoida ametisaladust. Liidu õiguses tuleks ette näha konkreetsed ja sobivad meetmed, et kaitsta füüsiliste isikute põhiõigusi ja isikuandmeid.

(31)

Isikuandmete eriliike võib olla vaja töödelda avalikes huvides rahvatervisega seotud valdkondades ilma andmesubjekti nõusolekuta. Sellisel töötlemisel tuleks kohaldada sobivaid ja konkreetseid meetmeid, et kaitsta füüsiliste isikute õigusi ja vabadusi. Selles kontekstis tuleks mõistet „rahvatervis“ tõlgendada vastavalt Euroopa Parlamendi ja nõukogu määrusele (EÜ) nr 1338/2008, (7) mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, nimelt tervislik seisund, sealhulgas haigestumus ja puuded, tervislikku seisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda.

(32)

Juhul kui vastutav töötleja töötleb selliseid isikuandmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima andmesubjekti tuvastamiseks täiendavat teavet ainult käesoleva määruse sätete järgimiseks. Vastutav töötleja ei tohiks aga keelduda sellise täiendava teabe vastuvõtmisest, mida andmesubjekt esitab oma õiguste kasutamise toetamiseks. Tuvastamine peaks hõlmama andmesubjekti digitaalset tuvastamist, näiteks sellise autentimise mehhanismi abil nagu samad volitused, mida andmesubjekt kasutab vastutava töötleja pakutavasse sidusteenusesse sisselogimiseks.

(33)

Avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes tuleks kohaldada kooskõlas käesoleva määrusega asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks. Nende kaitsemeetmetega tuleks tagada tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil peab toimuma siis, kui vastutav töötleja on hinnanud nende eesmärkide täitmise teostatavust, töödeldes isikuandmeid, mis ei võimalda või enam ei võimalda andmesubjekte tuvastada, tingimusel et olemas on asjakohased kaitsemeetmed (näiteks isikuandmete pseudonümiseerimine). Liidu institutsioonid ja asutused peaksid kehtestama liidu õiguses asjakohased kaitsemeetmed isikuandmete töötlemisele, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil, kusjuures liidu õigus võib hõlmata liidu institutsioonide ja organite poolt nende toimimist puudutavates küsimustes kehtestatud sise-eeskirju.

(34)

Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid. Vastutav töötleja peaks samuti kättesaadavaks tegema vahendid, millega taotluse saab esitada elektrooniliselt, eriti kui isikuandmeid töödeldakse elektrooniliste vahenditega. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul ning kui vastutav töötleja ei kavatse andmesubjekti taotlust rahuldada, siis seda põhjendama.

(35)

Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. Lisaks tuleks andmesubjekti teavitada profiilianalüüsi olemasolust ja sellise analüüsi tagajärgedest. Kui isikuandmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud isikuandmeid esitama, ja selliste andmete esitamata jätmise tagajärgedest. Sellise teabe võib esitada koos standardsete ikoonidega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, peaksid need olema masinloetavad.

(36)

Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle juhtumi asjaoludest olenevalt kas andmesubjektilt andmete kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid hangitakse muust allikast. Kui isikuandmeid võib õiguspäraselt avaldada muule vastuvõtjale, tuleks andmesubjekti sellest teavitada andmete esmakordsel avaldamisel. Kui vastutav töötleja kavatseb isikuandmeid töödelda muul eesmärgil kui see, milleks neid koguti, peaks vastutav töötleja esitama andmesubjektile enne andmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu vajaliku teabe. Kui andmesubjektile ei saa esitada isikuandmete päritolu, sest kasutatud on mitut allikat, tuleks esitada üldteave.

(37)

Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised. Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teavet. See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. Kui vastutav töötleja töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et andmesubjekt täpsustaks enne andmete esitamist, millise teabe või milliste isikuandmete töötlemise toimingutega taotlus seotud on.

(38)

Andmesubjektil peaks olema õigus nõuda teda käsitlevate isikuandmete parandamist ja „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu õigust. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele siis, kui isikuandmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on töötlemisele antud nõusoleku tagasi võtnud või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmesubjektil peaks olema võimalik seda õigust kasutada, vaatamata sellele, et ta ei ole enam laps. Isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks, õiguslikult siduva kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, rahvatervise valdkonna avalikes huvides, avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

(39)

Selleks et tugevdada võrgukeskkonnas õigust olla unustatud, tuleks laiendada õigust andmete kustutamisele, kohustades isikuandmed avaldanud vastutavat töötlejat teavitama selliseid isikuandmeid töötlevaid vastutavaid töötlejaid asjaolust, et kõnealustele isikuandmetele osutavad lingid või nende andmete koopiad või kordused tuleb kustutada. Seda tehes peaks vastutav töötleja võtma mõistlikke meetmeid, võttes arvesse vastutavale töötlejale kättesaadavat tehnoloogiat ja vahendeid, sealhulgas tehnilisi meetmeid, et teavitada isikuandmeid töötlevaid vastutavaid töötlejaid andmesubjekti taotlusest.

(40)

Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud isikuandmete ajutist ümberpaigutamist teise töötlemissüsteemi, valitud isikuandmete muutmist kasutajatele kättesaamatuks või avaldatud andmete ajutist kõrvaldamist veebisaidilt. Automaatsetes andmete kogumites tuleks isikuandmete töötlemise piiramine tagada üldjuhul tehniliste vahenditega selliselt, et isikuandmeid enam edasi ei töödelda ja neid ei saa enam muuta. Asjaolu, et isikuandmete töötlemine on piiratud, tuleks süsteemis selgelt määratleda.

(41)

Selleks et veelgi tugevdada kontrolli oma andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada neid teisele vastutavale töötlejale. Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. See õigus peaks olema kasutatav juhul, kui andmesubjekt esitas isikuandmed omaenda nõusoleku alusel või kui töötlemine on vajalik lepingu täitmiseks. Seda ei tuleks seega kohaldada eelkõige siis, kui isikuandmete töötlemine on vajalik vastutava töötleja õiguslikult siduva kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu kasutamiseks. Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme. Kui teatud isikuandmed puudutavad enam kui üht andmesubjekti, ei tohiks isikuandmete saamise õigus piirata teiste andmesubjektide käesoleva määruse kohaseid õigusi ja vabadusi. Lisaks ei tohiks see õigus piirata andmesubjekti käesoleva määruse kohast õigust nõuda oma isikuandmete kustutamist ja selle õiguse piiranguid ning ei tohiks eelkõige tähendada andmesubjekti poolt lepingu täitmiseks esitatud teda käsitlevate isikuandmete kustutamist sel määral ja nii kaua, kui isikuandmed on vajalikud selle lepingu täitmiseks. Kui see on tehniliselt teostatav, peaks andmesubjektil olema õigus sellele, et isikuandmed edastatakse otse ühelt vastutavalt töötlejalt teisele.

(42)

Kui isikuandmeid võidakse seaduslikult töödelda sellepärast, et töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, peaks andmesubjektil olema ikkagi õigus tema konkreetse olukorraga seotud isikuandmete töötlemine vaidlustada. Vastutav töötleja peaks tõendama, et tema mõjuvad õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

(43)

Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes andmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat ja meedet sisaldada võivat otsust, millel on teda puudutavad õiguslikud tagajärjed või mis avaldab talle samamoodi märkimisväärset mõju, nagu veebipõhine tööle värbamine ilma inimsekkumiseta. Selline töötlemine hõlmab igasuguses isikuandmete automatiseeritud töötlemises seisnevat profiilianalüüsi, mille käigus hinnatakse füüsilise isikuga seotud isiklikke aspekte, mille eesmärk on eelkõige selliste aspektide analüüsimine ja prognoosimine, mis on seotud töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega, kui see toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle samamoodi märkimisväärset mõju.

Sellisel töötlemisel, sealhulgas profiilianalüüsil põhinev otsuste tegemine peaks aga olema lubatud siis, kui see on sõnaselgelt lubatud vastutava töötleja suhtes kohaldatava liidu õigusega. Igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid, mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ning õigust seda otsust vaidlustada. Selline meede ei tohiks puudutada last. Selleks et tagada andmesubjekti suhtes õiglane ja läbipaistev töötlemine, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti, peaks vastutav töötleja kasutama profiilianalüüsiks asjakohaseid matemaatilisi või statistilisi menetlusi, rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada eelkõige ebaõigeid isikuandmeid põhjustavate tegurite korrigeerimine ja vigade tegemise ohu minimeerimine, ning tagama isikuandmete turvalisuse selliselt, et võetakse arvesse potentsiaalset ohtu andmesubjekti huvidele ja õigustele ning ennetama muu hulgas diskrimineerivat mõju füüsilistele isikutele rassi või etnilise päritolu, poliitiliste vaadete, usutunnistuse või veendumuste, ametiühingusse kuulumise, geneetilise või tervisliku seisundi või seksuaalse sättumuse alusel või andmete töötlemist, mille tulemuseks on sellise mõjuga meetmed. Automatiseeritud otsuste tegemine ja profiilianalüüs konkreetsete isikuandmete liikide põhjal peaks olema lubatud ainult eritingimustel.

(44)

Aluslepingute alusel vastu võetud õigusaktidega ja liidu institutsioonide ja asutuste poolt nende toimimist puudutavates küsimustes vastu võetud sise-eeskirjadega võidakse kehtestada piirangud, mis puudutavad konkreetseid põhimõtteid ja õigust saada teavet, andmetega tutvuda, nõuda nende parandamist ja kustutamist või õigust andmeid ühest süsteemist teise üle kanda, elektroonilise side andmete konfidentsiaalsust, samuti andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning vastutavate töötlejate teatavaid seonduvaid kohustusi, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne selleks, et tagada avalik julgeolek, süütegude tõkestamine, uurimine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine. See hõlmab avalikku julgeolekut ähvardavate ohtude eest kaitsmist või nende ennetamist, inimelude kaitsmist eelkõige loodus- ja inimtegevusest tingitud õnnetustele reageerimisel, liidu institutsioonide ja asutuste sisejulgeolekut, liidu või liikmesriigi muud üldist avalikku huvi, eelkõige liidu ühise välis- ja julgeolekupoliitika eesmärke või liidu või liikmesriigi olulist majandus- või finantshuvi eesmärki ning üldisest avalikust huvist lähtuvate avalike registrite pidamist või andmesubjekti kaitset või teiste isikute õiguste ja vabaduste kaitset, sealhulgas sotsiaalkaitset, rahvatervist ja humanitaareesmärke.

(45)

Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust. Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

(46)

Erineva tõenäosuse ja tõsidusega ohud füüsiliste isikute õigustele ja vabadustele võivad tuleneda isikuandmete töötlemisest, mille tagajärjel võib tekkida füüsiline, materiaalne või mittemateriaalne kahju, eelkõige juhtudel, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või -pettust, rahalist kahju, maine kahjustamist, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu, pseudonümiseerimise loata tühistamist või mõnda muud tõsist majanduslikku või sotsiaalset kahju; kui andmesubjektid võivad jääda ilma oma õigustest ja vabadustest või kontrollist oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi veendumusi ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüteoasjades süüdimõistvate kohtuotsuste ja süütegude ning nendega seotud turvameetmete kohta; kui hinnatakse isiklikke aspekte, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud aspektide analüüsimisel või prognoosimisel, et luua või kasutada isiklikke profiile; kui töödeldakse kaitsetute füüsiliste isikute, eriti laste isikuandmeid; kui töötlemine hõlmab suurt hulka isikuandmeid ning mõjutab paljusid andmesubjekte.

(47)

Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest. Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks, kas andmetöötlustoimingutega kaasneb oht või suur oht.

(48)

Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete täitmine. Selleks et olla võimeline tõendama käesoleva määruse täitmist, peaks vastutav töötleja kehtestama sise-eeskirjad ja rakendama meetmeid, mis vastavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest, isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest, vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid. Riigihangete kontekstis tuleks samuti võtta arvesse lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid.

(49)

Määruses (EL) 2016/679 nähakse ette, et vastutavad töötlejad tõendavad käesoleva määruse täitmist heakskiidetud sertifitseerimismehhanismi järgimisega. Samamoodi peaksid liidu institutsioonid ja asutused tõendama käesoleva määruse täitmist määruse (EL) 2016/679 artikli 42 kohase sertifitseerimise saamisega.

(50)

Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutuse tagamiseks tuleb käesoleva määrusega selgelt kindlaks määrata vastutuse jaotus, sealhulgas juhtudel, kui isikuandmete töötlemise eesmärgid ja vahendid määrab kindlaks vastutav töötleja koos teiste vastutavate töötlejatega ning kui töötlemistoimingut teostatakse vastutava töötleja nimel.

(51)

Kui vastutava töötleja nimel töötleb andmeid volitatud töötleja, peaks vastutav töötleja kasutama käesoleva määruse nõuete täitmise tagamiseks isikuandmete töötlemise toimingute usaldamisel volitatud töötlejale ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele. Seda, et volitatud töötleja, kes ei ole liidu institutsioon või asutus, järgib heakskiidetud toimimisjuhendit või heakskiidetud sertifitseerimismehhanismi, võib kasutada elemendina, mis tõendab vastutava töötleja kohustuste täitmist. Volitatud töötleja, kes ei ole liidu institutsioon või asutus, peaks andmeid töötlema lepingu kohaselt või, kui liidu institutsioon või asutus tegutseb volitatud töötlejana, siis vastutavat ja volitatud töötlejat omavahel siduva lepingu või muu liidu õiguse kohase õigusakti alusel, milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärgid, isikuandmete liik ja andmesubjektide kategooriad ning peaks arvesse võtma volitatud töötleja konkreetseid ülesandeid ja kohustusi seoses teostatava töötlemisega ning ohtu andmesubjekti õigustele ja vabadustele. Vastutaval töötlejal ja volitatud töötlejal peaks olema võimalus valida, kas kasutada individuaalset lepingut või lepingu tüüptingimusi, mille on kehtestanud kas otseselt komisjon või Euroopa Andmekaitseinspektor ja seejärel komisjon. Pärast vastutava töötleja nimel töötlemise lõpetamist peaks volitatud töötleja isikuandmed vastutava töötleja valikul kas tagastama või kustutama, välja arvatud juhul, kui volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õiguse kohaselt tuleb isikuandmeid säilitada.

(52)

Käesoleva määruse täitmise tõendamiseks peaksid vastutavad töötlejad säilitama andmeid nende vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta ning volitatud töötlejad peaksid säilitama andmeid nende vastutusalasse kuuluvate töötlemise toimingute kategooriate kohta. Liidu institutsioonid ja asutused peaksid olema kohustatud tegema Euroopa Andmekaitseinspektoriga koostööd ja tegema nende kasutuses olevad salvestatud andmed taotluse korral Euroopa Andmekaitseinspektorile kättesaadavaks, et neid saaks kasutada nimetatud isikuandmete töötlemise toimingute kontrollimiseks. Liidu institutsioonidel ja asutustel peaks olema võimalus luua oma töötlemistoimingute andmete keskregister, välja arvatud juhul, kui see ei ole asjakohane, võttes arvesse liidu institutsiooni või organi suurust. Läbipaistvuse huvides peaks kõnealune register olema üldsusele kättesaadav.

(53)

Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

(54)

Liidu institutsioonid ja asutused peaksid vastavalt harta artiklis 7 sätestatule tagama elektroonilise side konfidentsiaalsuse. Liidu institutsioonid ja asutused peaksid eelkõige tagama oma elektroonilise side võrgustike turvalisuse. Nad peaksid kaitsma teavet, mis on seotud selliste kasutajate lõppseadmetega, kes kasutavad avalikult kättesaadavaid veebisaite ning liidu institutsioonide ja asutuste pakutavaid mobiilseid rakendusi kooskõlas Euroopa Parlamendi ja nõukogu direktiiviga 2002/58/EÜ (8). Nad peaksid ühtlasi kaitsma kasutajakataloogides olevaid isikuandmeid.

(55)

Isikuandmetega seotud rikkumine, kui seda asjakohaselt ja õigeaegselt ei käsitleta, võib põhjustada füüsilistele isikutele füüsilist, materiaalset või mittemateriaalset kahju. Seetõttu, niipea kui vastutav töötleja saab teada, et on toimunud isikuandmetega seotud rikkumine, peaks vastutav töötleja teatama sellest isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorit põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui vastutav töötleja suudab kooskõlas vastutuse põhimõttega tõendada, et selle rikkumise tulemusena ei teki tõenäoliselt ohtu füüsilise isiku õigustele ja vabadustele. Kui 72 tunni jooksul teatamine ei ole võimalik, tuleks teatele lisada hilinemise põhjused ja teavet võib esitada järk-järgult ilma täiendava põhjendamatu viivituseta. Kui hilinemine on põhjendatud, tuleks rikkumist käsitlev vähem tundlik või vähem detailsem teave avalikustada võimalikult kiiresti, mitte oodata teavitamisega kuni intsidendi põhjuse tuvastamiseni.

(56)

Vastutav töötleja peaks ilma põhjendamatu viivituseta teavitama andmesubjekti isikuandmetega seotud rikkumisest, kui rikkumise tulemusena tekib tõenäoliselt suur oht füüsilise isiku õigustele ja vabadustele, et võimaldada andmesubjektil võtta vajalikke ettevaatusabinõusid. Teates tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele füüsilisele isikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teade tuleks saata andmesubjektile nii kiiresti kui mõistlikkuse piires võimalik ning tihedas koostöös Euroopa Andmekaitseinspektoriga, pidades kinni tema või muude asjakohaste asutuste nagu näiteks õiguskaitseasutuste suunistest.

(57)

Määruses (EÜ) nr 45/2001 on sätestatud vastutava töötleja üldine kohustus teavitada isikuandmete töötlemisest andmekaitseametnikku. Andmekaitseametnik on kohustatud pidama teatatud töötlemistoimingute kohta registrit, välja arvatud juhul, kui see ei ole asjakohane, võttes arvesse liidu institutsiooni või organi suurust. Lisaks sellele üldisele kohustusele tuleks kehtestada tõhusad menetlused ja mehhanismid, et jälgida neid isikuandmete töötlemise toimingute liike, mis kujutavad oma laadi, ulatuse, konteksti ja eesmärkide poolest tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele. Sellised menetlused peaksid eelkõige olema kehtestatud siis, kui isikuandmete töötlemise toimingute liigid hõlmavad uue tehnoloogia kasutamist või on uut tüüpi, mille puhul vastutav töötleja ei ole varem andmekaitsealast mõjuhinnangut teostanud, või kui toimingud muutuvad vajalikuks seoses esmasest töötlemisest möödunud ajaga. Sellistel juhtudel peaks vastutav töötleja suure ohu konkreetse tõenäosuse ja tõsiduse hindamiseks, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke ning ohu allikaid, koostama enne töötlemist andmekaitsealase mõjuhinnangu. Nimetatud mõjuhinnang peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme selle ohu leevendamiseks ja isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

(58)

Kui andmekaitsealane mõjuhinnang näitab, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole võimalik kättesaadava tehnoloogia ja rakendamiskulude seisukohast mõistlike meetmetega leevendada, tuleks enne isikuandmete töötlemise toimingute alustamist konsulteerida Euroopa Andmekaitseinspektoriga. Selline suur oht tekib tõenäoliselt isikuandmete teatud liiki töötluse ning töötlemisulatuse ja -sageduse tulemusena, mille tagajärjel võib tekkida ka kahju füüsilise isiku õigustele ja vabadustele või sekkumine nendesse. Euroopa Andmekaitseinspektor peaks vastama konsulteerimistaotlusele konkreetse ajavahemiku jooksul. Euroopa Andmekaitseinspektori reaktsiooni puudumine selle ajavahemiku jooksul ei tohiks aga mõjutada Euroopa Andmekaitseinspektori sekkumist kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega, sealhulgas õigust keelata isikuandmete töötlemise toiminguid. Kõnealuse konsulteerimisprotsessi osana peaks olema võimalik esitada asjaomase töötlemise suhtes tehtud andmekaitsealase mõjuhinnangu tulemused Euroopa Andmekaitseinspektorile, eelkõige seoses meetmetega, mis on ette nähtud füüsiliste isikute õigusi ja vabadusi ähvardavate ohtude leevendamiseks.

(59)

Euroopa Andmekaitseinspektorit tuleks teavitada liidu institutsioonide ja asutuste haldusmeetmetest ja temaga tuleks konsulteerida liidu institutsioonide ja asutuste poolt nende toimimist puudutavates küsimustes kehtestatud sise-eeskirjade osas, kui neis sätestatakse isikuandmete töötlemine, kehtestatakse andmesubjektide õigusi piiravaid tingimusi või kehtestatakse andmesubjektide õigusi käsitlevad asjakohased kaitsemeetmed, et kavandatud töötlemine vastaks käesoleva määruse nõuetele, eelkõige vähendaks andmesubjekti jaoks ohtusid.

(60)

Määrusega (EL) 2016/679 loodi Euroopa Andmekaitsenõukogu juriidilisest isikust sõltumatu liidu asutusena. Andmekaitsenõukogu peaks kaasa aitama määruse (EL) 2016/679 ja direktiivi (EL) 2016/680 järjepidevale kohaldamisele kogu liidus, nõustades seejuures komisjoni. Samal ajal peaks Euroopa Andmekaitseinspektor jätkama oma järelevalve- ja nõustamisülesannete täitmist kõigi liidu institutsioonide ja asutuste suhtes omal algatusel või taotluse alusel. Kogu liidus andmekaitsenormide järjepidevuse tagamiseks peaks komisjon konsulteerima Euroopa Andmekaitseinspektoriga. Komisjoniga konsulteerimine peaks olema kohustuslik pärast seadusandlike aktide vastuvõtmist või delegeeritud õigusaktide ja rakendusaktide koostamise ajal vastavalt ELi toimimise lepingu artiklites 289, 290 ja 291 sätestatule ning pärast selliste soovituste ja ettepanekute vastuvõtmist, mis on seotud kolmandate riikide ja rahvusvaheliste organisatsioonidega sõlmitavate lepingutega vastavalt ELi toimimise lepingu artiklis 218 sätestatule, kui need mõjutavad õigust isikuandmete kaitsele. Sellistel juhtudel peaks komisjon olema kohustatud konsulteerima Euroopa Andmekaitseinspektoriga, välja arvatud juhul, kui määrusega (EL) 2016/679 on ette nähtud kohustuslik Euroopa Andmekaitseinspektoriga konsulteerimine näiteks kaitse piisavuse otsuste või standardseid ikoone ja sertifitseerimismehhanismide kriteeriume käsitlevate delegeeritud õigusaktide puhul. Kui kõnealune õigusakt on seoses isikuandmete töötlemisega füüsiliste isikute õiguste ja vabaduste kaitse seisukohast eriti oluline, peaks komisjonil olema võimalus konsulteerida lisaks ka Euroopa Andmekaitsenõukoguga. Sellistel juhtudel peaks Euroopa Andmekaitseinspektor Euroopa Andmekaitsenõukogu liikmena oma tegevust ühisarvamuse koostamisel andmekaitsenõukoguga koordineerima. Euroopa Andmekaitseinspektor ja vajaduse korral ka Euroopa Andmekaitsenõukogu peaksid esitama oma kirjaliku nõuande kaheksa nädal jooksul. Kõnealune tähtaeg peaks kiireloomuliste juhtumite korral või muul asjakohasel juhul olema lühem, näiteks kui komisjon koostab delegeeritud õigusakte ja rakendusakte.

(61)

Määruse (EL) 2016/679 artikli 75 kohaselt tagab andmekaitsenõukogu sekretariaadi töö Euroopa Andmekaitseinspektor.

(62)

Andmekaitseametnik peaks kõigis liidu institutsioonis ja organites tagama, et käesoleva määruse sätteid kohaldatakse, ning nõustama vastutavaid töötlejaid ja volitatud töötlejaid nende kohustuste täitmisel. Andmekaitseametnik peaks olema isik, kellel on andmekaitsealaseid õigusakte ja tavasid hõlmavad erialased teadmised, mille tase tuleks määrata kindlaks eelkõige vastavalt vastutava töötleja või volitatud töötleja teostatavatele andmetöötlustoimingutele ning töödeldavate isikuandmete kaitsmise nõuetele. Andmekaitseametnikel peaks olema võimalik täita oma ülesandeid sõltumatult.

(63)

Isikuandmete edastamisel liidu institutsioonidelt ja asutustelt vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele tuleks tagada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse tase. Samu tagatisi tuleks kohaldada juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis. Igal juhul tohib andmeid kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastada ainult käesolevat määrust ning hartas sätestatud põhiõigusi ja -vabadusi täielikult järgides. Andmeid tohiks edastada ainult siis, kui vastutav töötleja ja volitatud töötleja täidavad käesolevas määruses sätestatud tingimusi isikuandmete edastamise kohta, arvestades muid käesoleva määruse sätteid.

(64)

Komisjon võib määruse (EL) 2016/679 artikli 45 või direktiivi (EL) 2016/680 artikli 36 alusel otsustada, et kolmandas riigis, kolmanda riigi territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis pakutakse piisaval tasemel andmekaitset. Sellisel juhul võib isikuandmete edastamine liidu institutsiooni või asutuse poolt kõnealusesse riiki või kõnealusele rahvusvahelisele organisatsioonile toimuda ilma, et oleks vaja saada täiendav luba.

(65)

Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: komisjoni kehtestatud standardsed andmekaitseklauslid, Euroopa Andmekaitseinspektori kehtestatud standardsed andmekaitseklauslid või Euroopa Andmekaitseinspektori heaks kiidetud lepingu tüüptingimused. Juhul kui volitatud töötleja ei ole liidu institutsioon või asutus, võivad kõnealused asjakohased kaitsemeetmed sisaldada ka määruse (EL) 2016/679 raames andmete rahvusvahelise edastamise jaoks kasutatavaid siduvaid kontsernisiseseid eeskirju, toimimisjuhendeid või sertifitseerimismehhanisme. Need kaitsemeetmed peaksid tagama liidusiseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis. Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Andmeid võivad edastada ka liidu institutsioonid ja asutused kolmandate riikide avaliku sektori asutustele või organitele või rahvusvahelistele organisatsioonidele, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, millega nähakse ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele. Euroopa Andmekaitseinspektori luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

(66)

Vastutavale töötlejale või volitatud töötlejale antud võimalus kasutada komisjoni või Euroopa Andmekaitseinspektori kehtestatud standardseid andmekaitseklausleid ei tohiks takistada vastutavat töötlejat või volitatud töötlejat lisamast standardsed andmekaitseklauslid laiemasse lepingusse, nagu näiteks kahe volitatud töötleja vahelisse lepingusse, ega lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu komisjoni või Euroopa Andmekaitseinspektori kehtestatud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ja -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad standardseid andmekaitseklausleid.

(67)

Mõned kolmandad riigid võtavad vastu seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liidu institutsioonide ja asutuste töötlustoiminguid. Need võivad hõlmata kolmanda riigi kohtu või haldusasutuse otsuseid, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist ning mis ei põhine kolmanda riigi ja liidu vahel kehtival rahvusvahelisel lepingul. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taseme saavutamist. Edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud liidu õiguses.

(68)

Andmete edastamine peaks konkreetsetes olukordades olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma selgesõnalise nõusoleku, kui edastamine on juhtumipõhine ja vajalik seoses lepingu või õigusliku nõudega, sõltumata sellest, kas tegemist on kohtumenetluse, haldusmenetluse või mõne kohtuvälise menetluse, sealhulgas reguleerivate asutuste vahelise menetlusega. Andmete edastamine peaks olema võimalik ka juhul, kui see on vajalik seoses liidu õiguses sätestatud kaaluka avaliku huviga või kui edastatakse andmeid, mis pärinevaid seadusega loodud registrist, mis on mõeldud kasutamiseks avalikkusele või kõigile õigustatud huviga isikutele. Viimati nimetatud juhul ei tohiks edastada kõiki isikuandmeid ega registris sisalduvate andmete kõiki liike, kui see ei ole liidu õigusega lubatud, ja juhul, kui register on mõeldud kasutamiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad, võttes täielikult arvesse andmesubjekti huve ja põhiõigusi.

(69)

Nimetatud erandeid tuleks kohaldada eelkõige sellise andmeedastuse puhul, mis on nõutav ja vajalik avalikust huvist tulenevatel kaalukatel põhjustel, näiteks andmete rahvusvahelisel vahetamisel liidu institutsioonide ja asutuste ning konkurentsiasutuste, maksu- ja tolliasutuste, finantsjärelevalveasutuste ja sotsiaalkindlustuse või rahvatervise eest vastutavate asutuste vahel, näiteks nakkushaiguste suhtes kontaktsete isikute väljaselgitamisel või spordis dopingu kasutamise vähendamiseks ja/või kaotamiseks. Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik selliste huvide kaitsmiseks, mis on olulised andmesubjekti või muu isiku eluliste huvide, sealhulgas füüsilise puutumatuse või elu kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma. Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu õigusega selgesõnaliselt seada piiranguid konkreetset liiki isikuandmete edastamisele kolmandasse riiki või rahvusvahelisele organisatsioonile. Nõusoleku andmiseks füüsiliselt või õiguslikult võimetu andmesubjekti isikuandmete mis tahes edastamiseks rahvusvahelisele humanitaarorganisatsioonile, eesmärgiga täita Genfi konventsioonide kohast ülesannet või austada relvastatud konfliktides kohaldatavat rahvusvahelist humanitaarõigust võiks lugeda vajalikuks avalikust huvist tuleneval kaalukal põhjusel või põhjusel, et see on andmesubjekti jaoks eluliselt tähtis.

(70)

Igal juhul, kui komisjon ei ole teinud otsust kolmanda riigi andmekaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, millega antakse andmesubjektidele neid puudutava töötlemise korral liidus kohtulikult kaitstavad ja tõhusad õigused pärast selliste andmete edastamist, nii et neil on jätkuvalt samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid.

(71)

Isikuandmete liikumine üle piiride liidust välja võib raskendada füüsiliste isikute võimalusi kasutada õigust andmete kaitsele, eelkõige kaitsta end sellise teabe ebaseadusliku kasutamise ja avaldamise eest. Samal ajal võivad riiklikud järelevalveasutused ja Euroopa Andmekaitseinspektor mitte suuta käsitleda kaebusi ega teostada uurimist väljapoole nende pädevuse piire jäävates küsimustes. Nende piiriülese koostöö püüdlusi võivad takistada ka tõkestamiseks ja kaitsemeetmete kehtestamiseks ebapiisavad volitused, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid. Seepärast tuleks tihendada Euroopa Andmekaitseinspektori riiklike järelevalveasutuste koostööd, et aidata neil teiste riikide järelevalveasutustega teavet vahetada.

(72)

Määruse (EÜ) nr 45/2001 alusel Euroopa Andmekaitseinspektori ametikoha loomine, kes on volitatud täiesti sõltumatult oma ülesandeid täitma ja volitusi kasutama, on oluline tegur füüsiliste isikute kaitsmisel seoses nende isikuandmete töötlemisega. Käesoleva määruse eesmärk peaks olema Euroopa Andmekaitseinspektori tegevuse tõhustamine ning selle rolli ja sõltumatuse selgitamine. Euroopa Andmekaitseinspektor peaks olema isik, kelle sõltumatus on väljaspool kahtlust ning kelle puhul tunnistatakse Euroopa Andmekaitseinspektori ülesannete täitmiseks vajalike kogemuste ja oskuste olemasolu, näiteks seetõttu, et ta on kuulunud määruse (EL) 2016/679 artikli 51 alusel asutatud järelevalveasutusse.

(73)

Selleks et tagada kogu liidus andmekaitsenormide ühtlane järelevalve ja täitmine, peaks Euroopa Andmekaitseinspektoril olema samad ülesanded ja kehtivad volitused kui riiklikel järelevalveasutustel, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning õigus juhtida Euroopa Liidu Kohtu tähelepanu käesoleva määruse rikkumistele ning volitused osaleda kohtumenetlustes kooskõlas esmase õiguse sätetega. Need volitused peaksid hõlmama ka õigust kehtestada ajutine või alaline töötlemispiirang, sealhulgas töötlemiskeeld. Vältimaks liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele, keda meetmed kahjustada võivad, peaks iga Euroopa Andmekaitseinspektori meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid ning austama isiku õigust ärakuulamisele, enne kui meede võetakse. Euroopa Andmekaitseinspektori õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitamise kuupäev ning Euroopa Andmekaitseinspektori allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile.

(74)

Euroopa Andmekaitseinspektori järelevalvepädevus ei peaks hõlmama isikuandmete töötlemist Euroopa Kohtu poolt, kui see tegutseb õigusemõistjana, et kaitsta kohtu sõltumatust kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsusetegemisel. Selliste töötlemistoimingute jaoks peaks kohus kehtestama sõltumatu järelevalve kooskõlas harta artikli 8 lõikega 3, näiteks sisemehhanismi kaudu.

(75)

Euroopa Andmekaitseinspektori otsused andmetöötlustoimingutega seotud erandite, tagatiste, lubade ning tingimuste kohta, nagu need on määratletud käesolevas määruses, tuleks avaldada tegevusaruandes. Iga-aastasest tegevusaruandest eraldi võib Euroopa Andmekaitseinspektor avaldada aruandeid konkreetsete küsimuste kohta.

(76)

Euroopa Andmekaitseinspektor peaks järgima Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 1049/2001 (9).

(77)

Riiklikud järelevalveasutused jälgivad määruse (EL) 2016/679 kohaldamist ja aitavad kaasa selle ühtsele kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks, et tõhustada liikmesriikides kohaldatavate andmekaitsenormide ning liidu institutsioonide ja asutuste suhtes kohaldatavate andmekaitsenormide kohaldamise järjepidevust, peaks Euroopa Andmekaitseinspektor tegema riiklike järelevalveasutustega tõhusat koostööd.

(78)

Teatavatel juhtudel nähakse liidu õiguses ette koordineeritud järelevalve mudel, mida teostavad Euroopa Andmekaitseinspektor ja riiklikud järelevalveasutused üheskoos. Lisaks sellele on Euroopa Andmekaitseinspektor Europoli järelevalveasutuseks ja riiklike järelevalveasutustega on nõuandva funktsiooniga koostöönõukogu kaudu loodud spetsiifiline koostöömudel. Selleks, et parandada oluliste andmekaitsenormide tõhusat järelevalvet ja täitmist, tuleks liidus kasutusele võtta koordineeritud järelevalve ühtne ja sidus mudel. Seepärast peaks komisjon, kui see on asjakohane, esitama seadusandlikud ettepanekud, millega muuta koordineeritud järelevalvet käsitlevaid liidu õigusakte, et need käesolevas määruses sätestatud koordineeritud järelevalve mudeliga kooskõlla viia. Euroopa Andmekaitsenõukogu peaks olema ainsaks platvormiks, millega tagatakse tõhus koordineeritud järelevalve kõigis valdkondades.

(79)

Igal andmesubjektil peaks olema õigus esitada kaebus Euroopa Andmekaitseinspektorile ja õigus tõhusale õiguskaitsevahendile Euroopa Liidu Kohtus kooskõlas aluslepingutega, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui Euroopa Andmekaitseinspektor ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on andmesubjekti õiguste kaitsmiseks vajalikud. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ja selle tulemust peaks olema võimalik kohtulikult kontrollida. Euroopa Andmekaitseinspektor peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat kooskõlastamist riikliku järelevalveasutusega, tuleks sellest teatada andmesubjektile. Euroopa Andmekaitseinspektor peaks võtma meetmed kaebuste esitamise lihtsustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, ilma muude sidevahendite kasutamist välistamata.

(80)

Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, peaks aluslepingutes sätestatud tingimuste alusel olema õigus saada vastutavalt töötlejalt või volitatud töötlejalt tekitatud kahju eest hüvitist.

(81)

Euroopa Andmekaitseinspektori rolli tugevdamiseks ja käesoleva määruse täitmise tõhusaks tagamiseks peaks Euroopa Andmekaitseinspektor omama viimase abinõuna volitusi määrata trahve. Trahvid peaksid olema suunatud üksikisikute asemel liidu institutsioonide või organite karistamisele käesoleva määruse sätete täitmata jätmise eest, et ära hoida käesoleva määruse edasisi rikkumisi ning edendada liidu institutsioonides ja asutustes isikuandmete kaitsmise tava. Käesolevas määruses tuleks loetleda rikkumised, mille korral kohaldatakse haldustrahve ja sätestada trahvide ülemmäär ja nende määramise kriteeriumid. Euroopa Andmekaitseinspektor peaks iga juhtumi puhul eraldi kindlaks määrama trahvisumma, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades silmas rikkumise laadi, raskusastet, ajalist kestvust, tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. Liidu institutsioonile või organile trahvi määrates peaks Euroopa Andmekaitseinspektor arvestama trahvisumma proportsionaalsust. Liidu institutsioonidele ja asutustele trahvide määramise menetlus peaks järgima liidu õiguse üldpõhimõtteid, nagu neid on tõlgendanud Euroopa Kohus.

(82)

Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liidu või liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ja mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel Euroopa Andmekaitseinspektorile kaebust. Sellisel asutusel, organisatsioonil või ühingul peaks olema võimalus kasutada andmesubjektide nimel õigust õiguskaitsevahendile või kasutada andmesubjektide nimel õigust saada hüvitist.

(83)

Liidu ametniku ja teenistuja suhtes, kes ei täida käesolevast määrusest tulenevaid kohustusi, tuleks kohaldada distsiplinaarmenetlust või muid meetmeid nõukogu määrusega (EMÜ, Euratom, ESTÜ) nr 259/68 (10) kehtestatud Euroopa Liidu ametnike personalieeskirjades ja liidu muude teenistujate teenistustingimustes („personalieeskirjad“) ette nähtud korras.

(84)

Selleks et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendusvolitused. Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (11). Kontrollmenetlust tuleks kasutada vastutavate töötlejate ja volitatud töötlejate vaheliste ning volitatud töötlejate omavaheliste lepingute tüüptingimuste kehtestamiseks, selliste töötlemistoimingute loetelu kehtestamiseks, mille puhul peavad avalikes huvides oleva ülesande täitmiseks vajalikke isikuandmeid töötlevad vastutavad töötlejad eelnevalt konsulteerima Euroopa Andmekaitseinspektoriga, ning selliste lepingu tüüptingimuste kehtestamiseks, milles sätestatakse rahvusvaheliste edastamiste piisavad kaitsemeetmed.

(85)

Konfidentsiaalne teave, mida liidu ja riiklikud statistikaasutused koguvad Euroopa ja riikliku ametliku statistika koostamiseks, peaks olema kaitstud. Euroopa statistikat tuleks arendada, koostada ja levitada kooskõlas statistikaalaste põhimõtetega, mis on sätestatud ELi toimimise lepingu artikli 338 lõikes 2. Euroopa statistika statistiliste andmete konfidentsiaalsust on täiendavalt täpsustatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 223/2009 (12).

(86)

Määrus (EÜ) nr 45/2001 ning Euroopa Parlamendi, nõukogu ja komisjoni otsus nr 1247/2002/EÜ (13) tuleks kehtetuks tunnistada. Viiteid kehtetuks tunnistatud määrusele ja otsusele tuleks käsitada viidetena käesolevale määrusele.

(87)

Sõltumatu järelevalveasutuse liikmete täieliku sõltumatuse tagamiseks ei tohiks käesolev määrus Euroopa Andmekaitseinspektori ja inspektori asetäitja praegust ametiaega mõjutada. Praegune inspektori asetäitja peaks jääma ametisse ametiaja lõpuni, välja arvatud juhul, kui on täidetud käesolevas määruses sätestatud Euroopa Andmekaitseinspektori ametiaja enneaegse lõpetamise tingimused. Käesoleva määruse asjaomaseid sätteid tuleks tema ametiaja lõpuni kohaldada ka inspektori asetäitja suhtes.

(88)

Vastavalt proportsionaalsuse põhimõttele on vajalik ja asjakohane põhieesmärgi – kogu liidus füüsiliste isikute kaitse võrdväärse taseme ja isikuandmete vaba liikumise tagamineseoses isikuandmete töötlemisega – saavutamiseks kehtestada õigusnormid, mis käsitlevad isikuandmete töötlemist liidu institutsioonides ja organites. ELi lepingu artikli 5 lõike 4 kohaselt ei lähe käesolev määrus seatud eesmärkide saavutamiseks vajalikust kaugemale.

(89)

Vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2 on konsulteeritud Euroopa Andmekaitseinspektoriga, kes esitas oma arvamuse 15. märtsil 2017. aastal (14),

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

ÜLDSÄTTED

Artikkel 1

Reguleerimisese ja eesmärgid

1.   Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides ja organites ning õigusnormid, mis käsitlevad isikuandmete vaba liikumist nende vahel või edastamist teistele liidus asuvatele vastuvõtjatele.

2.   Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

3.   Euroopa Andmekaitseinspektor jälgib käesoleva määruse sätete kohaldamist kõigi liidu institutsioonides ja organites teostatavate töötlustoimingute suhtes.

Artikkel 2

Kohaldamisala

1.   Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes kõikides liidu institutsioonides ja organites.

2.   Kasutatavate isikuandmete töötlemisel liidu organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse, kohaldatakse üksnes käesoleva määruse artiklit 3 ja IX peatükki.

3.   Kuni Euroopa Parlamendi ja nõukogu määruse (EL) 2016/794 (15) ning nõukogu määruse (EL) 2017/1939 (16) kohandamiseni vastavalt käesoleva määruse artiklile 98 ei kohaldata käesolevat määrust Europoli ning Euroopa prokuratuuri poolt kasutatavate isikuandmete töötlemise suhtes.

4.   Käesolevat määrust ei kohaldata isikuandmete töötlemisel ELi lepingu artikli 42 lõikes 1 ning artiklites 43 ja 44 osutatud missioonide poolt.

5.   Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

Artikkel 3

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekt“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)

„kasutatavad isikuandmed“ – kõik isikuandmed, mida ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse jäävaid tegevusi teostavad liidu organid ja asutused töötlevad nende organite ja asutuste asutamist käsitlevates õigusaktides ette nähtud eesmärkide saavutamiseks;

3)

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, näiteks kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

4)

„isikuandmete töötlemise piiramine“ – säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

5)

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

6)

„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

7)

„andmete kogum“ – igasugune korrastatud isikuandmete kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

8)

„vastutav töötleja“ – liidu institutsioon või organ, peadirektoraat või muu organisatsiooniline üksus, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud teatava liidu õigusaktiga, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu õiguses;

9)

„vastutav töötleja, kes ei ole liidu institutsioon või organ“ – vastutav töötleja määruse (EL) 2016/679 artikli 4 punkti 7 ja vastutav töötleja direktiivi (EL) 2016/680 artikli 3 punkti 8 tähenduses;

10)

„liidu institutsioonid ja organid“ – liidu institutsioonid, organid ja asutused, mis on loodud ELi lepingu, ELi toimimise lepingu või Euratomi asutamislepinguga või nende lepingute alusel;

11)

„pädev asutus“ – liikmesriigi avaliku sektori asutus, kes on pädev kuritegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama;

12)

„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

13)

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjateks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid isikuandmeid kooskõlas asjaomaste andmekaitsenormidega vastavalt töötlemise eesmärkidele;

14)

„kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

15)

„andmesubjekti nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

16)

„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, säilitatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

17)

„geneetilised andmed“ – isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

18)

„biomeetrilised andmed“ – konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

19)

„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

20)

„infoühiskonna teenused“ – Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (17) artikli 1 lõike 1 punktis b määratletud teenused;

21)

„rahvusvaheline organisatsioon“ – organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel;

22)

„riiklik järelevalveasutus“ – liikmesriigis määruse (EL) 2016/679 artikli 51 või direktiivi (EL) 2016/680 artikli 41 kohaselt asutatud sõltumatu avaliku sektori asutus;

23)

„kasutaja“ – füüsiline isik, kes kasutab liidu institutsiooni või organi kontrolli all toimivat võrgustikku või lõppseadet;

24)

„kataloog“ – kasutajate üldkasutatav kataloog, liidu institutsioonis või organis kasutatav kasutajate sisekataloog või liidu institutsioonide ja organite vaheline kataloog kas trükituna või elektroonilisel kujul;

25)

„elektroonilise side võrk“ – ülekandesüsteem, mis võib, aga ei pruugi põhineda püsitaristul või kesksel juhtimisel, ja vajaduse korral lülitus- ja marsruutimisseadmed ning muud vahendid, sealhulgas võrguelemendid, mis ei ole aktiivsed, ning mis võimaldab edastada signaale kaabli kaudu, raadio teel, optiliselt või muude elektromagnetiliste vahendite abil, sealhulgas satelliitvõrgud, paikse (ahel- ja pakettkommuteeritud, k.a internet) ja liikuva maaside võrgud, elektrikaabelsüsteemid, kui neid kasutatakse signaalide edastamiseks, raadio- ja teleringhäälinguvõrgud ja kaabeltelevisioonivõrgud, olenemata sellest, millist teavet nende kaudu edastatakse;

26)

„lõppseade“ – komisjoni direktiivi 2008/63/EÜ (18) artikli 1 punktis 1 määratletud lõppseade.

II PEATÜKK

ÜLDPÕHIMÕTTED

Artikkel 4

Isikuandmete töötlemise põhimõtted

1.   Isikuandmete töötlemisel tagatakse, et:

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 13 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)

isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutataks või parandataks viivitamata („õigsus“);

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artiklile 13, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“).

2.   Vastutav töötleja vastutab lõike 1 täitmise eest ja peab olema võimeline selle täitmist tõendama („vastutus“).

Artikkel 5

Isikuandmete töötlemise seaduslikkus

1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)

isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või liidu institutsiooni või organi avaliku võimu teostamiseks;

b)

isikuandmete töötlemine on vajalik vastutava töötleja õiguslikult siduva kohustuse täitmiseks;

c)

isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

d)

andmesubjekt on andnud nõusoleku oma isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil;

e)

isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks.

2.   Lõike 1 punktides a ja b osutatud töötlemise alus sätestatakse liidu õiguses.

Artikkel 6

Andmete muul kooskõlas oleval eesmärgil töötlemine

Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 25 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse:

a)

seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)

isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)

isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 10 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 11;

d)

kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)

asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.

Artikkel 7

Nõusoleku andmise tingimused

1.   Kui töötlemine põhineb nõusolekul, peab vastutav töötleja olema võimeline tõendama, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

2.   Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist käesoleva määruse rikkumisega, ei ole siduv.

3.   Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest enne nõusoleku andmist. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine.

4.   Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku andmine isikuandmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.

Artikkel 8

Tingimused, mida kohaldatakse lapse nõusolekule seoses infoühiskonna teenustega

1.   Kui kohaldatakse artikli 5 lõike 1 punkti d seoses infoühiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete töötlemine seaduslik ainult juhul, kui laps on vähemalt 13-aastane. Kui laps on noorem kui 13-aastane, on selline isikuandmete töötlemine seaduslik üksnes sellisel juhul ja sellises ulatuses, kui selleks on sellise nõusoleku või loa andnud isik, kellel on lapse suhtes vanemlik vastutus.

2.   Vastutav töötleja teeb kättesaadavat tehnoloogiat arvesse võttes mõistlikud jõupingutused selleks, et kontrollida sellistel juhtudel, et nõusoleku või loa on andnud isik, kellel on lapse suhtes vanemlik vastutus.

3.   Lõige 1 ei mõjuta liikmesriikide üldist lepinguõigust, näiteks õigusnorme, mis käsitlevad lapsega seotud lepingu kehtivust, koostamist ja mõju.

Artikkel 9

Isikuandmete edastamine liidus asuvale vastuvõtjale, kes ei ole liidu institutsioon ega organ

1.   Ilma et see piiraks artiklite 4–6 ja 10 kohaldamist, edastatakse isikuandmeid ainult liidus asuvale vastuvõtjale, kes ei ole liidu institutsioon või organ, kui:

a)

vastuvõtja kinnitab, et andmed on vajalikud avalikes huvides oleva ülesande täitmiseks või vastuvõtja avaliku võimu teostamiseks, või

b)

vastuvõtja kinnitab, et andmete edastamine on vajalik avalikes huvides oleval eesmärgil ning juhul, kui on alust karta andmesubjekti õigustatud huvide kahjustamist, kinnitab vastuvõtja, olles eelnevalt erinevaid vastandlikke huve tõendatult kaalunud, et edastamine on kõnealusel spetsiifilisel eesmärgil proportsionaalne.

2.   Juhul kui vastutav töötleja algatab käesoleva artikli kohase edastamise, tõendab ta, et isikuandmete edastamine on vajalik ja proportsionaalne edastamise eesmärkidega, kohaldades lõike 1 punktis a või b sätestatud kriteeriume.

3.   Liidu institutsioonid ja organid ühitavad õiguse isikuandmete kaitsele üldsuse õigusega pääseda juurde dokumentidele vastavalt liidu õigusele.

Artikkel 10

Isikuandmete eriliikide töötlemine

1.   Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2.   Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

a)

andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu õiguse kohaselt ei saa andmesubjekt lõikes 1 osutatud keeldu tühistada;

b)

töötlemine on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu õigusega, millega kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks;

c)

töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma;

d)

töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega liidu institutsiooni või organiga integreeritud mittetulundusühingu õiguspärase tegevuse raames ja vajalikke kaitsemeetmeid kohaldades, ning tingimusel, et töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning andmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta;

e)

töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud;

f)

töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui Euroopa Kohus täidab oma õigust mõistvat funktsiooni;

g)

töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu õiguse alusel ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ja tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks;

h)

töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud;

i)

töötlemine on vajalik rahvatervise valdkonna avalikes huvides, nagu kaitse suure piiriülese terviseohu korral või kõrgete kvaliteedi- ja ohutusnõuete tagamine tervishoiu ning ravimite või meditsiiniseadmete puhul, tuginedes liidu õigusele, millega nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õiguste ja vabaduste kaitseks, eelkõige ametisaladuse hoidmine, või

j)

töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, tuginedes liidu õigusele, ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ning tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

3.   Lõikes 1 osutatud isikuandmeid võib töödelda lõike 2 punktis h osutatud eesmärkidel, kui neid andmeid töötleb oma kutsetegevuse käigus isik, kellel on liidu või liikmesriigi õiguse või pädevate riiklike organite kehtestatud õigusnormide alusel ametisaladuse hoidmise kohustus või mõni muu isik, kellel on samuti liidu või liikmesriigi õiguse või pädevate riiklike organite kehtestatud õigusnormide alusel saladuse hoidmise kohustus, või kui neid andmeid töödeldakse sellise isiku vastutusel.

Artikkel 11

Süüteoasjades süüdimõistvate kohtuotsuste ja kuritegudega seotud isikuandmete töötlemine

Süüteoasjades süüdimõistvate kohtuotsuste ja süütegude või nendega seotud turvameetmetega seotud isikuandmeid töödeldakse artikli 5 lõike 1 alusel ainult ametiasutuse järelevalve all või siis, kui töötlemine on lubatud liidu õigusega, milles on sätestatud asjakohased kaitsemeetmed andmesubjektide õiguste ja vabaduste kaitseks.

Artikkel 12

Töötlemine, mille käigus ei nõuta isiku tuvastamist

1.   Kui vastutav töötleja töötleb isikuandmeid eesmärkidel, mille puhul ei nõuta või enam ei nõuta andmesubjekti tuvastamist vastutava töötleja poolt, ei ole vastutav töötleja kohustatud säilitama, hankima ega töötlema lisateavet, et tuvastada andmesubjekt ainult käesoleva määruse järgimiseks.

2.   Kui vastutav töötleja on käesolevas artikli lõikes 1 osutatud juhtudel võimeline tõendama, et ta ei suuda andmesubjekti tuvastada, teavitab ta sellest võimaluse korral andmesubjekti. Sellistel juhtudel ei kohaldata artikleid 17–22, välja arvatud juhul, kui andmesubjekt esitab enda tuvastamist võimaldavat lisateavet, et kasutada nende artiklite kohaseid õigusi.

Artikkel 13

Kaitsemeetmed seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil

Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

III PEATÜKK

ANDMESUBJEKTI ÕIGUSED

1. JAGU

Läbipaistvus ja sellega seotud kord

Artikkel 14

Selge teave, teavitamine ja andmesubjekti õiguste teostamise kord

1.   Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 15 ja 16 osutatud teave ning teavitada teda artiklite 17–24 ja 35 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.

2.   Vastutav töötleja aitab kaasa artiklite 17–24 kohaste andmesubjekti õiguste kasutamisele. Artikli 12 lõikes 2 osutatud juhtudel ei keeldu vastutav töötleja meetmete võtmisest andmesubjekti taotlusel tema artiklite 17–24 kohaste õiguste kasutamiseks, välja arvatud juhul, kui vastutav töötleja tõendab, et ta ei suuda andmesubjekti tuvastada.

3.   Vastutav töötleja esitab andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe artiklite 17–24 kohase taotluse alusel võetud meetmete kohta. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, võttes arvesse taotluste keerukust ja hulka. Vastutav töötleja teavitab andmesubjekti igast taolisest pikendamisest ja viivituse põhjustest ühe kuu jooksul alates taotluse saamisest. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.

4.   Kui vastutav töötleja ei võta meetmeid vastavalt andmesubjekti taotlusele, teatab ta andmesubjektile viivituseta ja hiljemalt ühe kuu jooksul alates taotluse saamisest meetmete võtmata jätmise põhjused ning selgitab talle võimalust esitada Euroopa Andmekaitseinspektorile kaebus ja kasutada õiguskaitsevahendeid.

5.   Artiklite 15 ja 16 kohase teabe esitamine ning artiklite 17–24 ja 35 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja keelduda taotletud toimingu tegemisest. Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

6.   Kui vastutaval töötlejal on põhjendatud kahtlused artiklites 17–23 osutatud taotlust esitava füüsilise isiku identiteedi suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist, piiramata seejuures artikli 12 kohaldamist.

7.   Andmesubjektidele artiklite 15 ja 16 kohaselt edastatava teabe võib anda koos standardsete ikoonide esitamisega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, on need masinloetavad.

8.   Kui komisjon võtab määruse (EL) 2016/679 artikli 12 lõike 8 kohaselt vastu delegeeritud õigusaktid, millega määratakse kindlaks ikoonidega esitatav teave ja standardsete ikoonide esitamise kord, edastavad liidu institutsioonid ja organid võimaluse korral käesoleva määruse artiklite 15 ja 16 kohaselt teabe koos standardsete ikoonidega.

2. JAGU

Teave ja juurdepääs isikuandmetele

Artikkel 15

Teave, mis tuleb esitada juhul, kui isikuandmed on kogutud andmesubjektilt

1.   Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

a)

vastutava töötleja nimi ja kontaktandmed;

b)

andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise eesmärk ja õiguslik alus;

d)

asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

e)

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 48 osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2.   Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

a)

isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)

teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või, kui see on kohaldav, teave õiguse kohta esitada vastuväide isikuandmete töötlemisele või teave isikuandmete ülekandmise õiguse kohta;

c)

kui isikuandmete töötlemine põhineb artikli 5 lõike 1 punktil d või artikli 10 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

d)

teave õiguse kohta esitada kaebus Euroopa Andmekaitseinspektorile;

e)

teave selle kohta, kas isikuandmete esitamine on õigusaktist või lepingust tulenev kohustus või lepingu sõlmimiseks vajalik nõue, samuti selle kohta, kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama, ning selliste andmete esitamata jätmise võimalike tagajärgede kohta, ning

f)

teave artikli 24 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3.   Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne edasist isikuandmete töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

4.   Lõikeid 1, 2 ja 3 ei kohaldata, kui ja sel määral, mil andmesubjektil on see teave juba olemas.

Artikkel 16

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1.   Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)

vastutava töötleja nimi ja kontaktandmed;

b)

andmekaitseametniku kontaktandmed;

c)

isikuandmete töötlemise eesmärk ja õiguslik alus;

d)

asjaomaste isikuandmete liigid;

e)

asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

f)

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 48 osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2.   Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise täiendava teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)

isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)

teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või, kui see on kohaldatav, teave õiguse kohta esitada vastuväide isikuandmete töötlemisele või teave isikuandmete ülekandmise õiguse kohta;

c)

kui isikuandmete töötlemine põhineb artikli 5 lõike 1 punktil d või artikli 10 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

d)

teave õiguse kohta esitada kaebus Euroopa Andmekaitseinspektorile;

e)

teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest;

f)

teave artikli 24 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3.   Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)

mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid;

b)

kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)

kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4.   Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5.   Lõikeid 1–4 ei kohaldata, kui ja sel määral, mil:

a)

andmesubjektil on see teave juba olemas;

b)

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, või sel määral, mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral;

c)

isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud liidu õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)

isikuandmed peavad jääma salajaseks liidu õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas õigusaktidest tuleneva saladuse hoidmise kohustuse tõttu.

6.   Lõike 5 punktis b osutatud juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, tehes sealhulgas teabe avalikult kättesaadavaks.

Artikkel 17

Andmesubjekti õigus tutvuda andmetega

1.   Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

a)

töötlemise eesmärgid;

b)

asjaomaste isikuandmete liigid;

c)

vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)

teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)

teave õiguse kohta esitada kaebus Euroopa Andmekaitseinspektorile;

g)

kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)

teave artikli 24 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

2.   Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, on andmesubjektil õigus olla teavitatud edastamisega seoses artikli 48 kohaselt kehtestatavatest asjakohastest kaitsemeetmetest.

3.   Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.

4.   Lõikes 3 osutatud koopia saamise õigus ei tohi kahjustada teiste isikute õigusi ja vabadusi.

3. JAGU

Parandamine ja kustutamine

Artikkel 18

Õigus andmete parandamisele

Andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse andmete töötlemise eesmärke, on andmesubjektil õigus nõuda mittetäielike isikuandmete täiendamist, sealhulgas täiendava õiendi esitamise teel.

Artikkel 19

Õigus andmete kustutamisele („õigus olla unustatud“)

1.   Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed, ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

a)

isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)

andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 5 lõike 1 punktile d või artikli 10 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;

c)

andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 23 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid;

d)

isikuandmeid on töödeldud ebaseaduslikult;

e)

isikuandmed tuleb kustutada selleks, et täita vastutava töötleja suhtes kohaldatavat õiguslikult siduvat kohustust;

f)

isikuandmeid koguti seoses artikli 8 lõikes 1 osutatud infoühiskonna teenuste pakkumisega.

2.   Juhul kui vastutav töötleja on isikuandmed avalikustanud ja peab lõike 1 kohaselt isikuandmed kustutama, võtab vastutav töötleja kättesaadavat tehnoloogiat ja rakendamise kulusid arvestades tarvitusele mõistlikud abinõud, sealhulgas tehnilised meetmed, et teavitada kõnealuseid isikuandmeid töötlevaid vastutavaid töötlejaid või neid vastutavaid töötlejaid, kes ei ole liidu institutsioonid või organid, sellest, et andmesubjekt taotleb neilt kõnealustele isikuandmetele osutavate linkide või andmekoopiate või -korduste kustutamist.

3.   Lõikeid 1 ja 2 ei kohaldata sel määral, mil isikuandmete töötlemine on vajalik:

a)

sõna- ja teabevabaduse õiguse teostamiseks;

b)

selleks, et täita vastutava töötleja suhtes kohaldatavat õiguslikult siduvat kohustust või täita avalikes huvides olevat ülesannet või teostada vastutava töötleja avalikku võimu;

c)

rahvatervise valdkonnas avaliku huviga seotud põhjustel kooskõlas artikli 10 lõike 2 punktidega h ja i ning artikli 10 lõikega 3;

d)

avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil sel määral, mil lõikes 1 osutatud õigus tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral, või

e)

õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Artikkel 20

Õigus isikuandmete töötlemise piiramisele

1.   Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:

a)

andmesubjekt vaidlustab isikuandmete õigsuse, ajaks, mis võimaldab vastutaval töötlejal kontrollida isikuandmete õigsust, sealhulgas terviklikkust;

b)

isikuandmete töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle mitte nende kustutamist, vaid kasutamise piiramist;

c)

vastutav töötleja ei vaja isikuandmeid enam töötlemise eesmärkidel, kuid need on andmesubjektile vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

d)

andmesubjekt on esitanud isikuandmete töötlemise suhtes artikli 23 lõike 1 kohaselt vastuväite, ajaks, kuni kontrollitakse, kas vastutava töötleja õiguspärased põhjused kaaluvad üles andmesubjekti põhjused.

2.   Kui isikuandmete töötlemist on lõike 1 kohaselt piiratud, võib selliseid isikuandmeid töödelda (välja arvatud säilitamine) ainult andmesubjekti nõusolekul või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või teise füüsilise või juriidilise isiku õiguste kaitsmiseks või seoses liidu või liikmesriigi olulise avaliku huviga.

3.   Vastutav töötleja teavitab lõike 1 kohaselt isikuandmete töötlemise piiramist nõudnud andmesubjekti enne isikuandmete töötlemise piiramise lõpetamist.

4.   Automaatsetes andmete kogumites tagatakse isikuandmete töötlemise piiramine üldjuhul tehniliste vahenditega. Asjaolu, et isikuandmete suhtes kehtivad piirangud, tuleb süsteemis esitada selliselt, et nende kasutamise keeld oleks selge.

Artikkel 21

Kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisest

Vastutav töötleja edastab teabe isikuandmete parandamise, kustutamise või isikuandmete töötlemise piiramise kohta vastavalt artiklile 18, artikli 19 lõikele 1 ja artiklile 20 kõigile vastuvõtjatele, kellele isikuandmed on avaldatud, välja arvatud juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi. Vastutav töötleja teavitab andmesubjekti nendest vastuvõtjatest andmesubjekti taotlusel.

Artikkel 22

Andmete ülekandmise õigus

1.   Andmesubjektil on õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale töötlejale, ilma et vastutav töötleja, kellele kõnealused isikuandmed on esitatud, seda takistaks, kui:

a)

töötlemine põhineb artikli 5 lõike 1 punktis d või artikli 10 lõike 2 punktis a osutatud nõusolekul või artikli 5 lõike 1 punktis c osutatud lepingul ning

b)

töötlemine toimub automatiseeritult.

2.   Kui andmesubjekt kasutab lõike 1 kohaselt andmete ülekandmise õigust, on tal õigus nõuda, et üks vastutav töötleja edastaks andmed otse teisele vastutavale töötlejale või vastutavatele töötlejatele, kes ei ole liidu institutsioonid või organid, kui see on tehniliselt teostatav.

3.   Käesoleva artikli lõikes 1 nimetatud õiguse kasutamine ei piira artikli 19 kohaldamist. Seda õigust ei kohaldata töötlemise suhtes, mis on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

4.   Lõikes 1 osutatud õigus ei tohi kahjustada teiste isikute õigusi ja vabadusi.

4. JAGU

Õigus esitada vastuväiteid ja automatiseeritud töötlusel põhinevate üksikotsuste tegemine

Artikkel 23

Õigus esitada vastuväiteid

1.   Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 5 lõike 1 punkti a alusel, sealhulgas sellele sättele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et neid töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

2.   Hiljemalt andmesubjekti esmakordsel teavitamisel juhitakse andmesubjekti tähelepanu selgesõnaliselt lõikes 1 osutatud õigusele ning vastav teave esitatakse selgelt ja eraldi igasugusest muust teabest.

3.   Infoühiskonna teenuste kasutamisega seoses võib andmesubjekt kasutada oma õigust esitada vastuväiteid, tehes seda automatiseeritud vahendite teel, mis põhinevad tehnilistel kirjeldustel, ilma et see piiraks artiklite 36 ja 37 kohaldamist.

4.   Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil, on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks.

Artikkel 24

Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs

1.   Andmesubjektil on õigus mitte lasta teha enda suhtes otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

2.   Lõiget 1 ei kohaldata, kui otsus:

a)

on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks;

b)

on lubatud liidu õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks, või

c)

põhineb andmesubjekti selgesõnalisel nõusolekul.

3.   Lõike 2 punktides a ja c osutatud juhtudel rakendab vastutav töötleja asjakohaseid meetmeid, et kaitsta andmesubjekti õigusi ja vabadusi ning õigustatud huve, vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada otsus.

4.   Käesoleva artikli lõikes 2 osutatud otsused ei tohi põhineda artikli 10 lõikes 1 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui kohaldatakse artikli 10 lõike 2 punkti a või g ning kehtestatud on asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

5. JAGU

Piirangud

Artikkel 25

Piirangud

1.   Artiklite 14–22, 35 ja 36 ning samuti artikli 4 kohaldamist võib piirata aluslepingute alusel vastu võetud õigusaktidega või liidu institutsioonide ja organite toimimisega seotud küsimuste puhul nende sise-eeskirjadega, kui selle sätted vastavad artiklites 14–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada:

a)

liikmesriikide julgeolek, avalik julgeolek või riigikaitse;

b)

süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

c)

liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu ühise välis- ja julgeolekupoliitika eesmärgid või liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;

d)

liidu institutsioonide ja organite sisejulgeolek, sealhulgas nende elektroonilise side võrgustike julgeolek;

e)

kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;

f)

reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

g)

jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on, kas või juhtumipõhiselt, seotud avaliku võimu teostamisega punktides a–c osutatud juhtudel;

h)

andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

i)

tsiviilõiguslike nõuete täitmise tagamine.

2.   Eelkõige peavad lõikes 1 osutatud õigusaktid või sise-eeskirjad sisaldama asjakohasel juhul konkreetseid sätteid järgmise kohta:

a)

töötlemise või selle kategooriate eesmärgid;

b)

isikuandmete liigid;

c)

kehtestatud piirangute ulatus;

d)

kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)

vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)

säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki, ning

g)

andmesubjektide õigusi ja vabadusi ähvardavad ohud.

3.   Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu õigusega, mis võib hõlmata liidu institutsioonide ja organite poolt nende toimimist puudutavates küsimustes kehtestatud sise-eeskirju, ette näha erandid artiklites 17, 18, 20 ja 23 osutatud õigustest, kui artiklis 13 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4.   Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu õigusega, mis võib hõlmata liidu institutsioonide ja organite poolt nende toimimist puudutavates küsimustes kehtestatud sise-eeskirju, ette näha erandid artiklites 17, 18, 20, 21, 22 ja 23 osutatud õigustest, kui artiklis 13 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

5.   Lõigetes 1, 3 ja 4 osutatud sise-eeskirjad peavad olema selged ja täpsed üldkohaldatavad õigusaktid, mille eesmärk on tekitada õiguslikke tagajärgi andmesubjektidele, mis on kehtestatud liidu institutsioonide ja organite kõrgeimal juhtimistasandil ning mis avaldatakse Euroopa Liidu Teatajas.

6.   Lõike 1 alusel kehtestatud piirangu korral tehakse andmesubjektile liidu õiguse kohaselt teatavaks piirangu kohaldamise peamised põhjused ning tema õigus esitada kaebus Euroopa Andmekaitseinspektorile.

7.   Kui lõike 1 alusel kehtestatud piirangule tuginedes ei anta andmesubjektile juurdepääsu andmetele, teeb Euroopa Andmekaitseinspektor kaebuse uurimisel talle teatavaks üksnes asjaolu, kas andmeid on töödeldud nõuetekohaselt, ning kui mitte, siis kas vajalikud parandused on tehtud.

8.   Käesoleva artikli lõigetes 6 ja 7 ning artikli 45 lõikes 2 osutatud teabe esitamist võib edasi lükata, ära jätta või sellest keelduda, kui käesoleva artikli lõike 1 alusel kehtestatud piirang kaotaks seeläbi oma mõju.

IV PEATÜKK

VASTUTAV TÖÖTLEJA JA VOLITATUD TÖÖTLEJA

1. JAGU

Üldkohustused

Artikkel 26

Vastutava töötleja vastutus

1.   Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2.   Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

3.   Vastutava töötleja kohustuste täitmise tõendamise elemendina võib kasutada määruse (EL) 2016/679 artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

Artikkel 27

Lõimitud andmekaitse ja vaikimisi andmekaitse

1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, näiteks pseudonümiseerimist, mis on vajalikud andmekaitsepõhimõtete (näiteks võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

2.   Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

3.   Käesoleva artikli lõigetes 1 ja 2 sätestatud nõuete järgimise tõendamise elemendina võib kasutada määruse (EL) 2016/679 artikli 42 kohast heakskiidetud sertifitseerimismehhanismi.

Artikkel 28

Kaasvastutavad töötlejad

1.   Kui kaks või enam vastutavat töötlejat või üks või enam vastutavat töötlejat koos ühe või enama vastutava töötlejaga, kes ei ole liidu institutsioonid või organid, määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna andmekaitsega seotud kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 15 ja 16 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2.   Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi iga vastutava töötleja suhtes ja vastu.

Artikkel 29

Volitatud töötleja

1.   Kui andmeid töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2.   Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3.   Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

a)

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)

tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane õigusaktist tulenev konfidentsiaalsuskohustus;

c)

võtab kõik artikli 33 kohaselt nõutavad meetmed;

d)

järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)

võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)

aitab vastutaval töötlejal täita artiklites 33–41 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)

pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)

teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4.   Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5.   Kui volitatud töötleja ei ole liidu institutsioon ega organ, võib tema poolt määruse (EL) 2016/679 artikli 40 lõikes 5 osutatud heakskiidetud toimimisjuhendite või määruse (EL) 2016/679 artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisavate tagatiste olemasolu.

6.   Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa volitatud töötlejale, kes ei ole liidu institutsioon ega organ, määruse (EL) 2016/679 artikli 42 kohaselt antud sertifikaadist.

7.   Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 96 lõikes 2 osutatud kontrollimenetlusega.

8.   Euroopa Andmekaitseinspektor võib kehtestada lepingu tüüptingimused lõigetes 3 ja 4 osutatud küsimustes.

9.   Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10.   Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 65 ja 66 kohaldamist.

Artikkel 30

Töötlemine vastutava töötleja või volitatud töötleja volituse alusel

Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, ei tohi isikuandmeid töödelda vastutava töötleja juhisteta, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

Artikkel 31

Isikuandmete töötlemise toimingute registreerimine

1.   Iga vastutav töötleja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. Registreerimiskanne sisaldab järgmist teavet:

a)

vastutava töötleja, andmekaitseametniku ning asjakohasel juhul volitatud töötleja ja kaasvastutava töötleja nimi ja kontaktandmed;

b)

töötlemise eesmärgid;

c)

andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

d)

vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas liikmesriikides ja kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

e)

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega ja sobivate kaitsemeetmete kohta koostatud dokumendid;

f)

võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

g)

võimaluse korral artiklis 33 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

2.   Volitatud töötleja peab kõigi vastutava töötleja nimel tehtavate isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:

a)

volitatud töötleja või volitatud töötlejate ja iga vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning andmekaitseametniku nimi ja kontaktandmed;

b)

vastutava töötleja nimel tehtava töötlemise kategooriad;

c)

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega ja sobivate kaitsemeetmete kohta koostatud dokumendid;

d)

võimaluse korral artiklis 33 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

3.   Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.

4.   Taotluse korral teevad liidu institutsioonid ja organid registri kättesaadavaks Euroopa Andmekaitseinspektorile.

5.   Liidu institutsioonid ja asutused hoiavad töötlemistoiminguid käsitlevaid andmeid keskregistris, välja arvatud juhul, kui see on liidu institutsiooni või organi suurust arvestades sobimatu. Nad teevad registri avalikult kättesaadavaks.

Artikkel 32

Koostöö Euroopa andmekaitseinspektoriga

Liidu institutsioonid ja organid teevad Euroopa Andmekaitseinspektoriga tema ülesannete täitmise käigus taotluse korral koostööd.

2. JAGU

Isikuandmete turvalisus

Artikkel 33

Töötlemise turvalisus

1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

a)

isikuandmete pseudonümiseerimine ja krüpteerimine;

b)

võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

c)

võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;

d)

tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

2.   Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

3.   Vastutav töötleja ja volitatud töötleja võtavad meetmeid selleks, et tagada, et vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, ei töötle isikuandmeid vastutava töötleja juhisteta, välja arvatud juhul, kui liidu õigus neid selleks kohustab.

4.   Käesoleva artikli lõikes 1 sätestatud nõuete järgimise tõendamise elemendina võib kasutada määruse (EL) 2016/679 artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

Artikkel 34

Euroopa Andmekaitseinspektori teavitamine isikuandmetega seotud rikkumisest

1.   Isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorile põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui Euroopa Andmekaitseinspektorit teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.

2.   Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.

3.   Lõikes 1 osutatud teates tuleb vähemalt:

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;

b)

teatada andmekaitseametniku nimi ja kontaktandmed;

c)

kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)

kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

4.   Juhul ja niivõrd, kui teavet ei ole võimalik esitada korraga, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.

5.   Vastutav töötleja teavitab andmekaitseametnikku isikuandmetega seotud rikkumisest.

6.   Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle mõju ja võetud parandusmeetmed. Dokumendid võimaldavad Euroopa Andmekaitseinspektoril kontrollida käesolevas artiklis sätestatud nõuete täitmist.

Artikkel 35

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1.   Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab vastutav töötleja andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.

2.   Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 34 lõike 3 punktides b, c ja d osutatud teave ja meetmed.

3.   Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta juhul, kui on täidetud järgmised tingimused:

a)

vastutav töötleja on kehtestanud asjakohased tehnilised ja korralduslikud kaitsemeetmed ja neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

b)

vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline, või

c)

see nõuaks ebaproportsionaalseid jõupingutusi. Sellisel juhul tehakse avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.

4.   Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib Euroopa Andmekaitseinspektor pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, seda vastutavalt töötlejalt nõuda või otsustada, et esineb üks lõikes 3 osutatud tingimustest.

3. JAGU

Elektroonilise side konfidentsiaalsus

Artikkel 36

Elektroonilise side konfidentsiaalsus

Liidu institutsioonid ja organid tagavad elektroonilise side konfidentsiaalsuse, eelkõige oma elektroonilise side võrgustiku turvalisuse tagamise kaudu.

Artikkel 37

Kasutaja lõppseadmesse edastatud ja seal salvestatud, lõppseadmega seotud, lõppseadmes töödeldud ja lõppseadmest kogutud teabe kaitse

Liidu institutsioonid ja organid kaitsevad kasutajate lõppseadmetesse edastatud ja seal salvestatud, kasutajate lõppseadmetega seotud, nendes seadmetes töödeldud ja nendest kogutud teavet kasutajate puhul, kes kasutavad liidu institutsioonide ja organite avalikult kättesaadavaid veebisaite ning nende pakutavaid mobiilseid rakendusi, kooskõlas direktiivi 2002/58/EÜ artikli 5 lõikega 3.

Artikkel 38

Kasutajakataloogid

1.   Kasutajakataloogides sisalduvaid isikuandmeid ning juurdepääsu kasutajakataloogidele tuleb piirata määrani, mis on vältimatult vajalik kataloogi eriomaste ülesannete täitmiseks.

2.   Liidu institutsioonid ja organid võtavad kõik vajalikud meetmed, et takistada kasutajakataloogides sisalduvate isikuandmete kasutamist otseturunduse eesmärkidel, sõltumata sellest, kas kataloogid on üldsusele kättesaadavad või mitte.

4. JAGU

Andmekaitsealane mõjuhinnang ja eelnev konsulteerimine

Artikkel 39

Andmekaitsealane mõjuhinnang

1.   Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2.   Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult.

3.   Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav järgmistel juhtudel:

a)

füüsiliste isikutega seotud isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)

artiklis 10 osutatud andmete eriliikide või artiklis 11 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine või

c)

avalike alade ulatuslik süstemaatiline jälgimine.

4.   Euroopa Andmekaitseinspektor koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teostada andmekaitsealane mõjuhinnang.

5.   Euroopa Andmekaitseinspektor võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav.

6.   Enne käesoleva artikli lõigetes 4 ja 5 osutatud loetelude kehtestamist taotleb Euroopa Andmekaitseinspektor loetelude kontrollimist määruse (EL) 2016/679 artikli 68 kohaselt loodud Euroopa Andmekaitsenõukogult vastavalt nimetatud määruse artikli 70 lõike 1 punktile e, kui loetelud viitavad töötlemistoimingutele vastutava töötleja poolt, kes tegutseb koos ühe või mitme vastutava töötlejaga, kes ei ole liidu institutsioonid või organid.

7.   Mõjuhinnang peab hõlmama vähemalt järgmist:

a)

kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide süstemaatiline kirjeldus;

b)

isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)

lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang ning

d)

ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8.   Volitatud töötleja, kes ei ole liidu institutsioon ega organ, sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse määruse (EL) 2016/679 artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase volitatud töötleja poolt.

9.   Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10.   Kui artikli 5 lõike 1 punkti a või b kohase isikuandmete töötlemise õiguslik alus tuleneb aluslepingute alusel vastu võetud õigusaktist, mis reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on enne kõnealuse õigusakti vastuvõtmist üldise mõjuhinnangu osana juba tehtud, siis käesoleva artikli lõikeid 1–6 ei kohaldata, välja arvatud juhul, kui kõnealuses õigusaktis on teisiti sätestatud.

11.   Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 40

Eelnev konsulteerimine

1.   Vastutav töötleja konsulteerib enne andmete töötlemist Euroopa Andmekaitseinspektoriga, kui artikli 39 kohasest andmekaitsealasest mõjuhinnangust nähtub, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole olemasolevat tehnoloogiat ja rakendamiskulusid silmas pidades võimalik mõistlike meetmetega leevendada. Vastutav töötleja küsib eelneva konsulteerimise vajaduse kohta nõu andmekaitseametnikult.

2.   Kui Euroopa Andmekaitseinspektor on seisukohal, et lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesolevat määrust, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, siis annab Euroopa Andmekaitseinspektor hiljemalt kaheksa nädala jooksul alates konsulteerimise taotluse kättesaamisest vastutavale töötlejale ja asjakohasel juhul volitatud töötlejale kirjalikult nõu ja ta võib kasutada artiklis 58 osutatud õigusi. Seda tähtaega võib pikendada kuue nädala võrra, arvestades kavandatava isikuandmete töötlemise keerukust. Euroopa Andmekaitseinspektor teavitab pikendatud tähtaja kohaldamise korral vastutavat töötlejat ja asjakohasel juhul volitatud töötlejat kõigist sellistest pikendamistest, sealhulgas viivituse põhjustest, ühe kuu jooksul alates konsulteerimise taotluse kättesaamisest. Need tähtajad võib peatada seniks, kuni Euroopa Andmekaitseinspektor on saanud kogu teabe, mida ta on küsinud seoses konsulteerimisega.

3.   Euroopa Andmekaitseinspektoriga lõike 1 kohaselt konsulteerimisel esitab vastutav töötleja Euroopa Andmekaitseinspektorile järgmise teabe:

a)

kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad;

b)

kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)

ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)

andmekaitseametniku kontaktandmed;

e)

artiklis 39 sätestatud andmekaitsealane mõjuhinnang ning

f)

kogu muu Euroopa Andmekaitseinspektori taotletud teave.

4.   Komisjon võib rakendusakti abil määrata kindlaks juhtumite loetelu, mille korral peavad vastutavad töötlejad konsulteerima Euroopa Andmekaitseinspektoriga ja saama temalt eelneva loa isikuandmete töötlemiseks vastutava töötleja poolt avalikes huvides täidetava ülesande raames, sealhulgas selliste isikuandmete töötlemiseks seoses sotsiaalkaitse ja rahvatervisega.

5. JAGU

Teave ja seadusandlik konsulteerimine

Artikkel 41

Teave ja konsulteerimine

1.   Liidu institutsioonid ja organid teatavad Euroopa Andmekaitseinspektorile selliste isikuandmete töötlemisega seotud haldusmeetmete ja sise-eeskirjade koostamisest, mis hõlmavad liidu institutsiooni või organit kas eraldi või koos teistega.

2.   Liidu institutsioonid ja organid konsulteerivad artiklis 25 osutatud sise-eeskirjade koostamisel Euroopa Andmekaitseinspektoriga.

Artikkel 42

Seadusandlik konsulteerimine

1.   Komisjon konsulteerib Euroopa Andmekaitseinspektoriga pärast seadusandliku akti ettepanekute vastuvõtmist, nõukogule vastavalt ELi toimimise lepingu artiklile 218 esitavate soovituste ja ettepanekute vastuvõtmist ning delegeeritud õigusaktide ja rakendusaktide ettevalmistamisel, kui need mõjutavad üksikisikute õiguste ja vabaduste kaitset isikuandmete töötlemisel.

2.   Kui lõikes 1 osutatud õigusakt on seoses isikuandmete töötlemisega üksikisikute õiguste ja vabaduste kaitse seisukohast eriti oluline, võib komisjon konsulteerida ka Euroopa Andmekaitsenõukoguga. Sellistel juhtudel koordineerivad Euroopa Andmekaitseinspektor ja Euroopa Andmekaitsenõukogu oma tegevust eesmärgiga esitada ühisarvamus.

3.   Lõigetes 1 ja 2 osutatud nõuanded esitatakse kirjalikult hiljemalt kaheksa nädala jooksul alates lõigetes 1 ja 2 osutatud konsulteerimise taotluse kättesaamisest. Komisjon võib tähtaega lühendada, kui asi on kiireloomuline või kui see on asjakohane muudel põhjustel.

4.   Käesolevat artiklit ei kohaldata, kui komisjon peab Euroopa Andmekaitsenõukoguga konsulteerima vastavalt määrusele (EL) 2016/679.

6. JAGU

Andmekaitseametnik

Artikkel 43

Andmekaitseametniku määramine

1.   Kõik liidu institutsioonid ja organid määravad andmekaitseametniku.

2.   Liidu institutsioonid ja organid võivad määrata mitme institutsiooni või organi peale ühe andmekaitseametniku olenevalt nende organisatsioonilisest struktuurist ja suurusest.

3.   Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige eksperditeadmistest andmekaitsealase õiguse ja tavade kohta ning suutlikkusest täita artiklis 45 osutatud ülesandeid.

4.   Andmekaitseametnik peab olema liidu institutsiooni või organi koosseisuline töötaja. Liidu institutsioonid ja organid võivad oma suurust arvesse võttes ja juhul kui lõike 2 kohast valikut ei ole tehtud, määrata andmekaitseametniku, kes täidab oma ülesandeid teenuse osutamise lepingu alusel.

5.   Liidu institutsioonid ja organid avaldavad andmekaitseametniku kontaktandmed ning teatavad neist Euroopa Andmekaitseinspektorile.

Artikkel 44

Andmekaitseametniku ametiseisund

1.   Liidu institutsioonid ja organid tagavad andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.

2.   Liidu institutsioonid ja organid toetavad andmekaitseametnikku artiklis 45 osutatud ülesannete täitmisel, andes talle nende ülesannete täitmiseks ja eksperditeadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja isikuandmete töötlemise toimingutele.

3.   Liidu institutsioonid ja organid tagavad, et andmekaitseametnik ei saa kõnealuste ülesannete täitmise suhtes juhiseid. Vastutav töötleja või volitatud töötleja ei saa andmekaitseametnikku tema ülesannete täitmise eest ametist vabastada ega karistada. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

4.   Andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ning nende käesolevast määrusest tulenevate õiguste kasutamisega.

5.   Andmekaitseametniku ning tema personali suhtes kehtib nende ülesannete täitmisel vastavalt liidu õigusele saladuse hoidmise või konfidentsiaalsuse nõue.

6.   Andmekaitseametnik võib täita muid ülesandeid ja kohustusi. Vastutav töötleja või volitatud töötleja tagab, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti.

7.   Vastutav töötleja, volitatud töötleja, asjaomane personalikomitee ja iga üksikisik võib andmekaitseametnikuga väljaspool ametlikke kanaleid konsulteerida kõikides käesoleva määruse tõlgendamise või kohaldamisega seotud küsimustes. Keegi ei tohi kannatada seepärast, et ta juhtis pädeva andmekaitseametniku tähelepanu käesoleva määruse sätete väidetavale rikkumisele.

8.   Andmekaitseametnik määratakse ametisse kolmeks kuni viieks aastaks ning teda võib ametisse tagasi nimetada. Andmekaitseametniku ametisse määranud liidu institutsioon või organ võib andmekaitseametniku ametikohalt vabastada, kui ta ei vasta enam oma tööülesannete täitmiseks vajalikele tingimustele ja üksnes Euroopa Andmekaitseinspektori nõusolekul.

9.   Andmekaitseametniku ametisse määranud liidu institutsioon või organ registreerib andmekaitseametniku pärast ametisse määramist Euroopa Andmekaitseinspektori juures.

Artikkel 45

Andmekaitseametniku ülesanded

1.   Andmekaitseametnikul on järgmised ülesanded:

a)

teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad käesolevast määrusest ja muudest liidu andmekaitsenormidest;

b)

tagada sõltumatul viisil käesoleva määruse kohaldamine oma institutsioonis, jälgida käesoleva määruse, muude kohaldatavate andmekaitset käsitlevaid sätteid sisaldavate liidu õigusaktide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist ning sellega seonduvat auditeerimist;

c)

tagada, et andmesubjekte teavitataks nende õigustest ja kohustustest vastavalt käesolevale määrusele;

d)

anda taotluse korral nõu seoses teatamise vajalikkuse ja isikuandmetega seotud rikkumisest teavitamisega vastavalt artiklitele 34 ja 35;

e)

anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist vastavalt artiklile 39 ning konsulteerida Euroopa Andmekaitseinspektoriga, kui tekib kahtlusi seoses vajadusega teostada andmekaitsealane mõjuhinnang;

f)

anda taotluse korral nõu seoses vajadusega konsulteerida eelnevalt Euroopa Andmekaitseinspektoriga vastavalt artiklile 40; konsulteerida Euroopa Andmekaitseinspektoriga, kui tekib kahtlusi seoses vajadusega teostada andmekaitsealane mõjuhinnang;

g)

vastata Euroopa Andmekaitseinspektori arupärimistele; teha Euroopa Andmekaitseinspektoriga enda initsiatiivil või tema taotlusel oma pädevuse piires koostööd ning temaga konsulteerida;

h)

tagada, et andmete töötlemine ei kahjusta andmesubjektide õigusi ja vabadusi.

2.   Andmekaitseametnik võib esitada vastutavale töötlejale ja volitatud töötlejale andmekaitse parandamiseks praktilisi soovitusi ning anda neile andmekaitset käsitlevate sätete kohaldamist käsitlevates küsimustes nõu. Lisaks võib ta omal algatusel või vastutava töötleja või volitatud töötleja, asjaomase personalikomitee või üksikisiku taotlusel uurida tema kohustustega otseselt seotud ning talle teatavaks saanud küsimusi ja juhtumeid ja anda tulemuste kohta aru uurimise taotlejale, vastutavale töötlejale või volitatud töötlejale.

3.   Kõik liidu institutsioonid ja organid kehtestava täiendava andmekaitseametnikku käsitleva rakenduseeskirja. Rakenduseeskiri hõlmab eelkõige andmekaitseametniku tööülesandeid, kohustusi ja volitusi.

V PEATÜKK

ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE JA RAHVUSVAHELISTELE ORGANISATSIOONIDELE

Artikkel 46

Edastamise üldpõhimõtted

Töödeldavate või pärast kolmandale riigile või rahvusvahelisele organisatsioonile edastamist töötlemiseks ette nähtud isikuandmete edastamine toimub ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kooskõlas käesoleva määruse teiste sätetega käesolevas peatükis sätestatud tingimused, sealhulgas juhul, kui kolmas riik või rahvusvaheline organisatsioon saadab isikuandmed edasi muule kolmandale riigile või rahvusvahelisele organisatsioonile. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute kaitse taset ei kahjustata.

Artikkel 47

Edastamine kaitse piisavuse otsuse alusel

1.   Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud määruse (EL) 2016/679 artikli 45 lõike 3 või direktiivi (EL) 2016/680 artikli 36 lõike 3 kohaselt otsuse, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme, ning isikuandmeid edastatakse üksnes vastutava töötleja pädevusse kuuluvate ülesannete täitmiseks.

2.   Liidu institutsioonid ja organid teavitavad komisjoni ja Euroopa Andmekaitseinspektorit juhtudest, mil kolmas riik, kolmanda riigi territoorium või selle üks või mitu kindlaksmääratud sektorit või asjaomane rahvusvaheline organisatsioon ei taga nende arvates nõuetekohasel tasemel kaitset lõike 1 tähenduses.

3.   Kui komisjon leiab määruse (EL) 2016/679 artikli 45 lõike 3 või 5 või direktiivi (EL) 2016/680 artikli 36 lõike 3 või 5 kohaselt, et kolmas riik, kolmanda riigi territoorium või selle üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab või ei taga enam nõuetekohasel tasemel kaitset, võtavad liidu institutsioonid ja organid komisjoni otsuste täitmiseks vajalikud meetmed.

Artikkel 48

Edastamine asjakohaste kaitsemeetmete kohaldamisel

1.   Määruse (EL) 2016/679 artikli 45 lõike 3 või direktiivi (EL) 2016/680 artikli 36 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on võtnud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.

2.   Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma Euroopa Andmekaitseinspektorilt eriluba taotlemata ette näha:

a)

õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

b)

komisjoni poolt artikli 96 lõikes 2 osutatud kontrollimenetluse kohaselt kehtestatud standardsete andmekaitseklauslitega;

c)

Euroopa Andmekaitseinspektori poolt kehtestatud ja komisjoni poolt artikli 96 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

d)

kui volitatud töötleja ei ole liidu institutsioon või asutus, siduvate kontsernisiseste eeskirjade, toimimisjuhendite ja määruse (EL) 2016/679 artikli 46 lõike 2 punktidest b, e ja f tulenevate sertifitseerimismehhanismidega.

3.   Euroopa Andmekaitseinspektori loal võib lõikes 1 osutatud asjakohased kaitsemeetmed ette näha ka eelkõige:

a)

vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

b)

sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

4.   Euroopa Andmekaitseinspektori poolt määruse (EÜ) nr 45/2001 artikli 9 lõike 7 alusel antud load jäävad kehtima, kuni Euroopa Andmekaitseinspektor neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab.

5.   Liidu institutsioonid ja organid teavitavad Euroopa Andmekaitseinspektorit juhtumite liikidest, mille puhul on käesolevat artiklit kohaldatud.

Artikkel 49

Andmete edastamine või avaldamine juhtudel, kui see ei ole liidu õiguse kohaselt lubatud

Kolmanda riigi kohtu või haldusasutuse otsust, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist, võib tunnustada ja selle mis tahes viisil täitmisele pöörata üksnes siis, kui kõnealune otsus põhineb nõude esitanud kolmanda riigi ja liidu vahel kehtival rahvusvahelisel lepingul, näiteks vastastikuse õigusabi lepingul, ilma et see piiraks muid käesoleva peatüki kohaseid edastamise aluseid.

Artikkel 50

Erandid konkreetsetes olukordades

1.   Kui ei ole tehtud otsust vastavalt määruse (EL) 2016/679 artikli 45 lõikele 3 või direktiivi (EL) 2016/680 artikli 36 lõikele 3 või puuduvad käesoleva määruse artikli 48 kohased piisavad kaitsemeetmed, on isikuandmete ühekordne või korduv edastamine kolmandale riigile või rahvusvahelisele organisatsioonile lubatud ainult ühel järgmistest tingimustest:

a)

andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

b)

edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

c)

edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

d)

edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

e)

edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

f)

edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma, või

g)

edastamine tehakse registrist, mis liidu õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, mil konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu õigusega ette nähtud.

2.   Lõike 1 punkte a, b ja c ei kohaldata avalikku võimu teostavate liidu institutsioonide ja asutuste tegevuse suhtes.

3.   Lõike 1 punktis d osutatud avalik huvi peab olema tunnustatud liidu õiguses.

4.   Lõike 1 esimese lõigu punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid ega kõiki isikuandmete liike, välja arvatud juhul, kui see on liidu õigusega lubatud. Kui register on ette nähtud tutvumiseks õigustatud huviga isikutele, toimub edastamine vaid nende isikute taotlusel või juhul, kui nemad on vastuvõtjad.

5.   Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu õigusega selgesõnaliselt seada piirangud eri liiki isikuandmete edastamiseks kolmandale riigile või rahvusvahelisele organisatsioonile.

6.   Liidu institutsioonid ja organid teavitavad Euroopa Andmekaitseinspektorit juhtumite liikidest, mille puhul on käesolevat artiklit kohaldatud.

Artikkel 51

Isikuandmete kaitseks tehtav rahvusvaheline koostöö

Euroopa Andmekaitseinspektor võtab koostöös komisjoni ja Euroopa Andmekaitsenõukoguga kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et:

a)

töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusa täitmise tagamist;

b)

osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitsemeetmeid ning muid põhiõigusi ja -vabadusi;

c)

kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)

edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvuse osas valitsevate lahkarvamuste küsimuses.

VI PEATÜKK

EUROOPA ANDMEKAITSEINSPEKTOR

Artikkel 52

Euroopa Andmekaitseinspektor

1.   Käesolevaga luuakse Euroopa Andmekaitseinspektori ametikoht.

2.   Euroopa Andmekaitseinspektor vastutab selle eest, et liidu institutsioonid ja organid tagaksid isikuandmete töötlemisel füüsiliste isikute põhiõigused ja -vabadused, eelkõige nende õiguse andmete kaitsele.

3.   Euroopa Andmekaitseinspektori ülesanne on jälgida ja tagada, et kohaldataks käesoleva määruse ning teiste liidu õigusaktide sätteid, mis käsitlevad füüsiliste isikute põhiõiguste ja -vabaduste kaitsmist isikuandmete töötlemisel liidu institutsioonides või organites, samuti liidu institutsioonide ja organite ning andmesubjektide nõustamine kõikides isikuandmete töötlemisega seotud küsimustes. Selleks täidab Euroopa Andmekaitseinspektor artiklis 57 sätestatud ülesandeid ja kasutab talle artikliga 58 antud volitusi.

4.   Euroopa Andmekaitseinspektori valduses olevate dokumentide suhtes kohaldatakse määrust (EÜ) nr 1049/2001. Euroopa Andmekaitseinspektor kehtestab üksikasjalikud eeskirjad määruse (EÜ) nr 1049/2001 kohaldamiseks seoses nende dokumentidega.

Artikkel 53

Euroopa Andmekaitseinspektori ametisse nimetamine

1.   Euroopa Andmekaitseinspektori nimetavad ametisse Euroopa Parlament ja nõukogu ühisel kokkuleppel viieks aastaks, lähtudes komisjoni poolt pärast avalikku kandideerimiskutset koostatud nimekirjast. Kandideerimiskutse võimaldab esitada taotluse kõikidel huvitatud isikutel üle kogu liidu. Komisjoni koostatud kandidaatide nimekiri on avalik ja koosneb vähemalt kolmest kandidaadist. Komisjoni koostatud nimekirja alusel võib Euroopa Parlamendi pädev komisjon korraldada kuulamise, et teha oma valik.

2.   Lõikes 1 osutatud kandidaatide nimekiri koosneb isikutest, kelle sõltumatus on väljaspool kahtlust ning kelle puhul tunnustatakse Euroopa Andmekaitseinspektori ülesannete täitmiseks vajalike eksperditeadmiste, kogemuste ja oskuste olemasolu.

3.   Euroopa Andmekaitseinspektorit võib ühe korra uuesti ametisse nimetada.

4.   Euroopa Andmekaitseinspektori ülesannete täitmine lõpeb järgmistel asjaoludel:

a)

Euroopa Andmekaitseinspektor asendatakse;

b)

Euroopa Andmekaitseinspektor astub tagasi;

c)

Euroopa Andmekaitseinspektor vabastatakse või tagandatakse ametist.

5.   Euroopa Kohus võib Euroopa Andmekaitseinspektori Euroopa Parlamendi, nõukogu või komisjoni taotlusel ametist vabastada või pensioni ja muude seda asendavate soodustuste saamise õigusest ilma jätta, kui ta ei vasta enam oma ülesannete täitmiseks vajalikele tingimustele või kui ta leitakse olevat süüdi tõsistes rikkumises.

6.   Ametiaja korralise lõppemise ja vabatahtliku ametist lahkumise korral jääb Euroopa Andmekaitseinspektor ametisse seniks, kuni ametisse on määratud uus andmekaitseinspektor.

7.   Euroopa Andmekaitseinspektori suhtes kohaldatakse Euroopa Liidu privileegide ja immuniteetide protokolli artikleid 11–14 ja 17.

Artikkel 54

Euroopa Andmekaitseinspektori ülesannete täitmist, personali ja rahalisi vahendeid reguleerivad eeskirjad ja üldtingimused

1.   Euroopa Andmekaitseinspektorit käsitletakse töötasu, lisatasude, vanaduspensioni ja muude töötasu asemel antavate soodustuste määramisel nagu Euroopa Kohtu kohtunikke.

2.   Eelarvepädevad institutsioonid tagavad, et Euroopa Andmekaitseinspektorile antakse tema ülesannete täitmiseks vajalikud inimressursid ja rahalised vahendid.

3.   Euroopa Andmekaitseinspektori eelarve esitatakse liidu üldeelarve halduskuludega seotud jaos eraldi rubriigis.

4.   Euroopa Andmekaitseinspektorit abistab sekretariaat. Sekretariaadi ametnikud ja muud töötajad nimetab ametisse Euroopa Andmekaitseinspektor ning nad alluvad Euroopa Andmekaitseinspektorile. Nad alluvad üksnes tema juhtimisele. Nende arv määratakse igal aastal kindlaks eelarvemenetluse käigus. Euroopa Andmekaitseinspektori töötajatele, kes täidavad Euroopa Andmekaitsenõukogule liidu õigusega antud ülesandeid, kohaldatakse määruse (EL) 2016/679 artikli 75 lõiget 2.

5.   Euroopa Andmekaitseinspektori sekretariaadi ametnike ja muude töötajate suhtes kohaldatakse liidu ametnike ja muude teenistujate suhtes kohaldatavaid õigusnorme ja määrusi.

6.   Euroopa Andmekaitseinspektori ametikoht asub Brüsselis.

Artikkel 55

Sõltumatus

1.   Euroopa Andmekaitseinspektor tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2.   Euroopa Andmekaitseinspektor peavad olema oma käesoleva määrusega kooskõlas olevate ülesannete täitmisel ja volituste kasutamisel vaba nii otsestest kui ka kaudsetest välistest mõjutustest ning ei küsi ega võta vastu juhiseid mitte kelleltki.

3.   Euroopa Andmekaitseinspektor hoidub oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul tasustatud või tasustamata ametikohal.

4.   Euroopa Andmekaitseinspektor käitub pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes väärikalt ning diskreetselt.

Artikkel 56

Ametisaladus

Euroopa Andmekaitseinspektor ja tema personal on kohustatud nii ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust igasuguse konfidentsiaalse teabe osas, mis neile ametikohustuste täitmisel on teatavaks saanud.

Artikkel 57

Ülesanded

1.   Ilma et see piiraks muude käesolevas määruses sätestatud ülesannete täitmist, täidab Euroopa Andmekaitseinspektor järgmisi ülesandeid:

a)

jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise liidu institutsioonide ja organite poolt, välja arvatud isikuandmete töötlemisel Euroopa Kohtus, kui kohus täidab õigusemõistmise funktsiooni;

b)

suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

c)

edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

d)

annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd riiklike järelevalveasutustega;

e)

käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 67 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

f)

teostab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

g)

nõustab omal algatusel või taotluse alusel kõiki liidu institutsioone ja asutusi õigus- ja haldusmeetmete osas, seoses füüsilise isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

h)

jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogia arengut;

i)

kehtestab artikli 29 lõikes 8 ja artikli 48 lõike 2 punktis c osutatud lepingu tüüptingimused;

j)

koostab ja säilitab loetelu seoses artikli 39 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

k)

osaleb Euroopa Andmekaitsenõukogu tegevuses;

l)

tagab vastavalt määruse (EL) 2016/679 artiklile 75 Euroopa Andmekaitsenõukogu sekretariaadi töö;

m)

annab nõu artikli 40 lõikes 2 osutatud isikuandmete töötlemise osas;

n)

annab loa artikli 48 lõikes 3 osutatud lepinguklauslite ja -tingimuste kasutamiseks;

o)

peab asutusesisest registrit käesoleva määruse rikkumiste ja artikli 58 lõike 2 kohaselt võetud meetmete kohta;

p)

täidab muid isikuandmete kaitsega seotud ülesandeid ning

q)

kehtestab oma töökorra.

2.   Lõike 1 punktis e osutatud kaebuste esitamise lihtsustamiseks kehtestab Euroopa Andmekaitseinspektor kaebuse esitamise vormi, mida saab täita ka elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3.   Euroopa Andmekaitseinspektor täidab oma ülesandeid andmesubjekti jaoks tasuta.

4.   Kui taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib Euroopa Andmekaitseinspektor keelduda taotlust menetlemast. Euroopa Andmekaitseinspektor on kohustatud tõendama taotluse selgelt põhjendamatut või ülemäärast iseloomu.

Artikkel 58

Volitused

1.   Euroopa Andmekaitseinspektoril on järgmised uurimisvolitused:

a)

anda korraldus, et vastutav töötleja või volitatud töötleja annaks teavet, mis on vajalik andmekaitseinspektori ülesannete täitmiseks;

b)

viia läbi uurimisi andmekaitseauditi kujul;

c)

teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

d)

saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik andmekaitseinspektori ülesannete täitmiseks, ning

e)

saada kooskõlas liidu õigusega juurdepääs vastutava töötleja ja volitatud töötleja kõikidele ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2.   Euroopa Andmekaitseinspektoril on järgmised parandusvolitused:

a)

hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)

teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)

edastada asi arutamiseks asjaomasele vastutavale töötlejale või volitatud töötlejale või vajaduse korral Euroopa Parlamendile, nõukogule ja komisjonile;

d)

anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

e)

anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

f)

anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

g)

kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

h)

anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 18, 19 ja 20 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 19 lõike 2 ja artikli 21 kohaselt avaldatud;

i)

määrata artikli 66 kohaselt trahve, kui liidu institutsioon või asutus ei täida mingit käesoleva lõike punktides d–h ja j osutatud meedet, sõltuvalt iga konkreetse juhtumi asjaoludest;

j)

anda korraldus peatada liikmesriigis või kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3.   Euroopa Andmekaitseinspektoril on järgmised lubavad ja nõuandvad õigused:

a)

nõustada andmesubjekte nende õiguste kasutamisel;

b)

nõustada vastutavat töötlejat kooskõlas artiklis 40 osutatud eelneva konsulteerimise menetlusega ning kooskõlas artikli 41 lõikega 2;

c)

esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi liidu institutsioonidele ja asutustele ning avalikkusele;

d)

kehtestada artikli 29 lõikes 8 ja artikli 48 lõike 2 punktis c osutatud standardsed andmekaitseklauslid;

e)

kinnitada artikli 48 lõike 3 punktis a osutatud lepingutingimused;

f)

kinnitada artikli 48 lõike 3 punktis b osutatud halduskokkulepped;

g)

anda luba töötlemistoiminguteks artikli 40 lõike 4 alusel vastu võetud rakendusaktide kohaselt.

4.   Euroopa Andmekaitseinspektoril on aluslepingutes sätestatud tingimustel õigus edastada asi arutamiseks Euroopa Kohtule ning sekkuda Euroopa Kohtule esitatud hagide arutamisse.

5.   Euroopa Andmekaitseinspektorile käesoleva artikli kohaselt antud volituste kasutamise suhtes kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu õiguses.

Artikkel 59

Vastutava töötleja või volitatud töötleja kohustus vastata süüdistustele

Kui Euroopa Andmekaitseinspektor kasutab artikli 58 lõike 2 punktides a, b ja c sätestatud volitusi, teavitab asjaomane vastutav töötleja või volitatud töötleja Euroopa Andmekaitseinspektorit oma seisukohtadest mõistliku tähtaja jooksul, mille määrab kindlaks Euroopa Andmekaitseinspektor, võttes arvesse iga juhtumi asjaolusid. Vastuses kirjeldatakse ka Euroopa Andmekaitseinspektori märkustega seoses rakendatud meetmeid, kui neid on võetud.

Artikkel 60

Tegevusaruanne

1.   Euroopa Andmekaitseinspektor esitab igal aastal Euroopa Parlamendile, nõukogule ja komisjonile oma tegevuse kohta aruande ning samaaegselt ka avaldab selle.

2.   Euroopa Andmekaitseinspektor edastab lõikes 1 osutatud aruande teistele liidu institutsioonidele ja asutustele, kes võivad avaldada arvamust seoses aruande võimaliku läbivaatamisega Euroopa Parlamendis.

VII PEATÜKK

KOOSTÖÖ JA JÄRJEPIDEVUS

Artikkel 61

Euroopa Andmekaitseinspektori ja riiklike järelevalveasutuste koostöö

Euroopa Andmekaitseinspektor teeb koostööd riiklike järelevalveasutustega ning nõukogu otsuse 2009/917/JSK (19) artikli 25 alusel loodud ühise järelevalveasutusega ulatuses, mis on vajalik nende asutuste ülesannete täitmiseks, eelkõige esitades üksteisele vajalikku teavet, paludes üksteisel kasutada oma volitusi ja vastates üksteise taotlustele.

Artikkel 62

Euroopa Andmekaitseinspektori ja riiklike järelevalveasutuste koordineeritud järelevalve

1.   Kui liidu õigusakt osutab käesolevale artiklile, teevad Euroopa Andmekaitseinspektor ja riiklikud järelevalveasutused – tegutsedes igaüks oma pädevuste piires – oma ülesannete raames aktiivset koostööd, et tagada suuremahuliste IT-süsteemide ja liidu organite ja asutuste tõhus järelevalve.

2.   Tegutsedes igaüks oma pädevuse piires ja oma ülesannete raames, vahetavad nad vastavalt vajadusele asjakohast teavet, abistavad üksteist auditite ja kontrollide tegemisel, analüüsivad käesoleva määruse ja teiste kohaldatavate liidu õigusaktide tõlgendamisel või kohaldamisel tekkivaid raskusi, uurivad sõltumatu järelevalve või andmesubjekti õiguste teostamisega seotud probleeme, koostavad ühtlustatud ettepanekuid probleemide lahendamiseks ja suurendavad teadlikkust andmekaitseõigustest.

3.   Lõikes 2 sätestatud eesmärkidel kohtub Euroopa Andmekaitseinspektor riiklike järelevalveasutustega Euroopa Andmekaitsenõukogu raames vähemalt kaks korda aastas. Selleks võib Euroopa Andmekaitsenõukogu vajaduse korral töötada välja täiendavad töömeetodid.

4.   Euroopa Andmekaitsenõukogu esitab iga kahe aasta tagant Euroopa Parlamendile, nõukogule ja komisjonile koordineeritud järelevalvet käsitleva ühisaruande.

VIII PEATÜKK

ÕIGUSKAITSEVAHENDID, VASTUTUS JA KARISTUSED

Artikkel 63

Õigus esitada Euroopa Andmekaitseinspektorile kaebus

1.   Ilma et see piiraks kohtulike, halduslike või kohtuväliste kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada Euroopa Andmekaitseinspektorile kaebus, kui andmesubjekt leiab, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.

2.   Euroopa Andmekaitseinspektor teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 64 kohasest õiguskaitsevahendi kasutamise võimalusest.

3.   Kui Euroopa Andmekaitseinspektor ei vaata kaebust läbi või ei teavita andmesubjekti kolme kuu jooksul esitatud kaebuse menetlemise käigust või tulemustest, loetakse, et Euroopa Andmekaitseinspektor on teinud kaebuse rahuldamata jätmise otsuse.

Artikkel 64

Õigus tõhusale kohtulikule õiguskaitsevahendile

1.   Kõikide käesoleva määruse sätetega seotud vaidluste, sealhulgas kahjunõuete lahendamine kuulub Euroopa Kohtu pädevusse.

2.   Kaebused Euroopa Andmekaitseinspektori otsuste, sealhulgas artikli 63 lõike 3 kohaste otsuste peale esitatakse Euroopa Kohtule.

3.   Euroopa Kohtul pädevus vaadata läbi artiklis 66 osutatud trahve on piiramatu. Ta võib tühistada, vähendada või suurendada neid trahve artiklis 66 sätestatud piirides.

Artikkel 65

Õigus hüvitisele

Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on aluslepingutes sätestatud tingimuste kohaselt õigus saada liidu institutsioonilt või asutuselt tekitatud kahju eest hüvitist.

Artikkel 66

Trahvid

1.   Euroopa Andmekaitseinspektor võib määrata liidu institutsioonile või asutusele trahvi sõltuvalt konkreetse juhtumi asjaoludest, kui liidu institutsioon või asutus ei suuda täita artikli 58 lõike 2 punktides d–h ja punktis j osutatud Euroopa Andmekaitseinspektori korraldust. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)

rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)

liidu institutsiooni või asutuse poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

c)

liidu institutsiooni või asutuse vastutuse aste, võttes arvesse nende poolt artiklite 27 ja 33 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

d)

liidu institutsiooni või asutuse eelnevad sarnased rikkumised;

e)

Euroopa Andmekaitseinspektoriga tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

f)

rikkumisest mõjutatud isikuandmete liigid;

g)

millisel viisil sai Euroopa Andmekaitseinspektor rikkumisest teada, eelkõige kas liidu institutsioon või asutus teatas rikkumisest ja millisel määral ta seda tegi;

h)

artiklis 58 osutatud meetmete järgimine, kui asjaomase institutsiooni või asutuse suhtes on need samas küsimuses varem võetud. Trahvi määramise menetlus tuleb läbi viia mõistliku aja jooksul vastavalt juhtumi asjaoludele ning võttes arvesse artiklis 69 osutatud asjakohaseid meetmeid ja menetlusi.

2.   Artiklitest 8, 12, 27–35, 39, 40, 43, 44 ja 45 tulenevate liidu institutsiooni või asutuse kohustuste rikkumise suhtes kohaldatakse vastavalt käesoleva artikli lõikele 1 trahve, mille suurus on kuni 25 000 eurot rikkumise kohta ning aastas kokku kuni 250 000 eurot.

3.   Järgmiste sätete rikkumise suhtes liidu institutsiooni või asutuse poolt kohaldatakse vastavalt lõikele 1 trahve, mille suurus on kuni 50 000 eurot rikkumise kohta ja aastas kokku kuni 500 000 eurot:

a)

töötlemise aluspõhimõtted, sealhulgas artiklite 4, 5, 7 ja 10 kohased nõusoleku andmise tingimused;

b)

andmesubjektide õigused artiklite 14–24 alusel;

c)

isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 46–50 alusel.

4.   Kui liidu institutsioon või asutus rikub samade või seotud või jätkuvate isikuandmete töötlemise toimingute puhul mitut käesoleva määruse sätet või käesoleva määruse sama sätet mitu korda, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

5.   Enne otsuse tegemist käesoleva artikli alusel annab Euroopa Andmekaitseinspektor liidu institutsioonile või asutusele, kelle suhtes Euroopa Andmekaitseinspektor on menetluse algatanud, võimaluse olla ära kuulatud küsimustes, mille kohta Euroopa Andmekaitseinspektor on teinud etteheiteid. Euroopa Andmekaitseinspektori otsused toetuvad üksnes sellistele etteheidetele, mille kohta asjaomastel osapooltel on olnud võimalik esitada oma seisukoht. Kaebuste esitajad võtavad menetlusest aktiivselt osa.

6.   Menetluse käigus tagatakse täielikult asjaomaste osapoolte õigus kaitsele. Neil on õigus nõuda juurdepääsu Euroopa Andmekaitseinspektori toimikule tingimusel, et võetakse arvesse üksikisikute ja ettevõtjate õigustatud huvi kaitsta oma isikuandmeid ja ärisaladusi.

7.   Käesoleva artikli alusel määratud trahvidega kogutud summad kantakse liidu üldeelarvesse.

Artikkel 67

Andmesubjektide esindamine

Andmesubjektil on õigus volitada esitama oma nimel Euroopa Andmekaitseinspektorile kaebust ning kasutama tema nimel artiklites 63 ja 64 osutatud õigusi ja õigust saada artiklis 65 osutatud hüvitist mittetulundusliku asutuse, organisatsiooni või ühenduse, mis on nõuetekohaselt asutatud kooskõlas liidu või liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

Artikkel 68

Liidu töötajate kaebused

Iga liidu institutsiooni või asutuse töötaja võib esitada Euroopa Andmekaitseinspektorile kaebuse käesoleva määruse sätete väidetava rikkumise kohta, sealhulgas väljaspool ametlikke kanaleid. Keegi ei tohi kannatada seepärast, et ta on esitanud Euroopa Andmekaitseinspektorile kaebuse määruse sätete väidetava rikkumise kohta.

Artikkel 69

Karistused

Kui liidu ametnik või teenistuja jätab käesolevas määruses sätestatud kohustused tahtlikult või hooletusest täitmata, kohaldatakse asjaomase ametniku või teenistuja suhtes distsiplinaar- või muud menetlust personalieeskirjades sätestatud korras.

IX PEATÜKK

KASUTATAVATE ISIKUANDMETE TÖÖTLEMINE LIIDU ORGANITE JA ASUTUSTE POOLT TEGEVUSTES, MIS JÄÄVAD ELI TOIMIMISE LEPINGU KOLMANDA OSA V JAOTISE 4. JA 5. PEATÜKI KOHALDAMISALASSE

Artikkel 70

Peatüki kohaldamisala

Käesolevat peatükki kohaldatakse ainult kasutatavate isikuandmete töötlemisele liidu organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse, ilma et see piiraks sellistele liidu organitele ja asutustele kohaldatavaid konkreetseid andmekaitse-eeskirju.

Artikkel 71

Kasutatavate isikuandmete töötlemise põhimõtted

1.   Kasutatavate isikuandmete osas tagatakse, et:

a)

andmeid töödeldakse õiguspäraselt ja õiglaselt („seaduslikkus ja õiglus“);

b)

andmeid kogutakse täpselt ja selgelt väljendatud ning õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus („eesmärgipärasus“);

c)

andmed on töötlemise otstarbe seisukohalt piisavad ja asjakohased ega ole ülemäärased („võimalikult väheste andmete kogumine“);

d)

andmed on õiged ja vajaduse korral ajakohastatud; tuleb võtta kõik mõistlikud meetmed, et andmete töötlemise eesmärgi seisukohast ebaõiged isikuandmed viivitamata kustutada või parandada („õigsus“);

e)

andmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik kasutatavate isikuandmete töötlemise eesmärkidel („säilitamispiirang“);

f)

andmeid töödeldakse nii, et on tagatud nende piisav turvalisus, sealhulgas kaitse loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („terviklikkus ja konfidentsiaalsus“).

2.   Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul liidu organi või asutuse asutamist käsitlevas õigusaktis sätestatud eesmärgil kui eesmärk, milleks kasutatavaid isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd

a)

vastutav töötleja on volitatud töötlema selliseid kasutatavaid isikuandmeid sellisel eesmärgil kooskõlas liidu õigusega ning

b)

isikuandmete töötlemine on vastavalt liidu õigusele vajalik ja nimetatud muu eesmärgiga proportsionaalne.

3.   Isikuandmete töötlemine sama või muu vastutava töötleja poolt võib hõlmata avalikes huvides arhiveerimist või teaduslikku, statistilist või ajaloolist kasutamist liidu organi või asutuse asutamist käsitlevas õigusaktis sätestatud eesmärkidel, tingimusel et andmesubjekti õiguste ja vabaduste kaitseks kohaldatakse asjakohaseid kaitsemeetmeid.

4.   Vastutav töötleja vastutab lõigete 1, 2 ja 3 täitmise eest ja on võimeline nende täitmist tõendama.

Artikkel 72

Kasutatavate isikuandmete töötlemise õiguspärasus

1.   Kasutatavate isikuandmete töötlemine on õiguspärane üksnes sellisel juhul ja sel määral, kui see on vajalik teatava ülesande täitmiseks liidu organite ja asutuste tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse, ning tugineb liidu õigusele.

2.   Liidu eriõigusaktides, millega reguleeritakse isikuandmete töötlemist käesoleva peatüki kohaldamisalas, täpsustatakse vähemalt töötlemise eesmärgid, töödeldavad kasutatavad isikuandmed, töötlemise üldised eesmärgid ning tähtajad kasutatavate isikuandmete säilitamiseks või nende edasise säilitamise vajaduse korrapäraseks läbivaatamiseks.

Artikkel 73

Andmesubjektide kategooriad

Kui see on kohaldatav ja võimaluste piires teeb vastutav töötleja selget vahet andmesubjektide eri kategooriate, näiteks liidu organite või asutuste asutamist käsitlevates õigusaktides loetletud kategooriate kasutatavate isikuandmete vahel.

Artikkel 74

Kasutatavate isikuandmete eristamine ja kasutatavate isikuandmete kvaliteedi kontrollimine

1.   Vastutav töötleja eristab võimalikult suures ulatuses faktidel põhinevaid kasutatavaid isikuandmeid isiklikel hinnangutel põhinevatest kasutatavatest isikuandmetest.

2.   Vastutav töötleja võtab kõik mõistlikud meetmed tagamaks, et ebaõigeid, mittetäielikke või aegunud kasutatavaid isikuandmeid ei edastata ega tehta kättesaadavaks. Selleks kontrollib vastutav töötleja – kui see on võimalik ja vajalik – enne kasutatavate isikuandmete edastamist või kättesaadavaks tegemist nende kvaliteeti, näiteks konsulteerides pädeva asutusega, kust andmed pärinevad. Kasutatavate isikuandmete edastamisel lisab vastutav töötleja võimaluse korral vajaliku teabe, mis võimaldab vastuvõtjal hinnata kasutatavate isikuandmete õigsust, täielikkust, usaldusväärsust ja ajakohasust.

3.   Kui ilmneb, et edastatud on ebaõigeid kasutatavaid isikuandmeid või kasutatavaid isikuandmeid on edastatud ebaseaduslikult, teavitatakse vastuvõtjat sellest viivitamata. Sellisel juhul tuleb kasutatavad isikuandmed kooskõlas artikliga 82 parandada, kustutada või nende töötlemist piirata.

Artikkel 75

Töötlemise eritingimused

1.   Kui andmeid edastavale vastutavale töötlejale kohaldatavad liidu õigusaktid näevad ette töötlemise eritingimused, teavitab vastutav töötleja selliste kasutatavate isikuandmete vastuvõtjat nendest tingimustest ja kohustusest neid järgida.

2.   Vastutav töötleja täidab töötlemise eritingimusi, mille isikuandmeid edastav pädev asutus on ette näinud kooskõlas direktiivi (EL) 2016/680 artikli 9 lõigetega 3 ja 4.

Artikkel 76

Kasutatavate isikuandmete eriliikide töötlemine

1.   Selliste kasutatavate isikuandmete töötlemine, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, ning füüsilise isiku kordumatuks tuvastamiseks kasutatavate geneetiliste ja biomeetriliste andmete ja tervist või seksuaalelu või seksuaalset sättumust käsitlevate kasutatavate isikuandmete töötlemine on lubatud üksnes siis, kui see on operatiivsetel eesmärkidel möödapääsmatult vajalik, töötlemine toimub asjaomase liidu organi või asutuse pädevuse piires ning kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid. Füüsiliste isikute diskrimineerimine kõnealuste isikuandmete põhjal on keelatud.

2.   Andmekaitseametnikku teavitatakse põhjendamatu viivituseta käesoleva artikli kohaldamisest.

Artikkel 77

Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs

1.   Keelatud on teha üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevaid otsuseid, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju, välja arvatud juhul, kui see on lubatud vastutava töötleja suhtes kohaldatava liidu õigusega, mis sisaldab piisavaid kaitsemeetmeid andmesubjekti õiguste ja vabaduste tagamiseks vähemalt õigust vastutava töötleja isiklikule sekkumisele.

2.   Käesoleva artikli lõikes 1 osutatud otsused ei tohi põhineda artiklis 76 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui rakendatakse sobivaid meetmeid andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

3.   Profiilianalüüs, mille tulemusel füüsilisi isikuid diskrimineeritakse artiklis 76 osutatud isikuandmete eriliikide alusel, on liidu õiguse kohaselt keelatud.

Artikkel 78

Teavitamine ja andmesubjekti õiguste kasutamise kord

1.   Vastutav töötleja võtab mõistlikke meetmeid, et esitada andmesubjektile artiklis 79 osutatud kogu teave ning teavitada teda seoses artiklitega 80–84 ja 92 isikuandmete töötlemisest, tehes seda kokkuvõtlikul, arusaadaval ja hõlpsasti kättesaadava kujul ning selges ja lihtsas sõnastuses. Nimetatud teave esitatakse asjakohaste vahendite abil, sealhulgas elektrooniliselt. Üldreeglina esitab vastutav töötleja teabe taotlusega samal kujul.

2.   Vastutav töötleja aitab andmesubjektil kasutada tema õigusi vastavalt artiklitele 79–84.

3.   Vastutav töötleja vastab andmesubjektile kirjalikult põhjendamatu viivituseta ja vähemalt kolme kuu jooksul pärast viimaselt taotluse saamist.

4.   Vastutav töötleja esitab artikli 79 kohast teavet ning teavitab artiklite 80–84 ning 92 alusel toimunud suhtlusest või võetud meetmetest tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja keelduda taotluse alusel toimingu tegemisest. Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

5.   Kui vastutaval töötlejal on põhjendatud kahtlused artiklis 80 või 82 osutatud taotlust esitava füüsilise isiku isikusamasuse suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist.

Artikkel 79

Andmesubjektile kättesaadavaks tehtav või antav teave

1.   Vastutav töötleja teeb andmesubjektile kättesaadavaks vähemalt järgmise teabe:

a)

liidu organi või asutuse nimetus ja kontaktandmed;

b)

andmekaitseametniku kontaktandmed;

c)

kasutatavate isikuandmete töötlemise kavandatud eesmärk;

d)

õigus esitada kaebus Euroopa Andmekaitseinspektorile ning viimase kontaktandmed;

e)

õigus taotleda vastutavalt töötlejalt andmesubjekti kasutatavate isikuandmetega tutvumist ning nende parandamist või kustutamist ning kasutatavate isikuandmete töötlemise piiramist.

2.   Lisaks lõikes 1 osutatud teabele annab vastutav töötleja selleks, et andmesubjektil oleks võimalik oma õigusi teostada, talle liidu õiguses ette nähtud erijuhtudel järgmise täiendava teabe:

a)

isikuandmete töötlemise õiguslik alus;

b)

kasutatavate isikuandmete säilitamise tähtaeg või kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;

c)

vajaduse korral kasutatavate isikuandmete vastuvõtjate kategooriad, sealhulgas kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

vajaduse korral lisateave, eriti juhul, kui kasutatavad isikuandmed on kogutud andmesubjekti teadmata.

3.   Vastutav töötleja võib andmesubjektile lõike 2 kohaselt teabe esitamist edasi lükata, piirata või teabe esitamata jätta sellises ulatuses ja selle ajani, mil selline meede on demokraatlikus ühiskonnas asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades vajalik ja proportsionaalne, selleks et:

a)

vältida ametlike või õiguslike päringute, uurimiste või menetluste takistamist;

b)

vältida kuritegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamist;

c)

kaitsta liikmesriikide avalikku julgeolekut;

d)

kaitsta liikmesriikide riiklikku julgeolekut;

e)

kaitsta teiste isikute, näiteks ohvrite ja tunnistajate õigusi ja vabadusi.

Artikkel 80

Andmesubjekti õigus tutvuda andmetega

Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas kõnealune vastutav töötleja töötleb teda käsitlevaid kasutatavaid isikuandmeid või mitte ning juhul, kui seda tehakse, on andmesubjektil õigus tutvuda asjaomaste kasutatavate isikuandmetega ja järgmise teabega:

a)

töötlemise eesmärk ja õiguslik alus;

b)

asjaomaste kasutatavate isikuandmete liigid;

c)

vastuvõtjad või vastuvõtjate kategooriad, kellele kasutatavaid isikuandmeid on avalikustatud, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)

kui võimalik, siis kasutatavate isikuandmete säilitamise kavandatav ajavahemik, või kui see ei ole võimalik, siis selle ajavahemiku määramise kriteeriumid;

e)

õigus taotleda vastutavalt töötlejalt andmesubjekti kasutatavate isikuandmetega tutvumist ning nende parandamist või kustutamist ning kasutatavate isikuandmete töötlemise piiramist;

f)

õigus esitada Euroopa Andmekaitseinspektorile kaebus ja õigus saada Euroopa Andmekaitseinspektori kontaktandmed;

g)

töödeldavate kasutatavate isikuandmete ja nende päritolu käsitleva teabe edastamine.

Artikkel 81

Andmetega tutvumise õiguse piirangud

1.   Vastutav töötleja võib andmesubjekti isikuandmetega tutvumise õigust täielikult või osaliselt piirata sellises ulatuses ja määral, mil selline piiramine on demokraatlikus ühiskonnas asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades vajalik ja proportsionaalne, selleks et:

a)

hoida ära ametlike või õiguslike päringute, uurimiste või menetluste takistamist;

b)

hoida ära süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamist;

c)

kaitsta liikmesriikide avalikku julgeolekut;

d)

kaitsta liikmesriikide riiklikku julgeolekut;

e)

kaitsta teiste isikute õigusi ja vabadusi.

2.   Lõikes 1 osutatud juhtudel teavitab vastutav töötleja andmesubjekti põhjendamatu viivituseta kirjalikult juurdepääsu andmisest keeldumisest või juurdepääsu piiramisest ja keeldumise või piiramise põhjustest. Sellist teavet ei pea andma, kui selle andmine kahjustaks mõnda lõike 1 kohast eesmärki. Vastutav töötleja teavitab andmesubjekti võimalusest esitada kaebus Euroopa andmekaitseinspektorile või pöörduda Euroopa Kohtusse. Vastutav töötleja dokumenteerib otsuse faktilised ja õiguslikud alused. See teave tehakse vastava taotluse korral Euroopa Andmekaitseinspektorile kättesaadavaks.

Artikkel 82

Kasutatavate isikuandmete parandamise või kustutamise ja töötlemise piiramise õigus

1.   Andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged kasutatavad isikuandmed. Võttes arvesse töötlemise eesmärke, on andmesubjektil õigus nõuda mittetäielike kasutatavate isikuandmete täiendamist, sealhulgas täiendava õiendi esitamise teel.

2.   Vastutav töötleja kustutab kasutatavad isikuandmed põhjendamatu viivituseta ja andmesubjektil on õigus nõuda vastutavalt töötlejalt oma kasutatavate isikuandmete kustutamist põhjendamatu viivituseta, kui isikuandmete töötlemisega rikutakse artiklit 71, artikli 72 lõiget 1 või artiklit 76, või kui kasutatavad isikuandmed tuleb kustutada vastutava töötleja õiguslikult siduva kohustuse täitmiseks.

3.   Isikuandmete kustutamise asemel piirab vastutav töötleja nende töötlemist, kui:

a)

andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või

b)

isikuandmeid tuleb säilitada tõendamise eesmärgil.

Juhul kui isikuandmete töötlemine on esimese lõigu punkti a kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne isikuandmete töötlemise piirangu kõrvaldamist.

Töötlemispiirangutega andmeid töödeldakse üksnes sel eesmärgil, mis takistas nende kustutamist.

4.   Vastutav töötleja teavitab andmesubjekti kirjalikult, kui ta keeldub kasutatavate isikuandmete parandamisest või kustutamisest või nende töötlemise piiramisest ning esitab keeldumise põhjused. Vastutav töötleja võib sellise teabe esitamise kohustust täielikult või osaliselt piirata määral, mil selline piirang on demokraatlikus ühiskonnas asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades vajalik ja proportsionaalne, selleks et:

a)

hoida ära ametlike või õiguslike päringute, uurimiste või menetluste takistamist;

b)

hoida ära kuritegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise takistamist;

c)

kaitsta liikmesriikide avalikku julgeolekut;

d)

kaitsta liikmesriikide riiklikku julgeolekut;

e)

kaitsta teiste isikute, näiteks ohvrite ja tunnistajate õigusi ja vabadusi.

Vastutav töötleja teavitab andmesubjekti võimalusest esitada kaebus Euroopa andmekaitseinspektorile või pöörduda Euroopa Kohtusse.

5.   Vastutav töötleja teavitab ebaõigete kasutatavate isikuandmete parandamisest pädevat asutust, kellelt ebaõiged kasutatavad isikuandmed pärinesid.

6.   Juhul kui kasutatavaid isikuandmeid on lõike 1, 2 või 3 kohaselt parandatud, kustutatud või nende töötlemist on piiratud, teavitab vastutav töötleja sellest vastuvõtjaid ning vastuvõtjad peavad nende vastutuse alla kuuluvad kasutatavad isikuandmed parandama või kustutama või piirama nende töötlemist.

Artikkel 83

Õigus juurdepääsule kriminaaluurimises ja -menetluses

Kui kasutatavad isikuandmed pärinevad pädevalt asutuselt, siis – enne otsuse tegemist andmesubjekti õiguse kohta isikuandmetega tutvuda – kontrollivad liidu organid ja asutused koos asjaomase pädeva asutusega, kas need isikuandmed sisalduvad pädeva asutuse liikmesriigi kohtuotsuses, karistusregistris või kriminaaluurimise ja -menetluse käigus töödeldud toimikus. Kui sisalduvad, siis tehakse otsus õiguse kohta isikuandmetega tutvuda asjaomase pädeva asutusega konsulteerides ja tihedat koostööd tehes.

Artikkel 84

Andmesubjekti õiguste teostamine ning kontroll Euroopa Andmekaitseinspektori poolt

1.   Artikli 79 lõikes 3, artiklis 81 ja artikli 82 lõikes 4 osutatud juhtudel võib andmesubjekt teostada oma õigusi ka Euroopa Andmekaitseinspektori kaudu.

2.   Vastutav töötleja teavitab andmesubjekti võimalusest teostada vastavalt lõikele 1 oma õigusi Euroopa Andmekaitseinspektori kaudu.

3.   Lõikes 1 osutatud õiguse kasutamise korral teavitab Euroopa Andmekaitseinspektor andmesubjekti vähemalt sellest, et ta on läbi viinud kõik vajalikud kontrollid või läbivaatuse. Euroopa Andmekaitseinspektor teavitab ühtlasi andmesubjekti tema õigusest pöörduda õiguskaitse saamiseks Euroopa Kohtusse.

Artikkel 85

Isikuandmete lõimitud kaitse ja vaikimisi kaitse

1.   Vastutav töötleja rakendab – võttes sealjuures arvesse teaduse ja tehnoloogia uusimaid saavutusi ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti isikuandmete töötlemisest tulenevaid erineva tõenäosuse ja suurusega ohtusid füüsiliste isikute õigustele ja vabadustele – nii isikuandmete töötlemise vahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, näiteks pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete, näiteks võimalikult väheste andmete kogumise põhimõtte tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse ja tema asutamist käsitleva õigusakti nõudeid ning kaitsta andmesubjektide õigusi.

2.   Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult kasutatavaid isikuandmeid, mis on asjakohased ja vajalikud töötlemise eesmärgi saavutamiseks ega ole ülemäärased. Nimetatud kohustus kehtib kogutud kasutatavate isikuandmete hulga, töötlemise ulatuse, säilitamise aja ja nende kättesaadavuse suhtes. Eelkõige tagatakse selliste meetmetega, et kasutatavaid isikuandmeid ei tehta vaikimisi kättesaadavaks määramata arvule füüsilistele isikutele ilma asjaomase isiku sekkumiseta.

Artikkel 86

Kaasvastutavad töötlejad

1.   Kui kaks või enam vastutavat töötlejat või üks või enam vastutavat töötlejat koos ühe või enama vastutava töötlejaga, kes ei ole liidu institutsioonid või asutused, määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna andmekaitsega seotud kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklis 79 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, mil kaasvastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud kaasvastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppega võib määrata andmesubjektide jaoks kontaktpunkti.

2.   Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutavate töötlejate vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi iga vastutava töötleja suhtes ja vastu.

Artikkel 87

Volitatud töötleja

1.   Kui andmeid töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja vastutava töötleja asutamist käsitlevale õigusaktile ning sealjuures tagatakse andmesubjekti õiguste kaitse.

2.   Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3.   Andmeid töödeldakse lepingu või muu liidu või liikmesriigi õigusakti alusel, mis on volitatud töötlejale vastutava töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, kasutatavate isikuandmete liik ja andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused. Asjaomases lepingus või muus õigusaktis sätestatakse eelkõige, et volitatud töötleja:

a)

tegutseb ainult vastutava töötleja juhiste alusel;

b)

tagab, et kasutatavaid isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane õigusaktist tulenev konfidentsiaalsuskohustus;

c)

aitab vastutaval töötlejal kõigi asjakohaste vahenditega tagada, et järgitakse sätteid andmesubjekti õiguste kohta;

d)

pärast töötlemisega seotud teenuste osutamise lõppu kas kustutab kõik kasutatavad isikuandmed või tagastab need vastutavale töötlejale, sõltuvalt vastutava töötleja soovist, ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu õiguse või liikmesriigi õiguse kohaselt nõutakse kasutatavate isikuandmete säilitamist;

e)

teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik, et tõendada käesolevas artiklis sätestatud kohustuste täitmist;

f)

järgib lõikes 2 ja käesolevas lõikes osutatud tingimusi teise volitatud töötleja kaasamiseks.

4.   Lõikes 3 osutatud leping või siduv õigusakt peab olema kirjalik, sealhulgas elektroonilisel kujul.

5.   Kui volitatud töötleja rikub isikuandmete töötlemise eesmärkide ja vahendite määramisel käesoleva määruse või vastutava töötleja asutamist käsitleva õigusakti sätteid, siis loetakse volitatud töötlejat selle töötlemise suhtes vastutavaks töötlejaks.

Artikkel 88

Logimine

1.   Vastutav töötleja peab logisid kõigi järgmiste töötlemistoimingute kohta automatiseeritud töötlemissüsteemides: kasutatavate isikuandmete kogumine, muutmine, nendele juurdepääs, nendega tutvumine, avalikustamine, sealhulgas edastamine, ühendamine ja kustutamine. Tutvumist ja avalikustamist kajastavad logifailid peavad võimaldama teha kindlaks nimetatud toimingute põhjenduse, kuupäeva ja aja, samuti kasutatavate isikuandmetega tutvunud ja need avalikustanud isiku ning võimaluse korral selliste kasutatavate isikuandmete vastuvõtjate nimed.

2.   Logifaile kasutatakse üksnes kasutatavate isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, kasutatavate isikuandmete terviklikkuse ja turvalisuse tagamiseks ning kriminaalmenetluses. Logifailid kustutatakse kolme aasta pärast, välja arvatud juhul, kui neid vajatakse pideva seire huvides.

3.   Vastutav töötleja teeb kõnealused logifailid kättesaadavaks oma andmekaitseinspektorile ja taotluse korral Euroopa Andmekaitseinspektorile.

Artikkel 89

Andmekaitsealane mõju hindamine

1.   Kui teatavat tüüpi töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate töötlemistoimingute mõju kasutatavate isikuandmete kaitsele.

2.   Lõikes 1 osutatud hindamine hõlmab vähemalt kavandatud töötlemistoimingute üldkirjeldust, andmesubjektide õigusi ja vabadusi ähvardavate ohtude hinnangut, nende ohtude käsitlemiseks kavandatud meetmeid, kaitsemeetmeid, turvameetmeid ja mehhanisme, mis tagavad kasutatavate isikuandmete kaitse ja tõendavad kooskõla andmekaitsenormidega, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

Artikkel 90

Eelnev konsulteerimine Euroopa Andmekaitseinspektoriga

1.   Vastutav töötleja konsulteerib Euroopa Andmekaitseinspektoriga enne, kui ta hakkab töötlema isikuandmeid, mis kantakse uude loodavasse andmete kogumisse, kui:

a)

artikli 89 kohasest andmekaitsealasest mõjuhinnangust nähtub, et töötlemise tulemusena tekiks suur oht, kui vastutav töötleja ei võta selle leevendamiseks meetmeid, või

b)

isikuandmete töötlemise laadiga kaasneb andmesubjekti õigustele ja vabadustele suur oht, eelkõige kui kasutatakse uusi tehnoloogiaid, mehhanisme või menetlusi.

2.   Euroopa Andmekaitseinspektor võib koostada loetelu isikuandmete töötlemise toimingutest, mille suhtes kohaldatakse lõikes 1 sätestatud eelnevat konsulteerimist.

3.   Vastutav töötleja esitab Euroopa Andmekaitseinspektorile artiklis 89 osutatud andmekaitsealase mõjuhinnangu ja taotluse korral ka muu teabe, mille alusel Euroopa Andmekaitseinspektor saab hinnata isikuandmete töötlemise vastavust nõuetele ning eelkõige andmesubjekti kasutatavate isikuandmete kaitset ähvardavaid ohtusid ja nendega seotud kaitsemeetmeid.

4.   Kui Euroopa Andmekaitseinspektor leiab, et käesoleva artikli lõikes 1 osutatud kavandatava isikuandmete töötlemisega rikutaks käesolevat määrust või liidu organi või asutuse asutamist käsitlevat õigusakti, eelkõige juhul, kui vastutav töötleja ei ole riske piisaval määral tuvastanud või leevendanud, annab Euroopa Andmekaitseinspektor hiljemalt kuue nädala jooksul alates konsulteerimistaotluse saamisest vastutavale töötlejale kirjalikult nõu. Seda tähtaega võib pikendada ühe kuu võrra, arvestades kavandatud isikuandmete töötlemise keerukust. Euroopa Andmekaitseinspektor teavitab vastutavat töötlejat tähtaja pikendamisest ühe kuu jooksul alates konsulteerimistaotluse saamisest ning teatab tähtaja pikendamise põhjused.

Artikkel 91

Kasutatavate isikuandmete töötlemise turvalisus

1.   Vastutav töötleja ja volitatud töötleja rakendavad ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, eelkõige seoses kasutatavate isikuandmete eriliikide töötlemisega, võttes seejuures arvesse teaduse ja tehnoloogia uusimaid saavutusi ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohtusid füüsiliste isikute õigustele ja vabadustele.

2.   Vastutav töötleja ja volitatud töötleja rakendavad automatiseeritud andmetöötluse suhtes pärast ohuhindamist meetmeid, mille eesmärk on:

a)

keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll);

b)

hoida ära andmekandjate lugemine, kopeerimine, muutmine või kõrvaldamine vastava loata isikute poolt (andmekandjate kontroll);

c)

hoida ära kasutatavate isikuandmete sisestamine ja säilitatavate kasutatavate isikuandmetega tutvumine, nende muutmine või kustutamine ilma vastava loata (säilitamise kontroll);

d)

hoida ära automatiseeritud andmetöötlussüsteemi andmesidevahendite abil kasutamine volitamata isikute poolt (kasutajate kontroll);

e)

tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs üksnes nendele kasutatavatele isikuandmetele, mida nende juurdepääsuluba hõlmab (juurdepääsu kontroll);

f)

tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on kasutatavaid isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud või millistele asutustele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll);

g)

tagada võimalus hiljem kontrollida ja kindlaks teha, milliseid kasutatavaid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kes need sisestas (sisestamise kontroll);

h)

vältida isikuandmete loata lugemist, kopeerimist, muutmist või kustutamist andmete edastamise või andmekandjate transportimise ajal (veo kontroll);

i)

tagada, et paigaldatud süsteeme oleks võimalik katkestuse korral taastada (taastamine);

j)

tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjusta kasutatavate isikuandmete moonutamist (terviklikkus).

Artikkel 92

Euroopa Andmekaitseinspektori teavitamine isikuandmetega seotud rikkumisest

1.   Isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorile põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui Euroopa Andmekaitseinspektorit teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates viivituse kohta põhjendus.

2.   Lõikes 1 osutatud teates tuleb esitada vähemalt järgmine teave:

a)

kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste kasutatavate isikuandmete kirjete liigid ja ligikaudne arv;

b)

teatada andmekaitseametniku nimi ja kontaktandmed;

c)

kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)

kirjeldada vastutava töötleja poolt võetud või kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

3.   Juhul ja niivõrd, kuivõrd kogu lõikes 2 osutatud teavet ei ole võimalik esitada korraga, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.

4.   Vastutav töötleja dokumenteerib kõik lõikes 1 osutatud isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, mõju ja võetud parandusmeetmed. Need dokumendid peavad võimaldama Euroopa Andmekaitseinspektoril kontrollida käesolevas artiklis sätestatud nõuete täitmist.

5.   Kui kasutatavate isikuandmetega seotud rikkumine puudutab isikuandmeid, mis on edastatud teise liikmesriigi vastutava töötleja poolt või teise liikmesriigi vastutavale töötlejale, edastab vastutav töötleja lõikes 2 osutatud teabe põhjendamatu viivituseta asjaomasele pädevale asutusele.

Artikkel 93

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1.   Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, teavitab vastutav töötleja andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.

2.   Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 92 lõike 2 punktides b, c ja d sätestatud teave ja soovitused.

3.   Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta juhul, kui on täidetud mõni järgmistest tingimustest:

a)

vastutav töötleja on kehtestanud asjakohased tehnoloogilised ja korralduslikud kaitsemeetmed ja neid kohaldati kasutatavate isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad kasutatavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);

b)

vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu teke andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline;

c)

see nõuaks ebaproportsionaalset jõupingutust. Sellisel juhul avaldatakse andmesubjekti teavitamise asemel avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte ühevõrra tulemuslikult.

4.   Kui vastutav töötleja ei ole andmesubjekti isikuandmetega seotud rikkumisest veel teavitanud, võib Euroopa Andmekaitseinspektor pärast selle hindamist, kas isikuandmetega seotud rikkumine võib põhjustada suurt ohtu, seda vastutavalt töötlejalt nõuda või otsustada, et täidetud on üks lõikes 3 osutatud tingimustest.

5.   Artikli 79 lõikes 3 osutatud tingimustel ja alustel võib andmesubjektile käesoleva artikli lõikes 1 osutatud teabe esitada hiljem või piiratud ulatuses või jätta see esitamata.

Artikkel 94

Kasutatavate isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele

1.   Arvestades liidu organi või asutuse asutamist käsitlevas õigusaktis sätestatud piiranguid ja tingimusi, võib vastutav töötleja edastada kasutatavaid isikuandmeid kolmanda riigi asutusele või rahvusvahelisele organisatsioonile, kui see on vajalik vastutava töötleja ülesannete täitmiseks ja ainult juhul, kui on täidetud käesolevas artiklis sätestatud tingimused, nimelt:

a)

komisjon on kooskõlas direktiivi (EL) 2016/680 artikli 36 lõikega 3 võtnud vastu piisavusotsuse, mille kohaselt kolmas riik või territoorium või asjaomase kolmanda riigi andmetöötlussektor või asjaomane rahvusvaheline organisatsioon tagab piisava kaitsetaseme;

b)

kui komisjon ei ole võtnud vastu punkti a kohast kaitse piisavuse otsust, on liidu ja asjaomase kolmanda riigi või rahvusvahelise organisatsiooni vahel ELi toimimise lepingu artikli 218 alusel sõlmitud rahvusvaheline leping, millega nähakse ette piisavad turvameetmed üksikisikute eraelu puutumatuse ning põhiõiguste ja -vabaduste kaitseks;

c)

kui puudub punkti a kohane komisjoni piisavusotsus või punkti b kohane rahvusvaheline leping, on liidu organi või asutuse ja kolmanda riigi vahel sõlmitud koostööleping, mis võimaldab kasutatavate isikuandmete vahetamist enne kõnealuse liidu organi või asutuse asutamist käsitleva õigusakti kohaldamise kuupäeva.

2.   Liidu organite ja asutuste asutamist käsitleva õigusaktiga võib säilitada või kehtestada konkreetsemad sätted kasutatavate isikuandmete rahvusvahelise edastamise tingimuste kohta, eelkõige seoses isikuandmete edastamisega piisavate kaitsemeetmete ja konkreetsetes olukordades kasutatavate erandite alusel.

3.   Vastutav töötleja avaldab oma veebisaidil loetelu lõike 1 punktis a osutatud kaitse piisavuse otsustest, lepingutest, halduskokkulepetest ja teistest vahenditest, mis seonduvad isikuandmete edastamisega vastavalt lõikele 1, ja ajakohastab seda.

4.   Vastutav töötleja dokumenteerib üksikasjalikult kõik käesoleva artikli kohased edastamised.

Artikkel 95

Kohtuliku uurimise ja kriminaalmenetluse saladus

ELi toimimise lepingu kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse jäävaid tegevusi teostavate liidu organite ja asutuste asutamist käsitlevad õigusaktid võivad kohustada Euroopa Andmekaitseinspektorit võtma oma järelevalvevolituste täitmisel võimalikult suurel määral arvesse kohtuliku uurimise ja kriminaalmenetluse saladust kooskõlas liidu või liikmesriigi õigusega.

X PEATÜKK

RAKENDUSAKTID

Artikkel 96

Komiteemenetlus

1.   Komisjoni abistab komitee, mis on loodud määruse (EL) 2016/679 artikli 93 alusel. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2.   Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

XI PEATÜKK

LÄBIVAATAMINE

Artikkel 97

Läbivaatamisklausel

Hiljemalt 30. aprillil 2022 ja seejärel iga viie aasta järel esitab komisjon Euroopa Parlamendile ja nõukogule käesoleva määruse kohaldamise aruande ja lisab sellele vajaduse korral asjakohased seadusandlikud ettepanekud.

Artikkel 98

Liidu õigusaktide läbivaatamine

1.   Hiljemalt 30. aprilliks 2022 vaatab komisjon läbi aluslepingute alusel vastu võetud õigusaktid, mis reguleerivad kasutatavate isikuandmete töötlemist liidu organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse, et

a)

hinnata nende vastavust direktiivile (EL) 2016/680 ja käesoleva määruse IX peatükile;

b)

teha kindlaks võimalikud lahknevused, mis võivad takistada kasutatavate isikuandmete vahetamist nendes valdkondades tegutsevate liidu organite ja asutuste ning pädevate asutuste vahel, ning

c)

teha kindlaks võimalikud lahknevused, mis võivad põhjustada liidu andmekaitset käsitlevate õigusaktide õiguslikku killustatust.

2.   Selleks et tagada füüsiliste isikute ühetaoline ja järjepidev kaitse isikuandmete töötlemisel, võib komisjon esitada asjakohaseid seadusandlikke ettepanekuid, eelkõige käesoleva määruse IX peatüki kohaldamiseks Europoli ja Euroopa Prokuratuuri suhtes, ja vajaduse korral käesoleva määruse IX peatüki muutmiseks.

XII PEATÜKK

LÕPPSÄTTED

Artikkel 99

Määruse (EÜ) nr 45/2001 ja otsuse nr 1247/2002/EÜ kehtetuks tunnistamine

Määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ tunnistatakse kehtetuks alates 11. detsembrist 2018. Viiteid kehtetuks tunnistatud määrusele ja otsusele käsitatakse viidetena käesolevale määrusele.

Artikkel 100

Üleminekumeetmed

1.   Käesolev määrus ei mõjuta Euroopa Parlamendi ja nõukogu otsust 2014/886/EL (20) ja Euroopa Andmekaitseinspektori ning inspektori asetäitja praegust ametiaega.

2.   Inspektori asetäitja on töötasu, lisatasude, vanaduspensioni ja muude töötasu asemel antavate soodustuste määramisel võrdne Euroopa Kohtu kohtusekretäriga.

3.   Käesoleva määruse artikli 53 lõikeid 4, 5 ja 7 ning artikleid 55 ja 56 kohaldatakse praeguse inspektori asetäitja suhtes kuni tema ametiaja lõpuni.

4.   Inspektori asetäitja aitab Euroopa Andmekaitseinspektorit kõigi tema ülesannete täitmisel ning asendab Euroopa Andmekaitseinspektorit, kui ta ei ole kohal või ei saa neid ülesandeid täita, kuni praeguse inspektori asetäitja ametiaja lõppemiseni.

Artikkel 101

Jõustumine ja kohaldamine

1.   Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2.   Isikuandmete töötlemisele Eurojustis kohaldatakse käesolevat määrust alates 12. detsembri 2019.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Strasbourg, 23. oktoober 2018

Euroopa Parlamendi nimel

president

A. TAJANI

Nõukogu nimel

eesistuja

K. EDTSTADLER


(1)  ELT C 288, 31.8.2017, lk 107.

(2)  Euroopa Parlamendi 13. septembri 2018. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 11. oktoobri 2018. aasta otsus.

(3)  Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(4)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(5)  Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89).

(6)  Nõukogu 5. aprilli 1993. aasta direktiiv 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT L 95, 21.4.1993, lk 29).

(7)  Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määrus (EÜ) nr 1338/2008 rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta (ELT L 354, 31.12.2008, lk 70).

(8)  Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(9)  Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43).

(10)  EÜT L 56, 4.3.1968, lk 1.

(11)  Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(12)  Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta määrus (EÜ) nr 223/2009 Euroopa statistika kohta ning Euroopa Parlamendi ja nõukogu määruse (EÜ, Euratom) nr 1101/2008 (konfidentsiaalsete statistiliste andmete Euroopa Ühenduste Statistikaametile edastamise kohta), nõukogu määruse (EÜ) nr 322/97 (ühenduse statistika kohta) ja nõukogu otsuse 89/382/EMÜ, Euratom (millega luuakse Euroopa ühenduste statistikaprogrammi komitee) kehtetuks tunnistamise kohta (ELT L 87, 31.3.2009, lk 164).

(13)  Euroopa Parlamendi, nõukogu ja komisjoni 1. juuli 2002. aasta otsus nr 1247/2002/EÜ Euroopa andmekaitseinspektori ülesannete täitmist reguleerivate määruste ja üldtingimuste kohta (EÜT L 183, 12.7.2002, lk 1).

(14)  ELT C 164, 24.5.2017, lk 2.

(15)  Euroopa Parlamendi ja nõukogu 11. mai 2016. aasta määrus (EL) 2016/794, mis käsitleb Euroopa Liidu Õiguskaitsekoostöö Ametit (Europol) ning millega asendatakse ja tunnistatakse kehtetuks nõukogu otsused 2009/371/JSK, 2009/934/JSK, 2009/935/JSK, 2009/936/JSK ja 2009/968/JSK (ELT L 135, 24.5.2016, lk 53).

(16)  Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1).

(17)  Euroopa Parlamendi ja nõukogu 9. septembri 2015. aasta direktiiv (EL) 2015/1535, millega nähakse ette tehnilistest eeskirjadest ning infoühiskonna teenuste eeskirjadest teatamise kord (ELT L 241, 17.9.2015, lk 1).

(18)  Komisjoni 20. juuni 2008. aasta direktiiv 2008/63/EÜ konkurentsi kohta telekommunikatsioonivõrgu lõppseadmete turgudel (ELT L 162, 21.6.2008, lk 20).

(19)  Nõukogu 30. novembri 2009. aasta otsus 2009/917/JSK infotehnoloogia tollialase kasutamise kohta (ELT L 323, 10.12.2009, lk 20).

(20)  Euroopa Parlamendi ja nõukogu 4. detsembri 2014 otsus 2014/886/EL, mis käsitleb Euroopa andmekaitseinspektori ja inspektori asetäitja ametisse nimetamist (ELT L 351, 9.12.2014, lk 9).


21.11.2018   

ET

Euroopa Liidu Teataja

L 295/99


EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2018/1726,

14. november 2018,

mis käsitleb Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Liidu Ametit (eu-LISA) ning millega muudetakse määrust (EÜ) nr 1987/2006 ja nõukogu otsust 2007/533/JSK ja tunnistatakse kehtetuks määrus (EL) nr 1077/2011

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 74, artikli 77 lõike 2 punkte a ja b, artikli 78 lõike 2 punkti e, artikli 79 lõike 2 punkti c, artikli 82 lõike 1 punkti d, artikli 85 lõiget 1, artikli 87 lõike 2 punkti a ja artikli 88 lõiget 2,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

toimides seadusandliku tavamenetluse kohaselt (1)

ning arvestades järgmist:

(1)

Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 1987/2006 (2) ja nõukogu otsusega 2007/533/JSK (3) loodi Schengeni infosüsteem (SIS II). Määruses (EÜ) nr 1987/2006 ja otsuses 2007/533/JSK on sätestatud, et üleminekuperioodil vastutab SIS II kesksüsteemi (keskne SIS II) operatiivjuhtimise eest komisjon. Pärast üleminekuperioodi vastutab keskse SIS II ja sidetaristu teatavate aspektide operatiivjuhtimise eest korraldusasutus.

(2)

Nõukogu otsusega 2004/512/EÜ (4) loodi viisainfosüsteem (VIS). Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 767/2008 (5) on sätestatud, et üleminekuperioodil vastutab VISi operatiivjuhtimise eest komisjon. Pärast üleminekuperioodi vastutab VISi kesksüsteemi, riiklike liideste ja sidetaristu teatavate aspektide operatiivjuhtimise eest korraldusasutus.

(3)

Nõukogu määrusega (EÜ) nr 2725/2000 (6) loodi Euroopa sõrmejälgede võrdlemise süsteem (Eurodac). Nõukogu määruses (EÜ) nr 407/2002 (7) sätestati vajalikud rakendusnormid. Nimetatud õigusaktid tunnistati kehtetuks ja asendati alates 20. juulist 2015 Euroopa Parlamendi ja nõukogu määrusega (EL) nr 603/2013 (8).

(4)

Euroopa Parlamendi ja nõukogu määrusega (EL) nr 1077/2011 (9) asutati Euroopa amet vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimiseks (mida nimetatakse tavaliselt eu-LISAks), et tagada SISi, VISi ja Eurodaci ning nende sidetaristute teatavate aspektide operatiivjuhtimine ning võimaluse korral, kui selleks võetakse vastu eraldi liidu õigusaktid, ka muude vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste infotehnoloogiasüsteemide operatiivjuhtimine. Määrust (EL) nr 1077/2011 muudeti määrusega (EL) nr 603/2013, et võtta arvesse Eurodacis tehtud muudatusi.

(5)

Kuna korraldusasutus pidi olema õiguslikult, halduslikult ja majanduslikult autonoomne, loodi see reguleeriva ametina („amet“), kes on juriidiline isik. Vastavalt kokkulepetele on ameti asukoht Eestis Tallinnas. Kuna aga SIS II ja VISi tehnilise arendamise ja nende operatiivjuhtimise ettevalmistamisega tegeleti juba Prantsusmaal Strasbourgis ja nimetatud süsteemide varuasukoht oli sisse seatud Austrias Sankt Johann im Pongaus, mis oli kooskõlas ka asjaomaste liidu õigusaktide alusel otsustatud SIS II ja VISi süsteemide asukohtadega, peaks see jääma nii ka edaspidi. Neis kahes asukohas tuleks ka edaspidi vastavalt täita Eurodaci operatiivjuhtimisega seotud ülesandeid ning seada sisse Eurodaci varuasukoht. Neis kahes kohas peaks toimuma ka muude vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide tehniline arendamine ja operatiivjuhtimine, ning seal peaks paiknema sellise süsteemi varuasukoht, mille abil tagada suuremahulise IT-süsteemi käideldavus konkreetse suuremahulise IT-süsteemi tõrke korral. Et varuasukohta võimalikult maksimaalselt ära kasutada, võiks seda samuti kasutada süsteemide samaaegseks käitamiseks, tingimusel et ühe või mitme süsteemi tõrke korral suudetakse tagada nende töö. Võttes arvesse eu-LISA käitatavate süsteemide tähtsust turvalisuse ja pideva käideldavuse seisukohast ning süsteemide üliolulisi ülesandeid, peaks ameti haldusnõukogul („haldusnõukogu“) olema juhul, kui olemasolevate tehniliste keskuste andmemajutussuutlikkus ei ole enam piisav ning kui see on põhjendatud sõltumatu mõjuhinnangu ja kulude-tulude analüüsi alusel, võimalik teha ettepanek rajada teine eraldi tehniline keskus süsteemide majutamiseks vastavalt vajadusele kas Strasbourgis või Sankt Johann im Pongaus või mõlemas kohas. Enne kui haldusnõukogu teatab Euroopa Parlamendile ja nõukogule („eelarvepädevad institutsioonid“) oma kavatsusest rakendada mõnd kinnisvaraga seotud projekti, peaks ta konsulteerima komisjoniga ja võtma arvesse komisjoni seisukohti.

(6)

Pärast seda, kui amet oli 1. detsembril 2012 tööd alustanud, võttis ta üle VISiga seotud ülesanded, mis olid määrusega (EÜ) nr 767/2008 ja nõukogu otsusega 2008/633/JSK (10) antud korraldusasutusele. 2013. aasta aprillis võttis amet üle SIS II-ga seotud ülesanded, mis olid määrusega (EÜ) nr 1987/2006 ja otsusega 2007/533/JHA antud korraldusasutusele, pärast SIS II kasutuselevõttu ning 2013. aasta juunis võttis ta üle Eurodaciga seotud ülesanded, mis olid määrustega (EÜ) nr 2725/2000 ja (EÜ) nr 407/2002 antud komisjonile.

(7)

Esmakordselt hinnati ameti tööd 2015.–2016. aastal sõltumatu välishinnangu põhjal ning jõuti järeldusele, et amet tagab tulemuslikult suuremahuliste IT-süsteemide operatiivjuhtimise ja muude talle antud ülesannete täitmise, kuid ühtlasi tuleks teha mitmeid muudatusi määruses (EL) nr 1077/2011, näiteks tuleks anda ametile üle sidetaristuga seotud ülesanded, mis on seni olnud komisjoni täita. Välishinnangule toetudes võttis komisjon arvesse poliitilist ja õiguslikku arengut ja muutunud asjaolusid ning tegi eeskätt 29. juuni 2017. aasta aruandes Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Ameti (eu-LISA) toimimise kohta („hindamisaruanne“) ettepaneku laiendada ameti volitusi selliselt, et amet saaks täita ülesandeid, mis tulenevad uute süsteemide ameti vastutusalasse viimist käsitlevate seadusandlike ettepanekute vastuvõtmisest kaasseadusandjate poolt, ning ülesandeid, mida on nimetatud komisjoni 6. aprilli 2016. aasta teatises „Piirivalve ja julgeoleku tugevamad ja arukamad infosüsteemid“, kõrgetasemelise infosüsteemide ja koostalitlusvõime eksperdirühma 11. mai 2017. aasta lõpparuandes ja komisjoni 16. mai 2017. aasta teatises „Seitsmes eduaruanne tulemusliku ja tegeliku julgeolekuliidu poole liikumise kohta“, tingimusel et vajaduse korral võetakse selleks vastu vastavasisulised liidu õigusaktid. Eelkõige tuleks ametile anda ülesanne töötada välja lahendusi seoses koostalitlusvõimega, mis on 6. aprilli 2016. aasta teatises esitatud määratluse järgi infosüsteemide suutlikkus vahetada andmeid ja võimaldada teabe jagamist. Vastavalt vajadusele tuleks koostalitlusvõimet puudutavas tegevuses juhinduda komisjoni 23. märtsi 2017. aasta teatisest „Euroopa koostalitlusvõime raamistik. Rakendusstrateegia“. Kõnealuse teatise 2. lisas on sätestatud üldised juhised, soovitused ja parimad tavad, mille abil saavutada koostalitlusvõime või vähemalt luua keskkond, mis võimaldaks saavutada Euroopa avalike teenuste arendamisel, rakendamisel ja haldamisel parema koostalitlusvõime.

(8)

Ühtlasi leiti hindamisaruandes, et ameti volitusi tuleks laiendada, et ta saaks anda liikmesriikidele nõu riigisiseste süsteemide ühendamise kohta ameti hallatavate suuremahuliste IT-süsteemide kesksüsteemidega („süsteemid“) ja pakkuda liikmesriikidele taotluse korral vajaduspõhist abi ja tuge, samuti pakkuda komisjoni talitustele vajaduspõhist abi ja tuge uute süsteemidega seotud tehnilistes küsimustes.

(9)

Ametile tuleks teha ülesandeks tegeleda Euroopa Parlamendi ja nõukogu määrusega (EL) 2017/2226 (11) loodud riiki sisenemise ja riigist lahkumise süsteemi (EES, Entry/Exit System) ettevalmistamise, arendamise ja operatiivjuhtimisega.

(10)

Ametile tuleks samuti teha ülesandeks komisjoni määruse (EÜ) nr 1560/2003 (12) artikliga 18 loodud eraldi turvalise elektroonilise sidekanali DubliNet operatiivjuhtimine; seda kanalit peaksid liikmesriikide varjupaiga valdkonna pädevad asutused kasutama teabe vahetamiseks rahvusvahelise kaitse taotlejate kohta.

(11)

Ametile tuleks teha ülesandeks ka Euroopa Parlamendi ja nõukogu määrusega (EL) 2018/1240 (13) loodud Euroopa reisiinfo ja -lubade süsteemi (ETIAS) ettevalmistamine, arendamine ja operatiivjuhtimine.

(12)

Ameti põhieesmärk peaks ka edaspidi olema SIS II, VISi, Eurodaci, EESi, DubliNeti, ETIASe ning vastavasisulise otsuse tegemise korral ka muude vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimise ülesannete täitmine. Amet peaks vastutama talle antud mittenormatiivset laadi ülesannete täitmiseks vajalike tehniliste meetmete eest. Need kohustused ei tohiks mõjutada normatiivseid ülesandeid, mis on antud üksnes komisjonile või komisjonile ja teda abistavale komiteele liidu õigusaktidega, mis reguleerivad kõnealuseid süsteeme.

(13)

Amet peaks olema võimeline ellu viima tehnilisi lahendusi, et täita ameti vastutusalas olevaid süsteeme reguleerivates liidu õigusaktides sätestatud käideldavusnõudeid, järgides samal ajal täielikult kõnealuste õigusaktide erisätteid, mis on seotud vastava süsteemi tehnilise ülesehitusega. Kui need tehnilised lahendused nõuavad süsteemi dubleerimist või süsteemi komponentide dubleerimist, tuleks läbi viia sõltumatu mõjuhindamine ja kulude-tulude analüüs ning haldusnõukogu peaks pärast komisjoniga konsulteerimist vastu võtma otsuse. Mõjuhindamises tuleks analüüsida ka selliste tehniliste lahenduste väljatöötamisega seotud olemasolevate tehniliste keskuste andmemajutussuutlikkusega seotud vajadusi ning olemasolevas töökorralduses peituvaid võimalikke riske.

(14)

Komisjonil ei ole enam põhjust tegeleda teatavate ülesannetega, mis on seotud süsteemide sidetaristuga, ja seepärast tuleks need ülesanded anda üle ametile, et muuta sidetaristu haldamine sidusamaks. Kui tegemist on süsteemidega, mis kasutavad Euroopa Parlamendi ja nõukogu otsusega nr 922/2009/EÜ (14) loodud ning Euroopa Parlamendi ja nõukogu otsusega (EL) 2015/2240 (15) jätkatud ISA programmi osana võrguteenuse projekti TESTA-ng (Trans-European Services for Telematics between Administrations-new generation ehk uue põlvkonna haldusasutustevahelised üleeuroopalised telemaatikateenused) pakutavat turvalist sidetaristut EuroDomain, peaks nende eelarve täitmise, soetamise, uuenduste ja lepinguliste küsimustega ka edaspidi tegelema komisjon.

(15)

Ametil peaks olema võimalik anda sidetaristu tarnimise, paigaldamise, hoolduse ja seire alaste ülesannete täitmine üle kolmandast isikust eraõiguslikele üksustele või asutustele vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL, Euratom) 2018/1046 (16). Ameti käsutuses peaksid olema piisavad eelarvevahendid ja töötajad, et piirata võimalikult suures ulatuses vajadust oma ülesandeid ja kohustusi allhanke korras kolmandast isikust eraõiguslikele üksustele või asutustele edasi anda.

(16)

Amet peaks ka edaspidi täitma SIS II, VISi ja Eurodaci ning muude tulevikus talle ülesandeks tehtavate suuremahuliste IT-süsteemide tehnilise kasutamise alal väljaõppega seotud ülesandeid.

(17)

Selleks, et aidata kaasa liidu tõenduspõhise rände- ja julgeolekupoliitika kujundamisele ja süsteemide nõuetekohase toimimise jälgimisele, peaks amet koguma ja avaldama statistikat ning koostama statistilisi aruandeid ja tegema need kättesaadavaks asjaomastele asutustele kooskõlas kõnealuseid süsteeme reguleerivate liidu õigusaktidega, näiteks eesmärgiga jälgida nõukogu määruse (EL) nr 1053/2013 (17) rakendamist ning selleks, et analüüsida riske ja hinnata haavatavust kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/1624 (18).

(18)

Peaks olema võimalik panna ametile vastutus uute suuremahuliste IT-süsteemide ettevalmistamise, arendamise ja operatiivjuhtimise eest vastavalt Euroopa Liidu toimimise lepingu (ELi toimimise leping) artiklitele 67–89. Selliste süsteemide võimalikud näited võiksid olla kesksüsteem nende liikmesriikide väljaselgitamiseks, kellel on teavet kolmandate riikide kodanike ja kodakondsuseta isikute suhtes tehtud süüdimõistvate kohtuotsuste kohta, et täiendada ja toetada Euroopa karistusregistrite infosüsteemi (ECRIS-TCN-süsteem) või arvutipõhine süsteem tsiviil- ja kriminaalmenetluse andmete piiriüleseks vahetamiseks (e-CODEX). Sellised süsteemid tuleks ametile siiski ülesandeks teha üksnes hilisemate eraldi liidu õigusaktidega, millele eelneb mõjuhinnang.

(19)

Teadusuuringute vallas tuleks ameti volitusi laiendada, et amet saaks teha tulevikku vaatavalt ettepanekuid tema vastutuse alla jäävate süsteemide asjakohaste ja vajalike tehniliste muudatuste kohta. Lisaks süsteemide operatiivjuhtimise seisukohast oluliste teadusuuringute seirele võiks amet anda oma panuse ka Euroopa Liidu teadusuuringute ja innovatsiooni raamprogrammi asjaomaste osade rakendamisse, kui komisjon delegeerib ametile asjaomased õigused. Amet peaks sellise seire kohta andma vähemalt üks kord aastas teavet Euroopa Parlamendile, nõukogule ja isikuandmete töötlemise korral ka Euroopa Andmekaitseinspektorile.

(20)

Komisjonil peaks olema võimalik panna ametile vastutus selliste eksperimentaalsete katseprojektide korraldamise eest, mille eesmärk on kindlaks teha meetme teostatavus ja kasulikkus ja mida võib ellu viia ilma alusaktita kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL, Euratom) 2018/1046. Peale selle peaks komisjonil olema võimalik anda ametile eelarve täitmise ülesanded kontseptsioonitõenduste puhul, mida rahastatakse Euroopa Parlamendi ja nõukogu määruses (EL) nr 515/2014 (19) sätestatud välispiiride ja viisade rahastamisvahendist vastavalt määrusele (EL, Euratom) 2018/1046, olles sellest eelnevalt teavitanud Euroopa Parlamenti. Samuti peaks ametil olema võimalik kavandada ja teha testimistoiminguid rangelt käesoleva määruse ja muude liidu õigusaktidega reguleeritud küsimustes, mis hõlmavad süsteemide väljatöötamist, loomist, käitamist ja kasutamist, nagu virtualiseerimiskontseptsioonide testimine. Kui ametile tehakse ülesandeks katseprojekti korraldamine, peaks ta pöörama erilist tähelepanu Euroopa Liidu infohaldusstrateegiale.

(21)

Amet peaks andma liikmesriikidele nende taotluse korral nõu selliste riigisiseste süsteemide kesksüsteemidega ühendamise kohta, mis on ette nähtud neid süsteeme reguleerivates liidu õigusaktides.

(22)

Samuti peaks amet pakkuma liikmesriikidele nende taotluse korral vajaduspõhist tuge käesolevas määruses sätestatud korras erakorraliste julgeoleku või rändega seotud probleemide või vajaduste korral. Eelkõige peaks liikmesriik saama taotleda operatiiv- ja tehnilist tuge ning sellele tugineda, kui ta seisab oma välispiiridel mõnel alal silmitsi spetsiifilise ja ebaproportsionaalse rändesurvega, mida iseloomustab suur rändajate sissevool. Esmase vastuvõtu piirkondades peaksid sellist tuge pakkuma asjaomaste liidu ametite ekspertidest moodustatud rändehalduse tugirühmad. Kui sellisel juhul vajatakse süsteemidega seotud küsimustes ameti abi, peaks asjaomane liikmesriik edastama vastava taotluse komisjonile, kes peaks pärast hinnangu andmist, et selline abi on reaalselt põhjendatud, edastama abitaotluse viivitamata ametile. Amet peaks kõnealustest taotlustest teavitama haldusnõukogu. Komisjon peaks jälgima ka seda, kas amet vastab õigeks ajaks taotlusele saada vajaduspõhist tuge. Ameti iga-aastases tegevusaruandes tuleks üksikasjalikult välja tuua, mida on amet teinud selleks, et pakkuda liikmesriikidele vajaduspõhist tuge, ning märkida sellega kaasnenud kulud.

(23)

Ühtlasi peaks amet taotluse korral toetama komisjoni talitusi olemasolevate või uute süsteemidega seotud tehnilistes küsimustes, eeskätt selles osas, mis puudutab ameti ülesandeks tehtavaid suuremahulisi IT-süsteeme käsitlevate uute ettepanekute väljatöötamist.

(24)

Liikmesriikide rühmal peaks olema võimalik teha ametile ülesandeks ühise IT-komponendi arendamine, juhtimine ja majutamine, et aidata neil rakendada vabadusel, turvalisusel ja õigusel rajaneva ala detsentraliseeritud IT-süsteeme käsitlevatest liidu õigusaktidest tulenevate kohustuste tehnilisi aspekte. See ei tohiks piirata nimetatud liikmesriikidele kohaldatavatest liidu õigusaktidest tulenevaid kohustusi, eelkõige seoses nende süsteemide ülesehitusega. Selleks peaks olema vajalik komisjoni eelnev nõusolek ja haldusnõukogu positiivne otsus, see peaks kajastuma delegeerimislepingus asjaomaste liikmesriikide ja ameti vahel ning seda peaks täielikult rahastama asjaomased liikmesriigid. Amet peaks teavitama Euroopa Parlamenti ja nõukogu heakskiidetud delegeerimislepingust ja selle muudatustest. Teistel liikmesriikidel peaks olema võimalik osaleda sellistes ühistes IT-lahendustes tingimusel, et see võimalus nähakse ette delegeerimislepingus ja selles tehakse vajalikud muudatused. See ülesanne ei tohiks kahjulikult mõjutada süsteemide operatiivjuhtimist ameti poolt.

(25)

Asjaolu, et vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimine tehakse ülesandeks ametile, ei tohiks mõjutada nende süsteemide suhtes kehtivaid erinorme. Eelkõige kohaldatakse täies ulatuses erinorme, mis reguleerivad iga sellise süsteemi eesmärki, juurdepääsuõigusi, turvameetmeid ja täiendavaid andmekaitsenõudeid.

(26)

Ameti toimimise tulemuslikuks jälgimiseks peaksid liikmesriigid ja komisjon olema esindatud haldusnõukogus. Haldusnõukogule tuleks anda vajalikud volitused eelkõige iga-aastase tööprogrammi vastuvõtmiseks, ameti eelarvega seotud ülesannete täitmiseks, ameti suhtes kohaldatavate finantsreeglite vastuvõtmiseks ja sellise korra kehtestamiseks, mille alusel tegevdirektor võtab vastu ameti operatiivülesannetega seotud otsused. Haldusnõukogu peaks neid ülesandeid täitma tõhusalt ja läbipaistvalt. Pärast seda, kui komisjon on korraldanud asjakohase valikumenetluse ning on toimunud esitatud kandidaatide kuulamine Euroopa Parlamendi pädevas komisjonis või komisjonides, peaks haldusnõukogu ametisse nimetama ka tegevdirektori.

(27)

Arvestades asjaolu et ametile ülesandeks tehtavate suuremahuliste IT-süsteemide arv 2020. aastaks tunduvalt suureneb ning et ameti ülesandeid oluliselt täiendatakse, suurendatakse vastavalt kuni 2020. aastani oluliselt ka ameti töötajate arvu. Seetõttu tuleks luua ameti tegevdirektori asetäitja ametikoht, võttes arvesse ka asjaolu, et süsteemide arendamise ja operatiivjuhtimisega seotud ülesanded nõuavad kõrgendatud ja eraldi tähelepanu vajavat järelevalvet ning et ameti peakorter ja tehnilised keskused asuvad kolmes eri liikmesriigis. Tegevdirektori asetäitja peaks ametisse nimetama haldusnõukogu.

(28)

Ametit tuleks juhtida ja amet peaks tegutsema, võttes arvesse liidu detsentraliseeritud asutusi käsitleva ühise lähenemisviisi põhimõtteid, mille võtsid 19. juulil 2012 vastu Euroopa Parlament, nõukogu ja komisjon.

(29)

SIS II puhul tuleks Euroopa Liidu Õiguskaitsekoostöö Ametile (Europol) ja Euroopa Õigusalase Koostöö Üksusele (Eurojust), kellel on otsuse 2007/533/JSK kohaldamisel SIS II sisestatud andmetele juurdepääsu õigus ja õigus SIS II sisestatud andmeid vahetult otsida, anda haldusnõukogu koosolekutel vaatleja staatus, kui päevakorras on otsuse 2007/533/JSK kohaldamisega seotud küsimused. Euroopa Piiri- ja Rannikuvalve Ametil, kellel on määruse (EL) 2016/1624 kohaldamisel juurdepääsuõigus SIS II-le ja õigus selles otsinguid teha, peaks olema haldusnõukogu koosolekutel vaatleja staatus, kui päevakorras on nimetatud määruse kohaldamisega seotud küsimused. Europolil, Eurojustil ning Euroopa Piiri- ja Rannikuvalve Ametil peaks igaühel olema võimalik nimetada oma esindaja käesoleva määruse alusel loodud SIS II nõuanderühma.

(30)

VISi puhul peaks Europolil olema haldusnõukogu koosolekutel vaatleja staatus ka juhul, kui päevakorras on otsuse 2008/633/JSK kohaldamisega seotud küsimused. Europolil peaks olema võimalik nimetada esindaja käesoleva määruse alusel loodud VISi nõuanderühma.

(31)

Eurodaci puhul peaks Europolil olema haldusnõukogu koosolekutel vaatleja staatus, kui päevakorras on küsimused, mis on seotud määruse (EL) nr 603/2013 kohaldamisega. Europolil peaks olema võimalik nimetada esindaja käesoleva määruse alusel loodud Eurodaci nõuanderühma.

(32)

EESi puhul peaks Europolil olema haldusnõukogu koosolekutel vaatleja staatus, kui päevakorras on määrusega (EL) 2017/2226 seotud küsimused.

(33)

ETIASe puhul peaks Europolil olema haldusnõukogu koosolekutel vaatleja staatus, kui päevakorras on määrusega (EL) 2018/1240 seotud küsimused. Kui päevakorras on ETIASt puudutav küsimus, mis on seotud nimetatud määruse kohaldamisega, peaks haldusnõukogu koosolekul olema vaatleja staatus ka Euroopa Piiri- ja Rannikuvalve Ametil. Europolil ning Euroopa Piiri- ja Rannikuvalve Ametil peaks olema võimalik nimetada oma esindaja käesoleva määruse alusel loodud EESi-ETIASe nõuanderühma.

(34)

Liikmesriikidel peaks olema õigus haldusnõukogus hääletada suuremahulise IT-süsteemi küsimuses, kui neile on liidu õiguse alusel siduv mõni sama süsteemi väljatöötamist, loomist, käitamist ja kasutamist reguleeriv liidu õigusakt. Kui Taani otsustab Euroopa Liidu lepingule (ELi leping) ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artikli 4 alusel rakendada mõne suuremahulise IT-süsteemi väljatöötamist, loomist, käitamist ja kasutamist reguleerivat liidu õigusakti oma riigisiseses õiguses, peaks ka Taanil olema õigus sama süsteemiga seotud küsimustes hääletada.

(35)

Liikmesriigid peaksid nimetama suuremahulise IT-süsteemi nõuanderühma liikme, kui nende suhtes on liidu õiguse alusel siduv mõni sama süsteemi väljatöötamist, loomist, käitamist ja kasutamist reguleeriv õigusakt. Kui Taani otsustab protokolli nr 22 artikli 4 alusel rakendada mõne suuremahulise IT-süsteemi väljatöötamist, loomist, käitamist ja kasutamist reguleerivat liidu õigusakti oma riigisiseses õiguses, peaks ka Taani nimetama sama suuremahulise IT-süsteemi nõuanderühma liikme. Vajaduse korral peaksid nõuanderühmad tegema omavahel koostööd.

(36)

Ameti täieliku iseseisvuse ja sõltumatuse tagamiseks ning talle käesoleva määrusega seatud eesmärkide ja antud ülesannete nõuetekohaseks täitmiseks peaks ametil olema piisav ja autonoomne eelarve, mille tulu saadakse liidu üldeelarvest. Ameti rahastamine peaks toimuma vastavalt Euroopa Parlamendi ja nõukogu kokkuleppele, nagu on sätestatud Euroopa Parlamendi, nõukogu ja komisjoni vahelise eelarvedistsipliini, eelarvealast koostööd ning usaldusväärset finantsjuhtimist käsitleva 2. detsembri 2013. aasta institutsioonidevahelise kokkuleppe (20) punktis 31. Kohaldada tuleks liidu eelarvemenetlust ja eelarve täitmisele heakskiidu andmise menetlust. Raamatupidamisarvestust ning selle aluseks olevate tehingute seaduslikkust ja korrektsust peaks auditeerima kontrollikoda.

(37)

Oma eesmärkide ja ülesannete täitmisel peaks ametil olema lubatud teha koostööd liidu institutsioonide, organite ja asutustega, eeskätt nendega, kes tegutsevad vabadusel, turvalisusel ja õigusel rajaneval alal, käesoleva määrusega ning süsteemide väljatöötamist, loomist, käitamist ja kasutamist reguleerivate liidu õigusaktidega hõlmatud küsimustes, liidu õiguse ja põhimõtete kohaselt kokku lepitud töökorra ja igaühe vastava pädevuse raames. Kui see on liidu õigusaktiga ette nähtud, peaks ametil olema lubatud teha koostööd ka rahvusvaheliste organisatsioonide ja muude asjaomaste üksustega ning ta peaks saama sel eesmärgil kokku leppida töökorrad. Nimetatud töökorrad peaks komisjon eelnevalt heaks kiitma ja haldusnõukogu peaks nendele andma loa. Samuti peaks amet võtma arvesse Euroopa Paarlamendi ja nõukogu määrusega (EL) nr 526/2013 (21) loodud Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) võrgu- ja infoturbealaseid soovitusi ning võtma vajaduse korral soovitustest tulenevaid meetmeid.

(38)

Süsteemide väljatöötamist ja operatiivjuhtimist tagades peaks amet järgima Euroopa ja rahvusvahelisi standardeid, võttes arvesse kõrgeimaid kutsenõudeid, eelkõige Euroopa Liidu infohaldusstrateegiat.

(39)

Ametis toimuva isikuandmete töötlemise suhtes tuleks kohaldada Euroopa Parlamendi ja nõukogu määrust (EL) 2018/1725, (22) ilma et see piiraks sellistes liidu õigusaktides sätestatud andmekaitsenormide kohaldamist, mis reguleerivad süsteemide väljatöötamist, loomist, käitamist ja kasutamist ja mis peaksid olema kooskõlas määrusega (EL) 2018/1725. Turvalisuse tagamiseks ning määrust (EL) 2018/1725 ja süsteeme reguleerivaid liidu õigusakte rikkuva töötlemise vältimiseks peaks amet hindama töötlemisega kaasnevaid riske ja rakendama asjaomaste riskide maandamiseks meetmeid, näiteks krüpteerimist. Võttes arvesse tehnika taset ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada asjakohane turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks riskile ja kaitstavate isikuandmete laadile. Andmeturberiski hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid riske, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju. Euroopa Andmekaitseinspektoril peaks olema õigus saada ametilt juurdepääs kogu teabele, mis on vajalik tema poolt tehtavateks uurimisteks. Vastavalt Euroopa Parlamendi ja nõukogu määrusele (EÜ) nr 45/2001 (23) konsulteeris komisjon Euroopa Andmekaitseinspektoriga, kes esitas oma arvamuse 10. oktoobril 2017.

(40)

Ameti läbipaistva toimimise tagamiseks tuleks ameti suhtes kohaldada Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 1049/2001 (24). Amet peaks olema oma tegevuses võimalikult läbipaistev, ilma et see ohustaks tema tegevuse eesmärgi saavutamist. Amet peaks avalikustama teabe kogu oma tegevuse kohta. Samuti peaks ta tagama, et üldsus ja kõik huvitatud isikud saavad tema töö kohta kiiresti teavet.

(41)

Ameti tegevust peaks vastavalt ELi toimimise lepingu artiklile 228 kontrollima Euroopa Ombudsman.

(42)

Ameti suhtes tuleks kohaldada Euroopa Parlamendi ja nõukogu määrust (EL, Euratom) nr 883/2013 (25) ning amet peaks ühinema Euroopa Parlamendi, Euroopa Liidu Nõukogu ja Euroopa Ühenduste Komisjoni 25. mai 1999. aasta institutsioonidevahelise kokkuleppega, mis käsitleb Euroopa Pettustevastase Ameti (OLAF) sisejuurdlust (26).

(43)

Ameti suhtes tuleks kohaldada nõukogu määrust (EL) 2017/1939, (27) mis käsitleb Euroopa Prokuratuuri asutamist.

(44)

Selleks et tagada tööhõivetingimuste avatus ja läbipaistvus ning töötajate võrdne kohtlemine, tuleks ameti töötajate ja tegevdirektori ning tegevdirektori asetäitja suhtes kohaldada Euroopa Liidu ametnike personalieeskirju („ametnike personalieeskirjad“) ja Euroopa Liidu muude teenistujate teenistustingimusi („muude teenistujate teenistustingimused“), mis on sätestatud määruses (EMÜ, Euratom, ESTÜ) nr 259/68 (28) (edaspidi koos „personalieeskirjad“), sealhulgas ametisaladuse hoidmise nõudeid või muid samaväärseid konfidentsiaalsuskohustusi.

(45)

Amet on liidu asutatud asutus määruse (EL, Euratom) 2018/1046 tähenduses ja peaks sellest tulenevalt vastu võtma oma finantsreeglid.

(46)

Ameti suhtes tuleks kohaldada komisjoni delegeeritud määrust (EL) nr 1271/2013 (29).

(47)

Käesoleva määrusega asutatud amet asendab määrusega (EL) nr 1077/2011 asutatud Euroopa ameti vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimiseks ning on selle õigusjärglane. Seega peaks see amet olema õigusjärglane kõikide lepingute, kohustuste ja varade osas, mille määrusega (EL) nr 1077/2011 asutatud Euroopa amet vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimiseks on sõlminud, mis temal lasuvad või mis on tema omandatud. Käesolev määrus ei tohiks mõjutada määrusega (EL) nr 1077/2011 asutatud ameti sõlmitud lepingute, töökordade ja vastastikuse mõistmise memorandumite õigusjõudu, ilma et see piiraks neis käesoleva määrusega nõutavate muudatuste tegemist.

(48)

Selleks et ametil oleks võimalik jätkata määrusega (EL) nr 1077/2011 asutatud Euroopa ameti vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimiseks ülesannete täitmist parimal võimalikul viisil, tuleks kehtestada üleminekumeetmed, eelkõige seoses haldusnõukogu, nõuanderühmade, tegevdirektori ja haldusnõukogu vastu võetud sise-eeskirjadega.

(49)

Käesoleva määruse eesmärk on muuta ja täiendada määruse (EL) nr 1077/2011 sätteid. Kuna käesoleva määrusega tehtavad muudatused on arvukad ja sisulised, tuleks määrus (EL) nr 1077/2011 selguse huvides täielikult asendada liikmesriikide puhul, kelle jaoks on käesolev määrus siduv. Käesoleva määrusega asutatud amet peaks asendama ning võtma üle määrusega (EL) nr 1077/2011 asutatud ameti ülesanded ning seetõttu tuleks kõnealune määrus kehtetuks tunnistada.

(50)

Kuna käesoleva määruse eesmärke, nimelt vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimise ja vajaduse korral nende arendamise eest vastutava ameti loomist Euroopa Liidu tasandil, ei suuda liikmesriigid piisavalt saavutada, küll aga saab neid meetme ulatuse ja mõju tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(51)

Protokolli nr 22 artiklite 1 ja 2 kohaselt ei osale Taani käesoleva määruse vastuvõtmisel ning see ei ole tema suhtes siduv ega kohaldatav. Arvestades, et käesolev määrus põhineb SIS II, VISi, EESi ja ETIASe osas Schengeni acquis’l, otsustab Taani kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast nõukogu otsuse tegemist käesoleva määruse üle, kas ta rakendab seda oma õiguses. Kooskõlas Euroopa Ühenduse ja Taani Kuningriigi vahel sõlmitud lepingu (mis käsitleb kriteeriumide ja mehhanismide kehtestamist selle riigi määramiseks, kes vastutab Taanis või mõnes teises Euroopa Liidu liikmesriigis esitatud varjupaigataotluse läbivaatamise eest, ning sõrmejälgede võrdlemise Eurodac-süsteemi kehtestamist Dublini konventsiooni (30) tõhusa kohaldamise eesmärgil) artikliga 3 peab Taani teavitama komisjoni sellest, kas ta rakendab kõnealuse määruse sisu osas, mis on seotud Eurodaci ja DubliNetiga.

(52)

Ühendkuningriik osaleb käesolevas määruses ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 19 (Euroopa Liidu raamistikku integreeritud Schengeni acquis’ kohta) artikli 5 lõike 1 ning nõukogu otsuse 2000/365/EÜ (31) artikli 8 lõike 2 kohaselt niivõrd, kui käesoleva määruse sätted puudutavad SIS II otsuse 2007/533/JSK kohaldamisala ulatuses. Käesolev määrus kujutab endast nende Schengeni acquis’ sätete edasiarendamist, milles Ühendkuningriik ei osale vastavalt nõukogu otsusele 2000/365/EÜ niivõrd, kui käesoleva määruse sätted puudutavad SIS II (määruse (EÜ) nr 1987/2006 kohaldamisala ulatuses) ning VISi, EESi ja ETIASt; vastavalt protokolli nr 19 artiklile 4 taotles Ühendkuningriik nõukogu eesistujale 19. juulil 2018 saadetud kirjas luba osaleda käesolevas määruses. Nõukogu otsuse (EL) 2018/1600 (32) artikliga 1 anti Ühendkuningriigile luba osaleda käesolevas määruses. Eurodaci ja DubliNetti puudutavate käesoleva määruse sätete osas teatas Ühendkuningriik nõukogu eesistujale 23. oktoobril 2017 saadetud kirjas oma soovist osaleda vastavalt ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artiklile 3 käesoleva määruse vastuvõtmisel ja kohaldamisel. Seega osaleb Ühendkuningriik käesoleva määruse vastuvõtmisel ning see on tema suhtes siduv ja kohaldatav.

(53)

Iirimaa võiks põhimõtteliselt osaleda käesolevas määruses protokolli nr 19 artikli 5 lõike 1 ning nõukogu otsuse 2002/192/EÜ (33) artikli 6 lõike 2 kohaselt niivõrd, kui käesoleva määruse sätted puudutavad SIS II otsuse 2007/533/JSK kohaldamisala piires. Käesolev määrus kujutab endast nende Schengeni acquis’ sätete edasiarendamist, milles Iirimaa ei osale vastavalt nõukogu otsusele 2002/192/EÜ niivõrd, kui käesoleva määruse sätted puudutavad SIS II (määruse (EÜ) nr 1987/2006 kohaldamisala piires) ning VISi, EESi ja ETIASt; Iirimaa ei ole vastavalt protokolli nr 19 artiklile 4 taotlenud luba osaleda käesoleva määruse vastuvõtmises. Seepärast ei osale Iirimaa käesoleva määruse vastuvõtmisel ning see ei ole tema jaoks siduv ega kohaldatav selles osas, millega võetavad meetmed arendavad edasi Schengeni acquis’ sätteid, mis puudutavad SIS II määruse (EÜ) nr 1987/2006 kohaldamisala ulatuses, VISi, EESi ja ETIASt. Protokolli nr 21 artiklite 1 ja 2 ning artikli 4a lõike 1 kohaselt ei osale Iirimaa käesoleva määruse vastuvõtmisel ning see ei ole tema suhtes siduv ega kohaldatav Eurodaci ja DubliNetti puudutavate käesoleva määruse sätete osas. Kuna sellistel asjaoludel ei ole võimalik tagada, et käesolev määrus kohalduks ELi toimimise lepingu artikli 288 kohaselt Iirimaal tervikuna, ei osale Iirimaa, ilma et see piiraks Iirimaa õigusi protokollide nr 19 ja nr 21 alusel, käesoleva määruse vastuvõtmisel ning see ei ole tema suhtes siduv ega kohaldatav

(54)

Islandi ja Norra puhul kujutab käesolev määrus endast SIS II ning VISi, EESi ja ETIASt puudutavas osas nende Schengeni acquis’ sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahelise lepingu (viimase kahe riigi osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja edasiarendamises) (34) tähenduses, mis kuuluvad nõukogu otsuse 1999/437/EÜ (35) artikli 1 punktides A, B ja G osutatud valdkonda. Eurodaci ja DubliNeti puhul on käesoleva määruse näol tegemist uue meetmega Euroopa Ühenduse ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (mis käsitleb kriteeriumide ja mehhanismide kehtestamist selle riigi määramiseks, kes vastutab mõnes liikmesriigis või Islandil või Norras esitatud varjupaigataotluse läbivaatamise eest) (36) tähenduses. Seega peaksid Islandi Vabariigi ja Norra Kuningriigi delegatsioonid osalema ameti haldusnõukogus, kui need riigid otsustavad käesolevat määrust oma riigisiseses õiguses rakendada. Selleks et määrata kindlaks edasine üksikasjalik kord, mis võimaldab Islandi Vabariigil ja Norra Kuningriigil ameti tegevuses osaleda, tuleks liidul ja nimetatud riikidel sõlmida täiendav kokkulepe.

(55)

Šveitsi puhul kujutab käesolev määrus endast SIS II ning VISi, EESi ja ETIASt puudutavas osas nende Schengeni acquis’ sätete arendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ sätete rakendamise, kohaldamise ja edasiarendamisega) (37) tähenduses, mis kuuluvad nõukogu otsuse 1999/437/EÜ artikli 1 punktides A, B ja G osutatud valdkonda, kusjuures nimetatud otsuse vastavaid punkte tõlgendatakse koostoimes nõukogu otsuse 2008/146/EÜ (38) artikliga 3. Eurodaci ja DubliNeti puhul on käesoleva määruse näol tegemist uue Eurodaci puudutava meetmega Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (liikmesriigis või Šveitsis esitatud varjupaigataotluse läbivaatamise eest vastutava riigi määramise kriteeriumide ja mehhanismide kohta) (39) tähenduses. Seega peaks Šveitsi Konföderatsiooni delegatsioon osalema ameti haldusnõukogus, kui Šveits otsustab käesolevat määrust oma riigisiseses õiguses rakendada. Selleks et määrata kindlaks edasine üksikasjalik kord, mis võimaldab Šveitsi Konföderatsioonil ameti tegevuses osaleda, tuleks liidul ja Šveitsi Konföderatsioonil sõlmida täiendav kokkulepe.

(56)

Liechtensteini puhul kujutab käesolev määrus endast SIS II ning VISi, EESi ja ETIASt puudutavas osas nende Schengeni acquis’ sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) (40) tähenduses, mis kuuluvad nõukogu otsuse 1999/437/EÜ artikli 1 punktides A, B ja G osutatud valdkonda, kusjuures nimetatud otsuse vastavaid punkte tõlgendatakse koostoimes nõukogu otsuse 2011/350/EL (41) artikliga 3.

Eurodaci ja DubliNeti puhul on käesoleva määruse näol tegemist uue meetmega Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (Liechtensteini Vürstiriigi ühinemise kohta Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga, mis käsitleb liikmesriigis või Šveitsis esitatud varjupaigataotluse läbivaatamise eest vastutava riigi määratlemise kriteeriume ja mehhanisme) (42) tähenduses. Seega peaks Liechtensteini Vürstiriigi delegatsioon osalema ameti haldusnõukogus, kui Liechtenstein otsustab käesolevat määrust oma riigisiseses õiguskorras rakendada. Selleks et määrata kindlaks edasine üksikasjalik kord, mis võimaldab Liechtensteini Vürstiriigil ameti tegevuses osaleda, tuleks liidul ja Liechtensteini Vürstiriigil sõlmida täiendav kokkulepe,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

REGULEERIMISESE JA EESMÄRGID

Artikkel 1

Reguleerimisese

1.   Asutatakse Vabadusel, Turvalisusel ja Õigusel Rajaneva Ala Suuremahuliste IT-süsteemide Operatiivjuhtimise Euroopa Liidu Amet („amet“).

2.   Käesoleva määrusega asutatud amet asendab määrusega (EL) nr 1077/2011 asutatud Euroopa ameti vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide operatiivjuhtimiseks ning on selle õigusjärglane.

3.   Amet vastutab Schengeni infosüsteemi (SIS II), viisainfosüsteemi (VIS) ja Eurodaci operatiivjuhtimise eest.

4.   Amet vastutab riiki sisenemise ja riigist lahkumise süsteemi (EES), DubliNeti ning ELi reisiinfo ja -lubade süsteemi (ETIAS) ettevalmistamise, arendamise ja operatiivjuhtimise eest.

5.   Ametile võib panna vastutuse käesoleva artikli lõigetes 3 ja 4 nimetamata vabadusel, turvalisusel ja õigusel rajaneva ala suuremahuliste IT-süsteemide, sealhulgas olemasolevate süsteemide ettevalmistamise, arendamise ja operatiivjuhtimise eest üksnes juhul, kui see on sätestatud ELi toimimise lepingu artiklitel 67–89 põhinevates, neid süsteeme reguleerivates asjakohastes liidu õigusaktides, võttes vastavalt vajadusele arvesse käesoleva määruse artiklis 14 osutatud teaduse arengut ning käesoleva määruse artiklis 15 osutatud katseprojektide ja kontseptsioonitõenduste tulemusi.

6.   Operatiivjuhtimine hõlmab kõiki suuremahuliste IT-süsteemide käigushoidmiseks vajalikke ülesandeid vastavalt iga kõnealuse suuremahulise IT-süsteemi suhtes kohaldatavatele erisätetele, sealhulgas vastutust nende kasutatava sidetaristu eest. Kõnealused suuremahulised IT-süsteemid ei vaheta andmeid ega võimalda teabe ja teadmiste vahetamist, kui see ei ole ette nähtud konkreetse liidu õigusaktiga.

7.   Lisaks vastutab amet järgmiste ülesannete eest:

a)

andmete kvaliteedi tagamine vastavalt artiklile 12;

b)

koostalitlusvõime jaoks vajalike meetmete väljatöötamine vastavalt artiklile 13;

c)

teadusuuringute tegemine vastavalt artiklile 14;

d)

katseprojektide, kontseptsioonitõenduste ja testide tegemine vastavalt artiklile 15 ning

e)

liikmesriikide ja komisjoni toetamine vastavalt artiklile 16.

Artikkel 2

Eesmärgid

Ilma et see piiraks komisjoni ja liikmesriikide kohustusi, mis tulenevad suuremahulisi IT-süsteeme reguleerivatest liidu õigusaktidest, tagab amet:

a)

suuremahuliste IT-süsteemide arendamise, kasutades selliste süsteemide tõhusaks arendamiseks piisavat projektijuhtimisstruktuuri;

b)

suuremahuliste IT-süsteemide tulemusliku, turvalise ja pideva käitamise;

c)

suuremahuliste IT-süsteemide tõhusa ja finantsasjades vastutustundliku juhtimise;

d)

suuremahuliste IT-süsteemide kasutajatele pakutava teenuse piisavalt hea kvaliteedi;

e)

pideva ja katkematu teenuse osutamise;

f)

heal tasemel andmekaitse vastavalt liidu andmekaitseõigusele, sealhulgas iga suuremahulise IT-süsteemi suhtes kehtivatele erisätetele;

g)

piisava andmeturbe ja füüsilise julgeoleku taseme vastavalt kohaldatavatele õigusnormidele, sealhulgas iga suuremahulise IT-süsteemi suhtes kehtivatele erisätetele.

II PEATÜKK

AMETI ÜLESANDED

Artikkel 3

SIS II-ga seotud ülesanded

Ametil on seoses SIS II-ga järgmised ülesanded:

a)

korraldusasutusele määrusega (EÜ) nr 1987/2006 ja otsusega 2007/533/JSK antud ülesanded ning

b)

ülesanded, mis on seotud eelkõige SIRENE büroo (SIRENE – riiklike üksuste täiendava teabe taotlus) töötajate SIS II tehnilise kasutamise alase väljaõppega, ja ülesanded, mis on seotud SIS II tehniliste aspektide alase väljaõppega, mida pakutakse ekspertidele Schengeni hindamise raames.

Artikkel 4

VISiga seotud ülesanded

Ametil on seoses VISiga järgmised ülesanded:

a)

korraldusasutusele määrusega (EÜ) nr 767/2008 ja otsusega 2008/633/JSK antud ülesanded ning

b)

VISi tehnilise kasutamise alase väljaõppega seotud ülesanded ja ülesanded, mis on seotud VISi tehniliste aspektide alase väljaõppega, mida pakutakse ekspertidele Schengeni hindamise raames.

Artikkel 5

Eurodaciga seotud ülesanded

Ametil on seoses Eurodaciga järgmised ülesanded:

a)

ametile määrusega (EL) nr 603/2013 antud ülesanded ning

b)

Eurodaci tehnilise kasutamise alase väljaõppega seotud ülesanded.

Artikkel 6

EESiga seotud ülesanded

Ametil on seoses EESiga järgmised ülesanded:

a)

ametile määrusega (EL) 2017/2226 antud ülesanded ning

b)

EESi tehnilise kasutamise alase väljaõppega seotud ülesanded ja ülesanded, mis on seotud EESi tehniliste aspektide alase väljaõppega, mida pakutakse ekspertidele Schengeni hindamise raames.

Artikkel 7

ETIASega seotud ülesanded

Ametil on seoses ETIASega järgmised ülesanded:

a)

ametile määrusega (EL) 2018/1240 antud ülesanded ning

b)

ETIASe tehnilise kasutamise alase väljaõppega seotud ülesanded ja ülesanded, mis on seotud ETIASe tehniliste aspektide alase väljaõppega, mida pakutakse ekspertidele Schengeni hindamise raames.

Artikkel 8

DubliNetiga seotud ülesanded

Ametil on seoses DubliNetiga järgmised ülesanded:

a)

määruse (EÜ) nr 1560/2003 artikli 18 alusel Euroopa Parlamendi ja nõukogu määruse (EL) nr 604/2013 (43) artiklite 31, 32 ja 34 kohaldamiseks loodud liikmesriikide ametiasutuste vahelise eraldi turvalise elektroonilise teabeedastusvahendi DubliNet operatiivjuhtimine ning

b)

DubliNeti tehnilise kasutamise alase väljaõppega seotud ülesanded.

Artikkel 9

Muude suuremahuliste IT-süsteemide ettevalmistamise, arendamise ja operatiivjuhtimisega seotud ülesanded

Kui ametile on tehtud ülesandeks artikli 1 lõikes 5 osutatud muude suuremahuliste IT-süsteemide ettevalmistamine, arendamine ja operatiivjuhtimine, täidab amet asjaomast süsteemi reguleeriva liidu õigusakti kohaselt talle antud ülesandeid ja vajaduse korral ka nende süsteemide tehnilise kasutamise alase väljaõppega seotud ülesandeid.

Artikkel 10

Tehnilised lahendused, mille rakendamiseks on vaja eritingimusi

Kui süsteeme reguleerivate liidu õigusaktide kohaselt on nõutav, et amet tagaks süsteemide toimimise ööpäev läbi seitse päeva nädalas, ja ilma et see piiraks nende liidu õigusaktide kohaldamist, rakendab amet nende nõuete täitmiseks tehnilised lahendused. Kui tehnilised lahendused nõuavad süsteemi dubleerimist või süsteemi komponentide dubleerimist, kasutatakse neid üksnes pärast ameti tellitud sõltumatu mõjuhindamise ja kulude-tulude analüüsi tegemist ning pärast konsulteerimist komisjoniga ja heakskiitva otsuse saamist haldusnõukogult. Mõjuhindamise käigus analüüsitakse ka selliste tehniliste lahenduste väljatöötamisega seotud olemasolevate tehniliste keskuste andmemajutussuutlikkusega seotud olemasolevaid ja tulevasi vajadusi ning olemasoleva töökorralduse võimalikke riske.

Artikkel 11

Sidetaristuga seotud ülesanded

1.   Amet täidab kõiki süsteemide sidetaristutega seotud ülesandeid, mis on talle antud süsteeme reguleerivate liidu õigusaktidega; erandiks on süsteemid, mille sidetaristuna kasutatakse EuroDomaini. Nende süsteemide puhul, mille sidetaristuna kasutatakse EuroDomaini, vastutab komisjon eelarve täitmise, soetamise, uuenduste ja lepinguliste küsimuste eest. EuroDomaini kasutavaid süsteeme reguleerivate liidu õigusaktide kohaselt peavad amet ja komisjon omavahel jagama sidetaristuga, sealhulgas operatiivjuhtimise ja turvalisusega seotud ülesandeid. Nende ülesannete omavahelise kooskõla tagamiseks lepitakse ameti ja komisjoni vahel kokku toimivas töökorras, mis kajastub vastastikuse mõistmise memorandumis.

2.   Sidetaristut hallatakse ja kontrollitakse viisil, mis kaitseb seda ohtude eest ning tagab sidetaristu ja süsteemide, sealhulgas sidetaristu kaudu edastatavate andmete turvalisuse.

3.   Amet võtab asjakohased meetmed, sealhulgas kehtestab turbekavad, muu hulgas selleks, et hoida eelkõige asjakohase krüpteerimistehnika abil ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate transportimise ajal. Kogu sidetaristus ringlev süsteemiga seotud operatiivteave peab olema krüpteeritud.

4.   Sidetaristu tarnimise, paigaldamise, hoolduse ja seire alased ülesanded võib üle anda kolmandast isikust eraõiguslikele üksustele või asutustele vastavalt määrusele (EL, Euratom) 2018/1046. Selliseid ülesandeid täidetakse ameti vastutusel ja tema range järelevalve all.

Esimeses lõigus osutatud ülesandeid täites on kõikidele kolmandast isikust eraõiguslikele üksustele ja asutustele, sealhulgas võrguteenuse pakkujale, siduvad lõikes 3 osutatud turvameetmed ning neil ei tohi olla ükskõik mil viisil juurdepääsu süsteemides säilitatavatele või sidetaristute kaudu edastatavatele operatiivandmetele ega SIS II-ga seotud SIRENE andmevahetusele.

5.   Krüpteerimisvõtmete haldamine jääb ameti pädevusse ning seda ei saa teha ülesandeks kolmandast isikust eraõiguslikule üksusele. See ei mõjuta SIS II, VISi ja Eurodaci sidetaristuid käsitlevaid olemasolevaid lepinguid.

Artikkel 12

Andmete kvaliteet

Ilma et see piiraks liikmesriikide vastutust süsteemidesse sisestatud andmete eest, teeb amet oma nõuanderühmi tihedalt kaasates koos komisjoniga tööd selle nimel, et kõigi asjaomaste süsteemide jaoks loodaks automaatsed andmete kvaliteedi kontrollimise mehhanismid ja ühtsed andmete kvaliteedi näitajad ning töötataks välja üksnes anonüümseid andmeid sisaldav aruandluse ja statistika keskhoidla, tuginedes süsteemide väljatöötamist, loomist, käitamist ja kasutamist reguleerivate liidu õigusaktide erisätetele.

Artikkel 13

Koostalitlusvõime

Kui suuremahuliste IT-süsteemide koostalitlusvõime on sätestatud liidu õigusaktis, töötab amet välja koostalitlusvõime tagamiseks vajalikud meetmed.

Artikkel 14

Teadusuuringute jälgimine

1.   Amet jälgib teadusuuringuid, mis on olulised SIS II, VISi, Eurodaci, EESi, ETIASe, DubliNeti ja muude artikli 1 lõikes 5 osutatud suuremahuliste IT-süsteemide operatiivjuhtimise jaoks.

2.   Amet võib anda oma panuse Euroopa Liidu teadusuuringute ja innovatsiooni raamprogrammi töösse selles osas, mis puudutab vabadusel, turvalisusel ja õigusel rajaneva ala suuremahulisi IT-süsteeme. Sel eesmärgil on ametil järgmised ülesanded, kui komisjon on talle delegeerinud asjaomased õigused:

a)

programmi elluviimise mõne etapi haldamine ja eriprojektide käigus mõne faasi juhtimine komisjoni vastu võetud asjaomaste tööprogrammide alusel;

b)

eelarve täitmise ning tulude ja kulude aktide vastuvõtmine ning kõigi programmi juhtimiseks vajalike toimingute tegemine ja

c)

programmi elluviimise toetamine.

3.   Amet teavitab Euroopa Parlamenti, nõukogu, komisjoni ja isikuandmete töötlemist puudutavate küsimuste korral ka Euroopa Andmekaitseinspektorit regulaarselt ja vähemalt üks kord aastas käesolevas artiklis osutatud arengust, ilma et see piiraks lõikes 2 osutatud Euroopa Liidu teadusuuringute ja innovatsiooni raamprogrammi osade rakendamisega seotud aruandlusnõudeid.

Artikkel 15

Katseprojektid, kontseptsioonitõendused ja testimine

1.   Kui komisjon on esitanud konkreetse ja täpse taotluse ning teavitanud Euroopa Parlamenti ja nõukogu taotluse esitamisest vähemalt kolm kuud ette ja kui haldusnõukogu on teinud heakskiitva otsuse, võib ametile teha vastavalt käesoleva määruse artikli 19 lõike 1 punktile u ja delegeerimislepingu alusel ülesandeks määruse (EL, Euratom) 2018/1046 artikli 58 lõike 2 punktis a osutatud katseprojektide elluviimise suuremahuliste IT-süsteemide arendamiseks või operatiivjuhtimiseks ELi toimimise lepingu artiklite 67–89 kohaselt kooskõlas määruse (EL, Euratom) 2018/1046 artikli 62 lõike 1 punktiga c.

Amet teavitab Euroopa Parlamenti, nõukogu ja isikuandmete töötlemist puudutavate küsimuste korral ka Euroopa Andmekaitseinspektorit regulaarselt esimeses lõigus osutatud katseprojektide edenemisest.

2.   Määruse (EL, Euratom) 2018/1046 artikli 58 lõike 2 punktis a osutatud katseprojektide assigneeringud, mida komisjon taotleb lõike 1 alusel, kantakse eelarvesse mitte rohkem kui kaheks järjestikuseks eelarveaastaks.

3.   Komisjoni või nõukogu taotluse korral pärast Euroopa Parlamendi teavitamist ja pärast haldusnõukogu heakskiitvat otsust võidakse ametile delegeerimislepingu alusel anda eelarve täitmisega seotud ülesanded kontseptsioonitõenduste puhul, mida rahastatakse määrusega (EL) nr 515/2014 loodud välispiiride ja viisade rahastamisvahendist vastavalt määruse (EL, Euratom) 2018/1046 artikli 62 lõike 1 punktile c.

4.   Kui haldusnõukogu on teinud heakskiitva otsuse, võib amet käesoleva määruse ning süsteemide väljatöötamist, loomist, käitamist ja kasutamist reguleerivate liidu õigusaktidega hõlmatud küsimustes kavandada ja teha testimistoiminguid.

Artikkel 16

Liikmesriikide ja komisjoni toetamine

1.   Iga liikmesriik võib taotleda ametilt nõu seoses oma riiklike süsteemide ühendamisega ameti poolt hallatavate suuremahuliste IT-süsteemide kesksüsteemidega.

2.   Liikmesriik võib esitada taotluse vajaduspõhise toe saamiseks komisjonile, kes, tuginedes oma positiivsele hinnangule, et selline tugi on vajalik erakorraliste julgeoleku või rändega seotud vajaduste tõttu, edastab selle viivitamata ametile. Amet teavitab taotluse esitamisest haldusnõukogu. Liikmesriiki teavitatakse juhul, kui komisjoni hinnang on negatiivne.

Komisjon jälgib, kas amet on vastanud liikmesriigi taotlusele õigeks ajaks. Ameti iga-aastases tegevusaruandes tuuakse üksikasjalikult välja, mida on amet teinud selleks, et pakkuda liikmesriikidele vajaduspõhist tuge, ning märgitakse sellega kaasnenud kulud.

3.   Ametilt võidakse taotleda nõuannet või tuge komisjonile olemasolevate või uute süsteemidega seotud tehnilistes küsimustes, muu hulgas uuringute ja testimise kujul. Amet teavitab taotluse esitamisest haldusnõukogu.

4.   Rühm, mis koosneb vähemalt viiest liikmesriigist, võib teha ametile ülesandeks ühise IT-komponendi arendamise, juhtimise või andmemajutuse, et aidata neil rakendada vabadusel, turvalisusel ja õigusel rajaneva ala detsentraliseeritud süsteeme käsitlevast liidu õigusest tulenevate kohustuste tehnilisi aspekte. Ühised IT-lahendused ei piira kohalduvast liidu õigusest tulenevaid taotluse esitanud liikmesriikide kohustusi, eelkõige seoses kõnealuste süsteemide ülesehitusega.

Eelkõige võivad taotluse esitanud liikmesriigid teha ametile ülesandeks luua reisijaid käsitleva eelteabe ja broneeringuinfo andmete jaoks ühine komponent või ruuter, mis oleks tehnilise toe vahend lennuettevõtjatega peetava ühenduse lihtsustamiseks, et aidata liikmesriikidel rakendada nõukogu direktiivi 2004/82/EÜ (44) ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/681 (45). Sellisel juhul peab amet koguma lennuettevõtjatelt keskselt andmeid ja edastama need andmed ühise komponendi või ruuteri kaudu liikmesriikidele. Taotluse esitanud liikmesriigid peavad võtma vajalikud meetmed tagamaks, et lennuettevõtjad esitavad andmed ameti kaudu.

Ametile tehakse ühise IT-komponendi arendamine, juhtimine ja andmemajutus ülesandeks üksnes siis, kui komisjon on selle eelnevalt heaks kiitnud ja haldusnõukogu on teinud heakskiitva otsuse.

Taotluse esitanud liikmesriigid annavad esimeses ja teises lõigus osutatud ülesanded ametile delegeerimislepinguga, milles määratakse kindlaks ülesannete delegeerimise tingimused ning esitatakse kõigi asjaomaste kulude kalkulatsioon ja arveldamismeetod. Kõik asjaomased kulud katavad osalevad liikmesriigid. Delegeerimisleping peab olema kooskõlas asjaomaseid IT-süsteeme käsitlevate liidu õigusaktidega. Amet teavitab Euroopa Parlamenti ja nõukogu heakskiidetud delegeerimislepingust ja selle kõigist muudatustest.

Teised liikmesriigid võivad avaldada soovi osaleda ühises IT-lahenduses, kui see võimalus on delegeerimislepingus ette nähtud, määrates eelkõige kindlaks sellise osalemise finantsmõju. Delegeerimislepingus tehakse vastavad muudatused pärast seda, kui komisjon on selle eelnevalt heaks kiitnud ja haldusnõukogu on teinud heakskiitva otsuse.

III PEATÜKK

STRUKTUUR JA TÖÖKORRALDUS

Artikkel 17

Õiguslik staatus ja asukoht

1.   Amet on liidu asutus ja juriidiline isik.

2.   Ametil on igas liikmesriigis kõige laialdasem õigus- ja teovõime, mis vastavalt selle riigi õigusele on juriidilistel isikutel. Eelkõige võib amet omandada ja võõrandada vallas- ja kinnisasju ning olla kohtus menetlusosaliseks.

3.   Ameti asukoht on Eestis Tallinnas.

Artikli 1 lõigetes 4 ja 5 ning artiklites 3, 4, 5, 6, 7, 8, 9 ja 11 osutatud arendamise ja operatiivjuhtimisega seotud ülesandeid täidetakse Prantsusmaal Strasbourgis asuvas tehnilises keskuses.

Varuasukoht, mis on võimeline tagama suuremahulise IT-süsteemi käideldavuse süsteemi tõrke korral, rajatakse Austrias Sankt Johann im Pongaus.

4.   Mõlemat tehnilist keskust võib kasutada süsteemide üheaegseks käitamiseks, tingimusel et varuasukoht säilitab võime tagada nende töö ühe või mitme süsteemi tõrke korral.

5.   Kui ametil peaks tekkima vajadus rajada teine eraldi tehniline keskus süsteemide majutamiseks kas Strasbourgis või Sankt Johann im Pongaus või mõlemas kohas, tuleb süsteemide eripära tõttu seda vajadust põhjendada sõltumatu mõjuhinnangu ja kulude-tulude analüüsi alusel. Enne kui haldusnõukogu teatab vastavalt artikli 45 lõikele 9 eelarvepädevatele institutsioonidele oma kavatsusest rakendada mõnd kinnisvaraga seotud projekti, konsulteerib ta komisjoniga ja võtab arvesse komisjoni seiskohti.

Artikkel 18

Struktuur

1.   Ameti haldus- ja juhtimisstruktuuri kuuluvad

a)

haldusnõukogu;

b)

tegevdirektor;

c)

nõuanderühmad.

2.   Ameti struktuuri kuuluvad ka

a)

andmekaitseametnik,

b)

turvaametnik,

c)

peaarvepidaja.

Artikkel 19

Haldusnõukogu ülesanded

1.   Haldusnõukogu

a)

annab ameti tegevusele üldise suuna;

b)

võtab hääleõiguslike liikmete kahekolmandikulise häälteenamusega vastu ameti aastaeelarve ja täidab muid ameti eelarvega seotud ülesandeid kooskõlas V peatükiga;

c)

nimetab ametisse tegevdirektori ja tegevdirektori asetäitja ning vajaduse korral pikendab nende vastavat ametiaega või tagandab nad ametist kooskõlas artikliga 25 või 26;

d)

teostab tegevdirektori üle distsiplinaarvõimu ja teostab järelevalvet tegevdirektori tegevuse, sealhulgas haldusnõukogu otsuste rakendamise üle, ning kokkuleppel tegevdirektoriga teostab distsiplinaarvõimu tegevdirektori asetäitja üle;

e)

teeb kõik otsused ameti organisatsioonilise struktuuri loomise ja vajaduse korral selle muutmise kohta, võttes arvesse ameti tegevusega seotud vajadusi ja lähtudes usaldusväärsest eelarvehaldusest;

f)

võtab vastu ameti personalipoliitika;

g)

võtab vastu ameti kodukorra;

h)

võtab vastu pettusevastase strateegia, mis on proportsionaalne pettuseohuga, võttes arvesse rakendatavate meetmete kulusid ja kasulikkust;

i)

võtab vastu reeglid oma liikmete huvide konflikti vältimiseks ja lahendamiseks ning avaldab need ameti veebisaidil;

j)

võtab vastu rikkumisest teatajate kaitsmise üksikasjalikud sise-eeskirjad ja -korra, sealhulgas asjakohased suhtluskanalid väärkäitumisest teatamiseks;

k)

annab loa töökorra kindlaksmääramiseks vastavalt artiklitele 41 ja 43;

l)

kiidab tegevdirektori ettepanekul heaks ameti asukohta käsitleva peakorterilepingu ning vastavalt artikli 17 lõikele 3 loodud tehnilisi keskusi ja varuasukohti käsitlevad lepingud, millele kirjutavad alla tegevdirektor ja asukohaliikmesriigid;

m)

kasutab kooskõlas lõikega 2 ameti töötajate suhtes volitusi, mis on antud ametisse nimetavale asutusele ametnike personalieeskirjadega ning teenistuslepingute sõlmimise pädevust omavale asutusele muude teenistujate teenistustingimustega („ametisse nimetava asutuse volitused“);

n)

võtab kokkuleppel komisjoniga ametnike personalieeskirjade jõustamiseks vastu rakenduseeskirjad kooskõlas personalieeskirjade artikliga 110;

o)

võtab vastu eeskirjad riikide ekspertide ametisse lähetamise kohta;

p)

võtab vastu ameti tulude ja kulude eelarvestuse projekti, sealhulgas ametikohtade loetelu kavandi, ning esitab selle iga aasta 31. jaanuariks komisjonile;

q)

võtab vastu ühtse programmdokumendi kavandi, mis sisaldab ameti mitmeaastast programmi ja tema tööprogrammi järgmiseks aastaks, ning ameti tulude ja kulude esialgse eelarvestuse projekti, sealhulgas ametikohtade loetelu kavandi, ning edastab selle iga aasta 31. jaanuariks ning samuti ühtse programmdokumendi võimalikud ajakohastatud versioonid Euroopa Parlamendile, nõukogule ja komisjonile;

r)

võtab komisjoni arvamust arvesse võttes igal aastal enne 30. novembrit oma hääleõiguslike liikmete kahekolmandikulise häälteenamusega ja kooskõlas iga-aastase eelarvemenetlusega vastu ühtse programmdokumendi ning tagab, et vastuvõetud programmdokumendi lõplik tekst edastatakse Euroopa Parlamendile, nõukogule ja komisjonile ning avaldatakse;

s)

võtab iga aasta augusti lõpuks vastu vahearuande jooksvaks aastaks kavandatud tegevuse rakendamise kohta ning edastab selle Euroopa Parlamendile, nõukogule ja komisjonile;

t)

hindab ameti eelmise aasta konsolideeritud tegevusaruannet ja võtab selle vastu ning eeskätt võrdleb saavutatud tulemusi aasta tööprogrammi eesmärkidega ning saadab nii aruande kui ka oma hinnangu iga aasta 1. juuliks Euroopa Parlamendile, nõukogule, komisjonile ja kontrollikojale; tagab aasta tegevusaruande avaldamise;

u)

täidab ameti eelarvega seotud ülesandeid, sealhulgas rakendab artiklis 15 osutatud katseprojekte ja kontseptsioonitõendusi;

v)

võtab vastavalt artiklile 49 vastu ameti suhtes kohaldatavad finantsreeglid;

w)

nimetab vastavalt ametnike personalieeskirjadele ametisse peaarvepidaja, kes võib olla komisjoni peaarvepidaja ja kes on oma ülesannete täitmisel täiesti sõltumatu;

x)

tagab sise- ja välisauditi aruannetest ja hinnangutest, samuti Euroopa Pettustevastase Ameti (OLAF) ja Euroopa Prokuratuuri juurdlustest tulenevate järelduste ja soovituste suhtes asjakohased järelmeetmed;

y)

võtab vastu artikli 34 lõikes 4 osutatud teavitus- ja levitamiskavad ja ajakohastab neid korrapäraselt;

z)

võtab vastu vajalikud turvameetmed, sealhulgas turbekava, talitluspidevuse kava ja avariitaastekava, võttes arvesse nõuanderühmades osalevate turvaekspertide võimalikke soovitusi;

aa)

võtab pärast komisjoni heakskiitu vastu turvareeglid salastatud teabe ja salastamata tundliku teabe kaitse kohta;

bb)

nimetab ametisse turvaametniku;

cc)

nimetab kooskõlas määrusega (EL) 2018/1725 ametisse andmekaitseametniku;

dd)

võtab vastu määruse (EÜ) nr 1049/2001 rakendamise üksikasjaliku korra;

ee)

võtab vastavalt määruse (EL) 2017/2226 artikli 72 lõikele 2 vastu aruanded EESi arendamise kohta ja annab vastavalt määruse (EL) 2018/1240 artikli 92 lõikele 2 aru ETIASe arendamise kohta;

ff)

võtab vastu aruanded SIS II tehnilise toimimise kohta vastavalt määruse (EÜ) nr 1987/2006 artikli 50 lõikele 4 ja otsuse 2007/533/JSK artikli 66 lõikele 4, VISi tehnilise toimimise kohta vastavalt määruse (EÜ) nr 767/2008 artikli 50 lõikele 3 ja otsuse 2008/633/JSK artikli 17 lõikele 3, EESi tehnilise toimimise kohta vastavalt määruse (EL) 2017/2226 artikli 72 lõikele 4 ja ETIASe tehnilise toimimise kohta vastavalt määruse (EL) 2018/1240 artikli 92 lõikele 4;

gg)

võtab vastu aastaaruande Eurodaci kesksüsteemi tegevuse kohta vastavalt määruse (EL) nr 603/2013 artikli 40 lõikele 1;