Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32018R1725

    Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (ETA:n kannalta merkityksellinen teksti.)

    PE/31/2018/REV/1

    EUVL L 295, 21.11.2018, p. 39–98 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/reg/2018/1725/oj

    21.11.2018   

    FI

    Euroopan unionin virallinen lehti

    L 295/39


    EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2018/1725,

    annettu 23 päivänä lokakuuta 2018,

    luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta

    (ETA:n kannalta merkityksellinen teksti)

    EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

    ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan,

    ottavat huomioon Euroopan komission ehdotuksen,

    sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

    ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),

    noudattavat tavallista lainsäätämisjärjestystä (2),

    sekä katsovat seuraavaa:

    (1)

    Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä ”perusoikeuskirja”, 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Tämä oikeus taataan myös ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen 8 artiklassa.

    (2)

    Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 45/2001 (3) säädetään luonnollisten henkilöiden täytäntöönpanokelpoisista oikeuksista, määritetään rekisterinpitäjien tietojenkäsittelyvelvollisuudet yhteisön toimielimissä ja elimissä ja perustetaan riippumaton valvontaviranomainen, Euroopan tietosuojavaltuutettu, jonka tehtävänä on valvoa henkilötietojen käsittelyä unionin toimielimissä ja elimissä. Sitä ei kuitenkaan sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen unionin toimielinten ja elinten toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

    (3)

    Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (4) ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 (5) annettiin 27 päivänä huhtikuuta 2016. Asetuksessa vahvistetaan yleiset säännöt luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi unionissa, kun taas direktiivissä vahvistetaan erityiset säännöt luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi unionissa rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla.

    (4)

    Asetuksessa (EU) 2016/679 säädetään mukautusten tekemisestä asetukseen (EY) N:o 45/2001, jotta varmistetaan vahva ja johdonmukainen tietosuojakehys unionissa ja jotta sitä voidaan soveltaa rinnakkain asetuksen (EU) 2016/679 kanssa.

    (5)

    Jotta voidaan varmistaa johdonmukainen lähestymistapa henkilötietojen suojaan koko unionissa ja henkilötietojen vapaa liikkuvuus unionissa, on tarkoituksenmukaista yhdenmukaistaa mahdollisuuksien mukaan unionin toimielinten, elinten ja laitosten tietosuojasäännöt jäsenvaltioiden julkista sektoria varten hyväksyttyjen tietosuojasääntöjen kanssa. Aina kun tämän asetuksen säännökset ovat periaatteellisesti yhteneväiset asetuksen (EU) 2016/679 säännösten kanssa, näitä kahta säännöstöä olisi Euroopan unionin tuomioistuimen, jäljempänä ”unionin tuomioistuin”, oikeuskäytännön mukaisesti tulkittava yhteneväisesti, erityisesti siksi, että tämän asetuksen rakenne olisi ymmärrettävä asetuksen (EU) 2016/679 rakennetta vastaavaksi.

    (6)

    Henkilöitä, joiden henkilötietoja käsitellään unionin toimielimissä ja elimissä missä tahansa yhteydessä, esimerkiksi siitä syystä, että he ovat kyseisten toimielinten ja elinten palveluksessa, olisi suojeltava. Tätä asetusta ei pitäisi soveltaa kuolleiden henkilöiden henkilötietojen käsittelyyn. Tämä asetus ei koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten henkilötietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja.

    (7)

    Vakavan väärinkäytösten riskin välttämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta.

    (8)

    Tätä asetusta olisi sovellettava kaikkien unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn. Sitä olisi sovellettava henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Sellaisten asiakirjojen tai asiakirjakokoelmien kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti, ei olisi kuuluttava tämän asetuksen soveltamisalaan.

    (9)

    Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjan liitteenä olevassa julistuksessa N:o 21 henkilötietojen suojasta rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla konferenssi totesi, että Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaiset erityissäännöt henkilötietojen suojasta ja henkilötietojen vapaasta liikkuvuudesta saattavat osoittautua tarpeellisiksi rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla näiden alojen erityisluonteen vuoksi. Yleiset säännöt sisältävää tämän asetuksen erillistä lukua olisi sen vuoksi sovellettava operatiivisten henkilötietojen, kuten rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla toimintaa toteuttavien unionin elinten tai laitosten rikostutkintaa varten käsittelemien henkilötietojen, käsittelyyn.

    (10)

    Direktiivissä (EU) 2016/680 vahvistetaan yhdenmukaiset säännöt sellaisten henkilötietojen suojelulle ja vapaalle liikkuvuudelle, joita käsitellään rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Jotta varmistetaan samantasoinen suoja luonnollisille henkilöille ja täytäntöönpanokelpoiset oikeudet kaikkialla unionissa ja jotta estetään Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten sekä toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa haittaavat eroavuudet, tällaisten unionin elinten ja laitosten käsittelemien operatiivisten henkilötietojen suojelua ja vapaata liikkuvuutta koskevien sääntöjen olisi oltava yhdenmukaisia direktiivin (EU) 2016/680 kanssa.

    (11)

    Operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen luvun yleisiä sääntöjä olisi sovellettava rajoittamatta erityisiä sääntöjä, joita sovelletaan Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn. Tällaisia erityisiä sääntöjä olisi pidettävä erityissäännöksenä (lex specialis) operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen luvussa oleviin säännöksiin nähden (lex specialis derogat legi generali). Jotta vähennettäisiin lainsäädännön hajanaisuutta, Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn sovellettavien erityisten tietosuojasääntöjen olisi oltava sopusoinnussa operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen luvun taustalla olevien periaatteiden sekä riippumatonta valvontaa, oikeussuojakeinoja, vastuuta ja seuraamuksia koskevien tämän asetuksen säännösten kanssa.

    (12)

    Operatiivisten henkilötietojen käsittelyä koskevaa tämän asetuksen lukua olisi sovellettava Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten toteuttaviin unionin elimiin ja laitoksiin riippumatta siitä, toteuttavatko ne tällaista toimintaa pää- vai oheistoimintonaan. Sitä ei kuitenkaan pitäisi soveltaa Europoliin tai Euroopan syyttäjänvirastoon, ennen kuin Europolin ja Euroopan syyttäjänviraston perustamissäädöksiä muutetaan niin, että operatiivisten henkilötietojen käsittelyä koskevasta tämän asetuksen luvusta, sellaisena kuin se on mukautettuna, tulee niihin sovellettava.

    (13)

    Komission olisi tarkasteltava uudelleen tätä asetusta ja erityisesti operatiivisten henkilötietojen käsittelyä koskevaa tämän asetuksen lukua. Komission olisi tarkasteltava uudelleen myös muita perussopimusten perusteella annettuja säädöksiä, joilla säännellään Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaa operatiivisten henkilötietojen käsittelyä. Jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä, komission olisi tällaisen uudelleentarkastelun jälkeen voitava antaa asianmukaisia säädösehdotuksia, myös tarvittavista mukautuksista operatiivisten henkilötietojen käsittelyä koskevan tämän asetuksen lukuun sen soveltamiseksi Europoliin ja Euroopan syyttäjänvirastoon. Mukautuksissa olisi otettava huomioon riippumatonta valvontaa, oikeussuojakeinoja, vastuuta ja seuraamuksia koskevat säännökset.

    (14)

    Tämän asetuksen olisi koskettava hallinnollisten henkilötietojen käsittelyä, kuten Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaa henkilöstöä koskevien tietojen käsittelyä.

    (15)

    Tätä asetusta olisi sovellettava Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn. Tätä asetusta ei olisi sovellettava henkilötietojen käsittelyyn Euroopan unionista tehdyn sopimuksen 42 artiklan 1 kohdassa ja 43 ja 44 artiklassa tarkoitetuissa tehtävissä, joissa toteutetaan yhteistä turvallisuus- ja puolustuspolitiikkaa. Tapauksen mukaan olisi esitettävä asiaankuuluvia ehdotuksia henkilötietojen käsittelyn sääntelemiseksi tarkemmin yhteisen turvallisuus- ja puolustuspolitiikan alalla.

    (16)

    Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.

    (17)

    Pseudonymisoinnin soveltaminen henkilötietoihin voi vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan. ”Pseudonymisoinnin” nimenomaisella sisällyttämisellä tähän asetukseen ei ole tarkoitus sulkea pois mitään muita tietosuojatoimenpiteitä.

    (18)

    Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille toimitettuihin tietoihin.

    (19)

    Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palvelujen teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan. Rekisteröidyllä olisi silti oltava oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Usein tieteellisiä tutkimustarkoituksia varten tehtävän käsittelyn tarkoitusta ei ole mahdollista täysin määrittää siinä vaiheessa, kun henkilötietoja kerätään. Tästä syystä rekisteröityjen olisi voitava antaa suostumuksensa tietyille tieteellisen tutkimuksen aloille silloin, kun noudatetaan tieteellisen tutkimuksen tunnustettuja eettisiä standardeja. Rekisteröidyillä olisi oltava mahdollisuus antaa suostumuksensa ainoastaan tietyille tutkimusaloille tai tutkimushankkeiden osille, siinä määrin kuin suunniteltu tarkoitus sen mahdollistaa.

    (20)

    Henkilötietojen käsittelyn olisi oltava laillista ja asianmukaista. Luonnollisille henkilöille olisi oltava läpinäkyvää, miten heitä koskevia henkilötietoja kerätään ja käytetään ja niihin tutustutaan tai niitä käsitellään muulla tavoin, ja heidän olisi oltava selvillä siitä, missä määrin henkilötietoja käsitellään tai on määrä käsitellä. Läpinäkyvyyden periaatteen mukaisesti kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröityjen tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista sekä lisätietoja, joilla varmistetaan kyseisiä luonnollisia henkilöitä koskevan käsittelyn asianmukaisuus ja läpinäkyvyys, sekä heidän oikeuttaan saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti. Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään, kuin on tarpeen. Olisi toteutettava kaikki kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa estetään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin ja tällaisten tietojen tai laitteistojen luvaton käyttö sekä estetään henkilötietojen luvaton luovuttaminen siirtämisen aikana.

    (21)

    Jos unionin toimielimet ja elimet siirtävät henkilötietoja saman unionin toimielimen tai elimen sisällä ja vastaanottaja ei ole osa rekisterinpitäjää tai muille unionin toimielimille ja elimille, niiden olisi tilivelvollisuuden periaatteen mukaisesti tarkistettava, tarvitaanko tällaisia henkilötietoja vastaanottajan toimivaltaan kuuluvien tehtävien lainmukaista suorittamista varten. Kun vastaanottaja on pyytänyt henkilötietojen siirtoa, rekisterinpitäjän olisi erityisesti tarkistettava henkilötietojen lainmukaisen käsittelyn asianmukainen peruste ja vastaanottajan toimivalta. Rekisterinpitäjän olisi myös arvioitava alustavasti tietojen siirtämisen tarpeellisuus. Jos tarpeellisuudesta on epäilyksiä, rekisterinpitäjän olisi pyydettävä vastaanottajalta lisäselvityksiä. Vastaanottajan olisi varmistettava, että tietojen siirtämisen tarpeellisuus voidaan myöhemmin tarkistaa.

    (22)

    Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava unionin toimielinten ja elinten yleistä etua koskevan tai niille kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamisen tarpeellisuuteen, rekisterinpitäjän lakisääteisen velvoitteen noudattamisen tarpeellisuuteen tai muuhun tämän asetuksen mukaiseen oikeutettuun perusteeseen, mukaan lukien asianomaisen rekisteröidyn suostumus tai tarve panna täytäntöön sopimus, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Henkilötietojen käsittelyyn unionin toimielimissä ja elimissä yleistä etua koskevien tehtävien suorittamiseksi sisältyy toimielinten ja elinten hallinnolle ja toiminnalle tarpeellisten henkilötietojen käsittely. Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella silloin, kun käsittelyllä ei ole muuta ilmeistä käsittelyn oikeusperustaa. Tietyntyyppinen käsittely voi palvella sekä yleistä etua koskevia tärkeitä syitä että rekisteröidyn elintärkeitä etuja esimerkiksi silloin, kun tietojenkäsittely on tarpeen humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.

    (23)

    Tässä asetuksessa tarkoitetun unionin oikeuden olisi oltava selkeää ja täsmällistä ja sen soveltamisen henkilöiden kannalta ennakoitavissa olevaa perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisesti.

    (24)

    Tässä asetuksessa tarkoitettujen sisäisten sääntöjen olisi oltava selkeitä ja täsmällisiä, soveltamisalaltaan yleisiä säädöksiä, jotka on tarkoitettu tuottamaan rekisteröityihin kohdistuvia oikeusvaikutuksia. Nämä sisäiset säännöt olisi hyväksyttävä unionin toimielinten ja elinten ylimmän johdon tasolla niiden toimivallan puitteissa ja niiden toimintaan liittyvissä asioissa. Ne olisi julkaistava Euroopan unionin virallisessa lehdessä. Kyseisten sääntöjen soveltamisen olisi oltava henkilöiden kannalta ennakoitavissa olevaa perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisesti. Sisäiset säännöt voidaan antaa päätösten muodossa erityisesti, kun unionin toimielin antaa ne.

    (25)

    Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperustan lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustaa. Jos käsittely on tarpeen yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi, unionin oikeudessa voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joita varten myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi. Myös unionin oikeuden tarjoama oikeusperusta henkilötietojen käsittelylle voi muodostaa oikeusperustan myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käyttöön liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa myöhemmässä käsittelyssä.

    (26)

    Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Neuvoston direktiivin 93/13/ETY (6) mukaisesti rekisterinpitäjän ennalta muotoilema ilmoitus suostumuksesta olisi annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä eikä siihen pitäisi sisältyä kohtuuttomia ehtoja. Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Suostumusta ei olisi pidettävä vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta tai jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

    (27)

    Erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista ja omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin henkilöprofiilien luomiseen ja lapsia koskevien henkilötietojen keräämiseen, kun kyse on suoraan lapsille unionin toimielinten ja elinten verkkosivuilla tarjotuista palveluista, kuten henkilöiden väliset viestintäpalvelut tai lippujen myyminen verkossa, ja henkilötietojen käsittely perustuu suostumukseen.

    (28)

    Kun muut unioniin sijoittautuneet vastaanottajat kuin unionin toimielimet ja elimet haluaisivat, että unionin toimielimet ja elimet siirtäisivät niille henkilötietoja, näiden vastaanottajien olisi osoitettava, että tietojen siirtäminen kyseisille vastaanottajille on tarpeen joko niiden yleistä etua koskevan tai niille kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi. Vaihtoehtoisesti näiden vastaanottajien olisi osoitettava, että siirtäminen on tarpeen yleistä etua koskevaa erityistä tarkoitusta varten, ja rekisterinpitäjän olisi selvitettävä, onko syytä olettaa, että rekisteröidyn oikeutetut edut voivat joutua vaaraan. Tällöin rekisterinpitäjän olisi todistetusti arvioitava erilaiset kilpailevat edut voidakseen arvioida pyydetyn henkilötietojen siirron oikeasuhteisuuden. Kyseinen yleistä etua koskeva erityinen tarkoitus voisi liittyä unionin toimielinten ja elinten avoimuuteen. Unionin toimielinten ja elinten olisi myös osoitettava tällainen tarve, kun ne itse ovat siirron alkuunpanijoita, avoimuuden ja hyvän hallinnon periaatteen mukaisesti. Tässä asetuksessa säädettyjen, tietojen siirtämistä muille unioniin sijoittautuneille vastaanottajille kuin unionin toimielimille ja elimille koskevien vaatimusten olisi katsottava täydentävän lainmukaisen käsittelyn edellytyksiä.

    (29)

    Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Tällaisia henkilötietoja ei pitäisi käsitellä, elleivät tässä asetuksessa säädetyt erityiset edellytykset täyty. Tällaisiin henkilötietoihin olisi sisällyttävä henkilötiedot, joista ilmenee rotu tai etninen alkuperä. Ilmaisun ”rotu” käyttäminen tässä asetuksessa ei kuitenkaan tarkoita sitä, että unioni hyväksyisi teorioita, joilla yritetään määrittää eri ihmisrotujen olemassaolo. Valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. Arkaluonteisten tietojen käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn edellytysten osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa tai silloin, kun kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.

    (30)

    Henkilötietojen erityisryhmiin kuuluvia, erityissuojelua tarvitsevia henkilötietoja olisi käsiteltävä vain terveyteen liittyvien syiden perusteella silloin, kun se on tarpeen luonnollisten henkilöiden ja koko yhteiskunnan etua palvelevien tarkoitusten toteuttamiseksi erityisesti terveyden- tai sosiaalihuollon palvelujen ja järjestelmien hallinnon yhteydessä. Näin ollen tässä asetuksessa olisi säädettävä erityisryhmiin kuuluvien terveyttä koskevien henkilötietojen käsittelyn yhdenmukaisista ehdoista erityistarpeiden osalta erityisesti, kun henkilö, jolla on lakisääteinen salassapitovelvollisuus, käsittelee tällaisia tietoja tiettyjä terveyteen liittyviä tarkoituksia varten. Unionin oikeudessa olisi säädettävä erityisistä ja asianmukaisista toimenpiteistä luonnollisten henkilöiden perusoikeuksien ja henkilötietojen suojelemiseksi.

    (31)

    Erityisryhmiin kuuluvia henkilötietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tällaisen käsittelyn olisi edellytettävä asianmukaisia ja erityisiä toimenpiteitä luonnollisten henkilöiden oikeuksien ja vapauksien suojelemiseksi. Tässä yhteydessä ”kansanterveydellä” olisi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 (7) olevan määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten.

    (32)

    Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjää ei saisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Rekisterinpitäjän ei pitäisi kuitenkaan kieltäytyä vastaanottamasta rekisteröidyn antamia lisätietoja tämän oikeuksien käyttämisen tukemiseksi. Tunnistamiseen olisi sisällytettävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.

    (33)

    Henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi sovellettava tämän asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Näillä suojatoimilla olisi varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, jotta taataan etenkin tietojen minimoinnin periaate. Henkilötietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten on tehtävä, jos rekisterinpitäjä on arvioinut, onko kyseiset tarkoitukset mahdollista saavuttaa käsittelemällä tietoja, joiden avulla ei voida tai ei enää voida tunnistaa rekisteröityjä, kunhan asianmukaiset suojatoimet (kuten tietojen pseudonymisointi) on toteutettu. Unionin toimielinten ja elinten olisi toteutettava asianmukaiset suojatoimet henkilötietojen käsittelylle yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä.

    (34)

    Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa esimerkiksi mekanismeilla, joilla rekisteröity voi pyytää pääsyä henkilötietoihin ja esittää henkilötietojen oikaisemista tai poistamista koskevan pyynnön ja mahdollisuuksien mukaan saada nämä oikeudet maksutta sekä käyttää oikeuttaan vastustaa henkilötietojen käsittelyä. Rekisterinpitäjän olisi myös tarjottava keinot esittää tällaiset pyynnöt sähköisesti erityisesti silloin, kun henkilötietoja käsitellään sähköisesti. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perustelemaan kieltäytymisensä siinä tapauksessa, että rekisterinpitäjä ei aio noudattaa tällaisia pyyntöjä.

    (35)

    Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista. Rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. Rekisteröidylle olisi myös ilmoitettava profiloinnin olemassaolosta ja sen seurauksista. Jos henkilötietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa henkilötiedot, sekä kieltäytymisen seurauksista. Nämä tiedot voidaan antaa yhdessä vakiomuotoisten kuvakkeiden kanssa, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden olisi oltava koneellisesti luettavissa.

    (36)

    Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keruun yhteydessä tai, jos henkilötiedot on saatu jostakin muusta lähteestä, kohtuullisen ajan kuluessa tietojen keruusta, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos henkilötietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun henkilötietoja luovutetaan ensimmäisen kerran. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja muuhun tarkoitukseen kuin siihen, jota varten ne on kerätty, rekisterinpitäjän olisi toimitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tiedot tästä muusta tarkoituksesta sekä muut tarvittavat tiedot. Jos rekisteröidylle ei ole voitu ilmoittaa henkilötietojen alkuperää johtuen siitä, että on käytetty useita lähteitä, olisi annettava yleiset tiedot.

    (37)

    Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Tähän sisältyy rekisteröidyn oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista ja, jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjän olisi voitava pyytää rekisteröityä täsmentämään ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee.

    (38)

    Rekisteröidyllä olisi oltava oikeus saada häntä koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta. Rekisteröidyllä olisi oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, eikä ole ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Rekisteröidyn olisi voitava käyttää tätä oikeutta siitä huolimatta, että hän ei enää ole lapsi. Henkilötietojen edelleen säilyttämisen tulisi kuitenkin olla lainmukaista, jos se on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, lakisääteisen velvoitteen noudattamiseksi, yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi, kansanterveyteen liittyvää yleistä etua koskevista syistä, yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

    (39)

    Jotta voitaisiin vahvistaa oikeutta tulla unohdetuksi verkkoympäristössä, oikeutta tietojen poistamiseen olisi laajennettava edellyttämällä, että henkilötiedot julkistanut rekisterinpitäjä on velvollinen ilmoittamaan näitä henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kaikkien näihin tietoihin liittyvien linkkien tai näiden tietojen jäljennösten tai kopioiden poistamista. Näin menetellessään rekisterinpitäjän olisi toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ottaen huomioon käytettävissä oleva teknologia ja keinot, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille rekisteröidyn pyynnöstä.

    (40)

    Henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen väliaikainen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.

    (41)

    Jotta voitaisiin edelleen vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan silloin, kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä oikeutta olisi sovellettava silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi. Siksi sitä ei pitäisi soveltaa silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi. Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei saisi luoda rekisterinpitäjille velvoitetta ottaa käyttöön tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia. Jos tietyssä henkilötietoja sisältävässä tietojoukossa tiedot koskevat useampia kuin yhtä rekisteröityä, oikeus vastaanottaa henkilötietoja ei saisi rajoittaa toisten rekisteröityjen tämän asetuksen mukaisia oikeuksia ja vapauksia. Tämä oikeus ei saisi myöskään rajoittaa rekisteröidyn oikeutta saada henkilötiedot poistetuiksi eikä tämän asetuksen mukaisia rajoituksia kyseiseen oikeuteen, ja se ei etenkään saisi merkitä niiden rekisteröityä koskevien henkilötietojen poistamista, jotka tämä on antanut sopimuksen täytäntöönpanoa varten, siinä määrin ja niin kauan kuin henkilötiedot ovat tarpeen sopimuksen täytäntöönpanoa varten. Kun se on teknisesti mahdollista, rekisteröidyllä pitäisi olla oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle.

    (42)

    Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen liittyvän tehtävän suorittamiseksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen tilannettaan koskevien henkilötietojen käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut syrjäyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet.

    (43)

    Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen käsittelyn perusteella, josta hänelle aiheutuu oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi, kuten sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista. Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeusvaikutuksia tai se vaikuttaa häneen vastaavalla tavalla merkittävästi.

    Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointi, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa unionin oikeudessa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen. Rekisteröityä koskevan asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys, rekisterinpitäjän olisi käytettävä profiloinnissa asianmukaisia matemaattisia tai tilastollisia menetelmiä, toteutettava teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan, sekä turvattava henkilötiedot siten, että rekisteröidyn etuihin ja oikeuksiin kohdistuvat mahdolliset riskit otetaan huomioon ja estetään muun muassa luonnollisten henkilöiden syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, geneettisen tilan, terveydentilan tai seksuaalisen suuntautumisen perusteella taikka käsittely, jonka johdosta toteutetaan toimenpiteitä, joilla on tällaisia seurauksia. Henkilötietojen erityisluokitteluun perustuva automaattinen päätöksenteko ja profilointi olisi sallittava vain erityistilanteissa.

    (44)

    Perussopimusten perusteella annetuissa säädöksissä tai unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymissä sisäisissä säännöissä voidaan asettaa rajoituksia, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, pääsyä tietoihin ja oikeutta oikaista tai poistaa henkilötietoja ja oikeutta siirtää tiedot järjestelmästä toiseen, sähköisen viestinnän tietojen luottamuksellisuutta, henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisessa yhteiskunnassa yleisen turvallisuuden takaamiseksi ja rikosten ennalta estämistä, tutkintaa ja rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Näin on silloin, kun kyseessä on yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, ihmishenkien suojeleminen erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä, unionin toimielinten ja elinten sisäinen turvallisuus, muut unionin tai jäsenvaltion tärkeää yleistä etua koskevat syyt, erityisesti unionin yhteisen ulko- ja turvallisuuspolitiikan tavoitteet tai unionin tai jäsenvaltion tärkeät taloudelliset tai rahoitusta koskevat edut sekä julkisten rekisterien pitäminen yleiseen etuun liittyvistä syistä tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien, muun muassa sosiaaliturvan, kansanterveyden ja humanitaaristen tarkoitusten, turvaamiseksi.

    (45)

    Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän lukuun suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan lukien. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

    (46)

    Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen tai pseudonymisoinnin luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa; jos rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan; jos käsitellään sellaisia henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta ja ammattiliittoon kuulumista, tai käsitellään geneettisiä tietoja tai terveystietoja ja seksuaalista käyttäytymistä tai rikostuomioita ja rikoksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; jos arvioidaan henkilökohtaisia ominaisuuksia, erityisesti kun kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; jos käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja tai jos käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää.

    (47)

    Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.

    (48)

    Luonnollisten henkilöiden oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät. Jotta voidaan osoittaa, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Tällaisia toimenpiteitä voisivat olla muun muassa henkilötietojen käsittelyn minimointi, henkilötietojen pseudonymisointi mahdollisimman pian, tehtävien ja henkilötietojen käsittelyn läpinäkyvyys sekä sen mahdollistaminen, että rekisteröity voi valvoa tietojenkäsittelyä ja että rekisterinpitäjä voi luoda ja parantaa turvaominaisuuksia. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet olisi myös huomioitava julkisten tarjouskilpailujen yhteydessä.

    (49)

    Asetuksessa (EU) 2016/679 säädetään, että rekisterinpitäjien on osoitettava velvollisuuksien noudattaminen noudattamalla hyväksyttyjä sertifiointimekanismeja. Myös unionin toimielinten ja elinten olisi voitava osoittaa, että ne noudattavat tämän asetuksen vaatimuksia, hankkimalla sertifiointi asetuksen (EU) 2016/679 42 artiklan mukaisesti.

    (50)

    Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut edellyttävät, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän lukuun.

    (51)

    Jotta voidaan varmistaa, että henkilötietojen käsittelijä noudattaa tämän asetuksen vaatimuksia rekisterinpitäjän lukuun suorittamassaan käsittelyssä, rekisterinpitäjän olisi antaessaan käsittelytoimet henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tämän asetuksen vaatimusten mukaiset tekniset ja organisatoriset toimenpiteet, käsittelyn turvallisuus mukaan lukien. Sitä, että muut henkilötietojen käsittelijät kuin unionin toimielimet ja elimet noudattavat hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia, voidaan käyttää osoittamaan rekisterinpitäjälle asetettujen velvollisuuksien noudattamista. Muun henkilötietojen käsittelijän kuin unionin toimielimen tai elimen suorittamaa käsittelyä olisi säänneltävä sopimuksella tai siinä tapauksessa, että käsittelijöinä ovat unionin toimielimet tai elimet, unionin oikeuden mukaisella sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitukset, henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja siinä olisi otettava huomioon henkilötietojen käsittelijän erityistehtävät ja vastuualueet suoritettavan käsittelyn yhteydessä sekä rekisteröidyn oikeuksiin ja vapauksiin liittyvä riski. Rekisterinpitäjän ja henkilötietojen käsittelijän olisi voitava halutessaan käyttää yksittäistä sopimusta tai sellaisia vakiosopimuslausekkeita, jotka hyväksyy joko suoraan komissio tai ensin Euroopan tietosuojavaltuutettu ja sitten komissio. Kun henkilötietojen käsittelijä on saattanut käsittelyn loppuun rekisterinpitäjän lukuun, sen olisi rekisterinpitäjän valinnan mukaisesti palautettava tai poistettava henkilötiedot, paitsi jos unionin oikeudessa tai henkilötietojen käsittelijään sovellettavassa jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.

    (52)

    Rekisterinpitäjien olisi ylläpidettävä selostetta vastuullaan olevista käsittelytoimista ja henkilötietojen käsittelijöiden olisi ylläpidettävä selostetta vastuullaan olevista käsittelytoimien ryhmistä voidakseen osoittaa, että ne noudattavat tätä asetusta. Unionin toimielimet ja elimet olisi velvoitettava tekemään yhteistyötä Euroopan tietosuojavaltuutetun kanssa ja saattamaan pyydettäessä selosteensa sen saataville, jotta käsittelytoimia voidaan seurata niiden pohjalta. Unionin toimielinten ja elinten olisi voitava perustaa käsittelytoimistaan laatimiensa selosteiden keskusrekisteri, paitsi jos se unionin toimielimen tai elimen koko huomioon ottaen ei ole tarkoituksenmukaista. Läpinäkyvyyden vuoksi niiden olisi myös voitava tehdä rekisteristä julkinen.

    (53)

    Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja.

    (54)

    Unionin toimielinten ja elinten olisi varmistettava sähköisen viestinnän luottamuksellisuus perusoikeuskirjan 7 artiklan mukaisesti. Unionin toimielinten ja elinten olisi erityisesti varmistettava sähköisten viestintäverkkojensa turvallisuus. Niiden olisi suojattava yleisesti saatavilla olevia verkkosivustojaan ja mobiilisovelluksiaan käyttävien käyttäjien päätelaitteita koskevat tiedot Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (8) mukaisesti. Niiden olisi myös suojattava käyttäjäluetteloihin tallennetut henkilötiedot.

    (55)

    Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta Euroopan tietosuojavaltuutetulle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan tilivelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä. Jos tällainen viivytys on perusteltu, tietoturvaloukkausta koskevia vähemmän arkaluonteisia tai vähemmän täsmällisiä tietoja olisi annettava mahdollisimman varhaisessa vaiheessa sen sijaan, että taustalla oleva tapahtuma ratkaistaisiin kaikilta osin ennen ilmoituksen tekemistä.

    (56)

    Rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä, jos tämä tietoturvaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin, jotta rekisteröity voi toteuttaa tarvittavat varotoimet. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia. Tällainen ilmoitus rekisteröidylle olisi tehtävä niin pian, kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä Euroopan tietosuojavaltuutetun kanssa noudattaen sen tai muiden asiaankuuluvien viranomaisten, kuten lainvalvontaviranomaisten, antamia ohjeita.

    (57)

    Asetuksessa (EY) N:o 45/2001 säädetään rekisterinpitäjän yleisestä velvollisuudesta ilmoittaa henkilötietojen käsittelystä tietosuojavastaavalle. Tietosuojavastaavan on pidettävä rekisteriä ilmoitetuista käsittelytoimista, paitsi jos se unionin toimielimen tai elimen koko huomioon ottaen ei ole tarkoituksenmukaista. Tämän yleisen velvollisuuden lisäksi olisi otettava käyttöön tehokkaita menettelyjä ja mekanismeja sellaisten käsittelytoimien valvomiseksi, joihin niiden luonteen, laajuuden, asiayhteyden ja tarkoitusten vuoksi todennäköisesti liittyy luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkea riski. Tällaisia menettelyjä olisi oltava käytössä erityisesti myös silloin, kun käsittelytoimien tyypit perustuvat uusien tekniikoiden käyttöön tai ne ovat uudenlaisia ja niiden osalta rekisterinpitäjä ei ole ensin tehnyt tietosuojaa koskevaa vaikutustenarviointia tai kun tietosuojaa koskeva vaikutustenarviointi on tullut tarpeelliseksi, koska aikaa on kulunut siitä kun käsittely alkoi. Tällaisissa tapauksissa rekisterinpitäjän olisi korkean riskin erityisen todennäköisyyden ja vakavuuden arvioimiseksi käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä riskin alkuperän huomioon ottaen tehtävä ennen tietojenkäsittelyä tietosuojaa koskeva vaikutustenarviointi. Tässä vaikutustenarvioinnissa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä suojatoimia ja mekanismeja, joiden avulla lievennetään edellä mainittua riskiä, varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu.

    (58)

    Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, turvatoimenpiteiden ja mekanismien puuttumisen vuoksi suuri luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttava riski, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen käsittelytoimien aloittamista olisi kuultava Euroopan tietosuojavaltuutettua. On todennäköistä, että tällainen korkea riski liittyy tietyntyyppiseen henkilötietojen käsittelyyn ja käsittelyn laajuuteen ja toistumistiheyteen, mikä voi aiheuttaa vahinkoa myös luonnollisen henkilön oikeuksille ja vapauksille tai merkitä niihin puuttumista. Euroopan tietosuojavaltuutetun olisi vastattava kuulemispyyntöön määrätyn ajan kuluessa. Euroopan tietosuojavaltuutetun reagoimattomuus määräajan puitteissa ei kuitenkaan saisi vaikuttaa tietosuojavaltuutetun mahdollisiin toimiin hänelle tässä asetuksessa annettujen tehtävien ja valtuuksien puitteissa, kuten valtaan kieltää käsittelytoimia. Osana kuulemismenettelyä olisi oltava mahdollista toimittaa Euroopan tietosuojavaltuutetulle käsittelyn osalta toteutetun tietosuojaa koskevan vaikutustenarvioinnin tulos, etenkin toimenpiteet, joiden tarkoituksena on vähentää luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

    (59)

    Euroopan tietosuojavaltuutetulle olisi ilmoitettava hallinnollisista toimenpiteistä ja sitä olisi kuultava unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymistä sisäisistä säännöistä, kun niissä määrätään henkilötietojen käsittelystä, määrätään edellytykset rekisteröityjen oikeuksien rajoituksille tai määrätään asianmukaisista suojatoimista rekisteröidyn oikeuksien osalta, jotta varmistetaan, että suunnitellussa käsittelyssä noudatetaan tätä asetusta erityisesti sen osalta, että rekisteröityyn kohdistuvia riskejä pienennetään.

    (60)

    Asetuksessa (EU) 2016/679 perustettiin Euroopan tietosuojaneuvosto riippumattomaksi unionin elimeksi, jolla on oikeushenkilöllisyys. Tietosuojaneuvoston olisi osaltaan varmistettava, että asetusta (EU) 2016/679 ja direktiiviä (EU) 2016/680 sovelletaan yhdenmukaisesti kaikkialla unionissa, myös antamalla neuvoja komissiolle. Samanaikaisesti Euroopan tietosuojavaltuutetun olisi edelleen huolehdittava valvonta- ja neuvontatehtävistään kaikkien unionin toimielinten ja elinten osalta omasta aloitteestaan tai pyynnöstä. Jotta varmistetaan tietosuojasääntöjen johdonmukaisuus kaikkialla unionissa, komission olisi ehdotuksia tai suosituksia laatiessaan pyrittävä kuulemaan Euroopan tietosuojavaltuutettua. Komission toteuttaman kuulemisen olisi oltava pakollinen sellaisten lainsäätämisjärjestyksessä hyväksyttävien säädösten antamisen jälkeen tai laadittaessa sellaisia Euroopan unionin toiminnasta tehdyn sopimuksen 289, 290 ja 291 artiklassa määriteltyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä sekä sellaisten Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklassa tarkoitettuihin kolmansien maiden ja kansainvälisten järjestöjen kanssa tehtyihin sopimuksiin liittyvien suositusten ja ehdotusten hyväksymisen jälkeen, jotka vaikuttavat henkilötietojen suojaa koskevaan oikeuteen. Tällaisissa tapauksissa komissio olisi velvoitettava kuulemaan Euroopan tietosuojavaltuutettua, paitsi jos asetuksessa (EU) 2016/679 säädetään Euroopan tietosuojaneuvoston pakollisesta kuulemisesta, esimerkiksi silloin, kun on kyse tietosuojan riittävyyttä koskevista päätöksistä tai vakiomuotoisia kuvakkeita ja sertifiointimekanismeille asetettavia vaatimuksia koskevista delegoiduista säädöksistä. Jos kyseinen säädös on erityisen tärkeä luonnollisten henkilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyssä, komission olisi myös voitava kuulla Euroopan tietosuojaneuvostoa. Näissä tapauksissa Euroopan tietosuojavaltuutetun olisi Euroopan tietosuojaneuvoston jäsenenä koordinoitava työtään tietosuojaneuvoston kanssa yhteisen lausunnon antamiseksi. Euroopan tietosuojavaltuutetun ja soveltuvin osin Euroopan tietosuojaneuvoston olisi toimitettava kirjalliset lausuntonsa kahdeksan viikon kuluessa. Kyseisen määräajan olisi oltava lyhyempi kiireellisissä tapauksissa tai silloin, kun se on muuten aiheellista, esimerkiksi komission valmistellessa delegoituja säädöksiä ja täytäntöönpanosäädöksiä.

    (61)

    Euroopan tietosuojavaltuutetun olisi huolehdittava Euroopan tietosuojaneuvoston sihteeristön tehtävistä asetuksen (EU) 2016/679 75 artiklan mukaisesti.

    (62)

    Tietosuojavastaavan olisi varmistettava kaikissa unionin toimielimissä ja elimissä, että tämän asetuksen säännöksiä sovelletaan, ja neuvottava rekisterinpitäjiä ja henkilötietojen käsittelijöitä näiden velvoitteiden noudattamisessa. Tietosuojavastaavan olisi oltava henkilö, jolla on asiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä, mikä olisi määritettävä etenkin rekisterinpitäjän tai henkilötietojen käsittelijän suorittamien tietojenkäsittelytoimien ja asianomaisten henkilötietojen edellyttämän suojan perusteella. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti.

    (63)

    Kun henkilötietoja siirretään unionin toimielimistä ja elimistä kolmansissa maissa oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille tai kansainvälisille järjestöille, olisi taattava luonnollisten henkilöiden suojelun taso, joka unionissa perustuu tähän asetukseen. Sama suojelun taso olisi taattava silloin, kun kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa oleville rekisterinpitäjille tai henkilötietojen käsittelijöille tai muulle kansainväliselle järjestölle. Siirtoja kolmansiin maihin ja kansainvälisille järjestöille voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta kaikilta osin noudattaen ja perusoikeuskirjassa vahvistettuja perusoikeuksia ja -vapauksia kunnioittaen. Siirto voitaisiin toteuttaa ainoastaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä noudattaa tämän asetuksen säännöksissä vahvistettuja edellytyksiä, jotka liittyvät henkilötietojen siirtoon kolmansiin maihin tai kansainvälisille järjestöille, ellei tämän asetuksen muista säännöksistä muuta johdu.

    (64)

    Komissio voi päättää asetuksen (EU) 2016/679 45 artiklan tai direktiivin (EU) 2016/680 36 artiklan nojalla, että kolmas maa, kolmannen maan alue tai tietty sektori tai kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan. Tällöin unionin toimielin tai elin voi siirtää henkilötietoja kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle ilman erillistä lupaa.

    (65)

    Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan komission tai Euroopan tietosuojavaltuutetun hyväksymiä tietosuojaa koskevia vakiolausekkeita tai Euroopan tietosuojavaltuutetun hyväksymiä sopimuslausekkeita. Jos henkilötietojen käsittelijä ei ole unionin toimielin tai elin, asianmukaisia suojatoimia voivat olla myös yritystä koskevat sitovat säännöt, käytännesäännöt ja sertifiointimekanismit, joita käytetään asetuksen (EU) 2016/679 mukaisissa kansainvälisissä siirroissa. Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa. Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin. Unionin toimielimet ja elimet voivat toteuttaa siirtoja myös kolmansien maiden viranomaisille tai julkisille elimille tai vastaavia tehtäviä suorittaville kansainvälisille järjestöille esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella. Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava Euroopan tietosuojavaltuutetun lupa.

    (66)

    Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai Euroopan tietosuojavaltuutetun hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai Euroopan tietosuojavaltuutetun hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään tietosuojaa koskevia vakiolausekkeita.

    (67)

    Jotkut kolmannet maat hyväksyvät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä unionin toimielinten ja elinten käsittelytoimia. Näihin voi kuulua kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätöksiä, joissa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista ja jotka eivät perustu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla kansainvälisen oikeuden vastaista ja estää tähän asetukseen perustuvan luonnollisten henkilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tunnustetun tärkeän yleistä etua koskevan syyn vuoksi.

    (68)

    Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut nimenomaisen suostumuksensa ja kun siirto tapahtuu satunnaisesti ja on tarpeellinen sopimukselle tai oikeusvaateelle, riippumatta siitä, onko kyse oikeudellisesta menettelystä tai hallinnollisesta tai tuomioistuimen ulkopuolisesta menettelystä, sääntelyelimen menettelyt mukaan lukien. Olisi myös säädettävä mahdollisuudesta tehdä tiedonsiirtoja, kun unionin oikeuteen perustuvat, yleistä etua koskevat tärkeät syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jonka oikeutettu etu sitä edellyttää. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää henkilötietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ellei se ole sallittu unionin oikeudessa, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joiden oikeutettu etu sitä edellyttää, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai, jos he ovat henkilötietojen vastaanottajia, siten, että otetaan täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet.

    (69)

    Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisestä tiedonvaihdosta unionin toimielinten ja elinten sekä kilpailuviranomaisten, vero- tai tullihallintojen, finanssivalvonnasta vastaavien viranomaisten ja sosiaaliturvasta tai kansanterveydestä vastaavien yksikköjen välillä esimerkiksi tartuntatautien vuoksi tehtävän kontaktien jäljityksen yhteydessä tai urheilussa esiintyvän dopingin vähentämiseksi ja/tai lopettamiseksi. Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen, kuten fyysisen koskemattomuuden ja hengen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen tietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, hänen henkilötietojensa siirto kansainväliselle humanitaariselle järjestölle, jotta se voisi suorittaa tehtävän, joka sille Geneven yleissopimusten nojalla kuuluu, tai aseellisissa konflikteissa sovellettavan kansainvälisen humanitaarisen oikeuden noudattamiseksi, voidaan katsoa tarpeelliseksi yleistä etua koskevan tärkeän syyn vuoksi tai koska se on rekisteröidyn elintärkeiden etujen mukaista.

    (70)

    Jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista.

    (71)

    Henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta kansalliset valvontaviranomaiset ja Euroopan tietosuojavaltuutettu eivät välttämättä pysty käsittelemään kanteluja tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan niiden lainkäyttöalueen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. Sen vuoksi olisi edistettävä tiiviimpää yhteistyötä Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välillä, jotta voidaan vaihtaa tietoja kansainvälisten kumppanien kanssa.

    (72)

    Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on ollut perustaa asetuksella (EY) N:o 45/2001 Euroopan tietosuojavaltuutettu, jolle on myönnetty valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti. Tällä asetuksella olisi vahvistettava edelleen ja selvennettävä hänen rooliaan ja riippumattomuuttaan. Euroopan tietosuojavaltuutetun olisi oltava henkilö, jonka riippumattomuudesta ei ole epäilystä ja jolla on yleisesti tunnustettu kokemus ja pätevyys Euroopan tietosuojavaltuutetun tehtävien hoitamiseen esimerkiksi sen johdosta, että hän on kuulunut johonkin asetuksen (EU) 2016/679 51 artiklalla perustetuista valvontaviranomaisista.

    (73)

    Jotta voidaan varmistaa tietosuojasääntöjen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, Euroopan tietosuojavaltuutetulla olisi oltava samanlaiset tehtävät ja valtuudet kuin kansallisilla valvontaviranomaisilla, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät kanteluja, ja valtuudet saattaa tämän asetuksen rikkomiset unionin tuomioistuimen tietoon ja valtuudet panna vireille oikeustoimia primaarioikeuden mukaisesti. Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto. Jotta vältetään aiheuttamasta tarpeettomia kustannuksia ja liiallisia haittoja asianomaisille henkilöille, joihin toimenpide vaikuttaisi epäedullisesti, jokaisen Euroopan tietosuojavaltuutetun toimenpiteen olisi oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet ja kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi, ennen kuin ryhdytään asianomaiseen yksittäiseen toimenpiteeseen. Jokainen Euroopan tietosuojavaltuutetun oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antamispäivä, sen olisi oltava Euroopan tietosuojavaltuutetun allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen.

    (74)

    Euroopan tietosuojavaltuutetun valvontavalta ei saisi kattaa unionin tuomioistuimen lainkäyttötehtäviensä yhteydessä suorittamaa henkilötietojen käsittelyä, jotta voidaan turvata unionin tuomioistuimen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien. Tällaisissa käsittelytoimissa unionin tuomioistuimen olisi huolehdittava riippumattomasta valvonnasta perusoikeuskirjan 8 artiklan 3 kohdan mukaisesti esimerkiksi sisäisen mekanismin avulla.

    (75)

    Euroopan tietosuojavaltuutetun päätökset, jotka koskevat tietojenkäsittelytoimiin liittyviä, tässä asetuksessa määriteltyjä poikkeuksia, takeita, lupia ja ehtoja, olisi julkaistava toimintakertomuksessa. Vuosittain julkaistavan toimintakertomuksen lisäksi Euroopan tietosuojavaltuutettu voi julkaista kertomuksia erityisaiheista.

    (76)

    Euroopan tietosuojavaltuutetun olisi noudatettava Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1049/2001 (9).

    (77)

    Kansalliset valvontaviranomaiset seuraavat asetuksen (EU) 2016/679 soveltamista ja varmistavat osaltaan, että sitä sovelletaan yhdenmukaisesti kaikkialla unionissa, luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi sisämarkkinoilla. Jotta voidaan lisätä jäsenvaltioissa sovellettavien tietosuojasääntöjen ja unionin toimielimiin ja elimiin sovellettavien tietosuojasääntöjen soveltamisen yhdenmukaisuutta, Euroopan tietosuojavaltuutetun olisi tehtävä yhteistyötä tehokkaasti kansallisten valvontaviranomaisten kanssa.

    (78)

    Unionin oikeudessa säädetään tietyissä tapauksissa Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välisestä koordinoidun valvonnan mallista. Euroopan tietosuojavaltuutettu on myös Europolin valvontaviranomainen, ja tässä tarkoituksessa on otettu käyttöön kansallisten valvontaviranomaisten kanssa tehtävän yhteistyön malli neuvoa-antavana elimenä toimivan yhteistyöneuvoston kautta. Aineellisten tietosuojasääntöjen valvonnan ja täytäntöönpanon parantamiseksi unionissa olisi otettava käyttöön yksi yhtenäinen koordinoidun valvonnan malli. Komission olisi sen vuoksi tarvittaessa esitettävä lainsäädäntöehdotuksia koordinoidun valvonnan mallia koskevien unionin säädösten muuttamiseksi, jotta ne vastaisivat tämän asetuksen mukaista koordinoidun valvonnan mallia. Euroopan tietosuojaneuvoston olisi toimittava keskitettynä foorumina, jonka avulla varmistetaan tehokas koordinoitu valvonta kaikilla aloilla.

    (79)

    Jokaisella rekisteröidyllä olisi oltava oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle sekä oikeus tehokkaisiin oikeussuojakeinoihin unionin tuomioistuimessa perussopimusten mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos Euroopan tietosuojavaltuutettu ei käsittele kantelua, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Kantelu olisi tutkittava siinä määrin, kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Euroopan tietosuojavaltuutetun olisi ilmoitettava rekisteröidylle kantelun käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan koordinointia kansallisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle. Kantelujen tekemisen helpottamiseksi Euroopan tietosuojavaltuutetun olisi toteutettava toimenpiteitä, esimerkiksi toimitettava kantelulomake, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

    (80)

    Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä olisi oltava oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta perussopimuksissa määrättyjen edellytysten mukaisesti.

    (81)

    Euroopan tietosuojavaltuutetun valvontaroolin ja tämän asetuksen tehokkaan täytäntöönpanon lujittamiseksi Euroopan tietosuojavaltuutetulla olisi oltava valtuudet määrätä hallinnollisia sakkoja viimesijaisena seuraamuksena. Sakkojen tavoitteena olisi oltava seuraamusten määrääminen unionin toimielimelle tai elimelle, pikemmin kuin yksittäiselle henkilölle, tämän asetuksen noudattamatta jättämisestä, tämän asetuksen tulevien rikkomisten ehkäiseminen ja henkilötietojen suojaan perustuvan toimintakulttuurin edistäminen unionin toimielimissä ja elimissä. Tässä asetuksessa olisi yksilöitävä rikkomiset, joista voidaan määrätä hallinnollinen sakko, ja näiden sakkojen enimmäismäärä ja määrän asettamisen perusteet. Euroopan tietosuojavaltuutetun olisi vahvistettava sakkojen määrä kussakin tapauksessa erikseen ottaen huomioon kaikki erityisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon rikkomisen luonne, vakavuus ja kesto, sen seuraukset ja toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Määrätessään hallinnollista sakkoa unionin toimielimelle tai elimelle Euroopan tietosuojavaltuutetun olisi otettava huomioon sakon määrän oikeasuhteisuus. Unionin toimielimille ja elimille määrättäviä sakkoja koskevassa hallinnollisessa menettelyssä olisi noudatettava unionin oikeuden yleisiä periaatteita, sellaisina kuin unionin tuomioistuin niitä tulkitsee.

    (82)

    Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu unionin oikeuden tai kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan kantelu Euroopan tietosuojavaltuutetulle. Tällaisella elimellä, järjestöllä tai yhdistyksellä olisi oltava oikeus käyttää oikeussuojakeinoja rekisteröityjen puolesta tai käyttää korvauksensaamisoikeutta rekisteröityjen puolesta.

    (83)

    Unionin virkamiehelle tai muulle henkilöstön jäsenelle, joka jättää täyttämättä tämän asetuksen mukaiset velvollisuutensa, olisi määrättävä kurinpito- tai muu seuraamus Euroopan unionin virkamiehiin sovellettavissa henkilöstösäännöissä ja unionin muuta henkilöstöä koskevissa palvelussuhteen ehdoissa, jotka on vahvistettu neuvoston asetuksella (ETY, Euratom, EHTY) N:o 259/68 (10), jäljempänä ”henkilöstösäännöt”, vahvistettujen sääntöjen ja menettelyjen mukaisesti.

    (84)

    Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (11) mukaisesti. Olisi käytettävä tarkastelumenettelyä, kun hyväksytään rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sekä henkilötietojen käsittelijöiden välisiä vakiosopimuslausekkeita, kun hyväksytään luettelo käsittelytoimista, joiden toteuttamiseen henkilötietoja käsittelevien rekisterinpitäjien yleistä etua koskevan tehtävän suorittamiseksi edellytetään Euroopan tietosuojavaltuutetun ennakkokuulemista, ja kun hyväksytään vakiosopimuslausekkeita asianmukaisista suojatoimista kansainvälisiä siirtoja varten.

    (85)

    Luottamukselliset tiedot, joita unionin ja kansalliset tilastoviranomaiset keräävät virallisten Euroopan tilastojen ja virallisten kansallisten tilastojen laatimiseksi, olisi suojattava. Euroopan tilastoja olisi kehitettävä, ne olisi laadittava ja niitä olisi levitettävä Euroopan unionin toiminnasta tehdyn sopimuksen 338 artiklan 2 kohdassa vahvistettujen tilastollisten periaatteiden mukaisesti. Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 223/2009 (12) annetaan yksityiskohtaisempi selvitys Euroopan tilastoja koskevan tilastosalaisuuden suojaamisesta.

    (86)

    Asetus (EY) N:o 45/2001 ja Euroopan parlamentin, neuvoston ja komission päätös N:o 1247/2002/EY (13) olisi kumottava. Viittauksia kumottuihin asetukseen ja päätökseen olisi pidettävä viittauksina tähän asetukseen.

    (87)

    Riippumattoman valvontaviranomaisen jäsenten täysimääräisen riippumattomuuden turvaamiseksi tämä asetus ei saisi vaikuttaa nykyisen Euroopan tietosuojavaltuutetun ja nykyisen apulaistietosuojavaltuutetun toimikauteen. Nykyisen apulaistietosuojavaltuutetun olisi pysyttävä toimessaan toimikautensa päättymiseen saakka, jollei jokin tässä asetuksessa säädetyistä Euroopan tietosuojavaltuutetun toimikauden ennenaikaista päättymistä koskevista edellytyksistä täyty. Tämän asetuksen asiaankuuluvia säännöksiä olisi sovellettava apulaistietosuojavaltuutettuun hänen toimikautensa päättymiseen saakka.

    (88)

    Suhteellisuusperiaatteen mukaisesti on tarpeen ja aiheellista luonnollisten henkilöiden yhdenmukaista suojelua henkilötietojen käsittelyssä ja henkilötietojen vapaata liikkuvuutta kaikkialla unionissa koskevan perustavoitteen toteuttamiseksi säätää henkilötietojen käsittelystä unionin toimielimissä ja elimissä. Euroopan unionista tehdyn sopimuksen 5 artiklan 4 kohdan mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen aiottujen tavoitteiden saavuttamiseksi.

    (89)

    Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti, ja hän on antanut lausunnon 15 päivänä maaliskuuta 2017 (14),

    OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

    I LUKU

    YLEISET SÄÄNNÖKSET

    1 artikla

    Kohde ja tavoitteet

    1.   Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle unionin toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta näiden välillä tai muille unioniin sijoittautuneille vastaanottajille.

    2.   Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

    3.   Euroopan tietosuojavaltuutettu valvoo tämän asetuksen säännösten soveltamista kaikkiin unionin toimielimen tai elimen suorittamiin käsittelytoimiin.

    2 artikla

    Soveltamisala

    1.   Tätä asetusta sovelletaan kaikkien unionin toimielinten ja elinten suorittamaan henkilötietojen käsittelyyn.

    2.   Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn sovelletaan ainoastaan tämän asetuksen 3 artiklaa ja IX lukua.

    3.   Tätä asetusta ei sovelleta Europolin eikä Euroopan syyttäjänviraston suorittamaan operatiivisten henkilötietojen käsittelyyn, ennen kuin Euroopan parlamentin ja neuvoston asetusta (EU) 2016/794 (15) ja neuvoston asetusta (EU) 2017/1939 (16) mukautetaan tämän asetuksen 98 artiklan mukaisesti.

    4.   Tätä asetusta ei sovelleta henkilötietojen käsittelyyn Euroopan unionista tehdyn sopimuksen 42 artiklan 1 kohdassa ja 43 ja 44 artiklassa tarkoitetuissa tehtävissä.

    5.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

    3 artikla

    Määritelmät

    Tässä asetuksessa tarkoitetaan:

    1)

    ”henkilötiedoilla” kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ”rekisteröity”, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

    2)

    ”operatiivisilla henkilötiedoilla” kaikkia henkilötietoja, joita Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavat unionin elimet ja laitokset käsittelevät kyseisten elinten ja laitosten perustamisesta annetuissa säädöksissä vahvistettujen tavoitteiden saavuttamiseksi ja tehtävien suorittamiseksi;

    3)

    ”käsittelyllä” toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

    4)

    ”käsittelyn rajoittamisella” tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;

    5)

    ”profiloinnilla” mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin;

    6)

    ”pseudonymisoinnilla” henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu;

    7)

    ”rekisterillä” mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

    8)

    ”rekisterinpitäjällä” unionin toimielintä tai elintä tai pääosastoa tai muuta organisatorista kokonaisuutta, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin erityissäädöksellä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden mukaisesti;

    9)

    ”muilla rekisterinpitäjillä kuin unionin toimielimillä ja elimillä” asetuksen (EU) 2016/679 4 artiklan 7 alakohdassa tarkoitettuja rekisterinpitäjiä ja direktiivin (EU) 2016/680 3 artiklan 8 alakohdassa tarkoitettuja rekisterinpitäjiä;

    10)

    ”unionin toimielimillä ja elimillä” unionin toimielimiä, elimiä ja laitoksia, jotka on perustettu Euroopan unionista tehdyllä sopimuksella, Euroopan unionin toiminnasta tehdyllä sopimuksella tai Euroopan atomienergiayhteisön perustamissopimuksella tai niiden perusteella;

    11)

    ”toimivaltaisella viranomaisella” kaikkia jäsenvaltion viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;

    12)

    ”henkilötietojen käsittelijällä” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

    13)

    ”vastaanottajalla” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti;

    14)

    ”kolmannella osapuolella” luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, jolla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena;

    15)

    rekisteröidyn ”suostumuksella” mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen;

    16)

    ”henkilötietojen tietoturvaloukkauksella” tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin;

    17)

    ”geneettisillä tiedoilla” henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla;

    18)

    ”biometrisillä tiedoilla” kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa;

    19)

    ”terveystiedoilla” luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa;

    20)

    ”tietoyhteiskunnan palveluilla” palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (17) 1 artiklan 1 kohdan b alakohdassa;

    21)

    ”kansainvälisellä järjestöllä” järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella;

    22)

    ”kansallisella valvontaviranomaisella” jäsenvaltion asetuksen (EU) 2016/679 51 artiklan nojalla tai direktiivin (EU) 2016/680 41 artiklan nojalla perustamaa riippumatonta viranomaista;

    23)

    ”käyttäjällä” luonnollista henkilöä, joka käyttää unionin toimielimen tai elimen valvonnassa toimivaa verkkoa tai päätelaitetta;

    24)

    ”luettelolla” yleisesti saatavilla olevaa käyttäjäluetteloa tai sisäistä käyttäjäluetteloa, joka on saatavilla unionin toimielimessä tai elimessä tai on unionin toimielinten ja elinten yhteinen ja joka on joko painetussa tai sähköisessä muodossa;

    25)

    ”sähköisellä viestintäverkolla” siirtojärjestelmiä riippumatta siitä, perustuvatko ne pysyvään infrastruktuuriin tai keskitettyyn hallintokapasiteettiin vai eivät, sekä soveltuvin osin kytkentä- tai reitityslaitteistoa ja muita välineitä, myös verkkoelementtejä, jotka eivät ole aktiivisia, joilla voidaan siirtää signaaleja johtojen välityksellä, radioteitse, optisesti tai muulla sähkömagneettisella tavalla, mukaan lukien satelliittiverkot, kiinteät (piiri- ja pakettikytkentäiset, mukaan lukien internet) ja maanpäälliset matkaviestintäverkot, sähkökaapelijärjestelmät siinä määrin kuin niitä käytetään signaalinsiirtoon, radio- ja televisiolähetyksiin käytetyt verkot sekä kaapelitelevisioverkot riippumatta siitä, minkä tyyppistä informaatiota niissä siirretään;

    26)

    ”päätelaitteella” komission direktiivin 2008/63/EY (18) 1 artiklan 1 alakohdassa määriteltyä päätelaitetta.

    II LUKU

    YLEISET PERIAATTEET

    4 artikla

    Henkilötietojen käsittelyä koskevat periaatteet

    1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

    a)

    niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);

    b)

    ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin tämän tarkoituksen kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 13 artiklan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”);

    c)

    niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

    d)

    niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

    e)

    ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan, kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 13 artiklan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”);

    f)

    niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimenpiteitä (”eheys ja luottamuksellisuus”).

    2.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).

    5 artikla

    Käsittelyn lainmukaisuus

    1.   Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

    a)

    käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai unionin toimielimelle tai elimelle kuuluvan julkisen vallan käyttämiseksi;

    b)

    käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

    c)

    käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

    d)

    rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

    e)

    käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.

    2.   Edellä 1 kohdan a ja b alakohdassa tarkoitetun käsittelyn perustasta on säädettävä unionin oikeudessa.

    6 artikla

    Käsittely toista yhteensopivaa tarkoitusta varten

    Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi henkilötiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 25 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin:

    a)

    henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;

    b)

    henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

    c)

    henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 10 artiklan mukaisesti tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja 11 artiklan mukaisesti;

    d)

    aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

    e)

    asianmukaisten suojatoimien, kuten salauksen tai pseudonymisoinnin, olemassaolo.

    7 artikla

    Suostumuksen edellytykset

    1.   Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.

    2.   Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tämän asetuksen vastainen osa sellaisesta ilmoituksesta ei ole sitova.

    3.   Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

    4.   Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

    8 artikla

    Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot

    1.   Jos 5 artiklan 1 kohdan d alakohtaa sovelletaan, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Jos lapsi on alle 13-vuotias, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin, kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

    2.   Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen.

    3.   Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen, kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

    9 artikla

    Henkilötietojen siirrot muille unioniin sijoittautuneille vastaanottajille kuin unionin toimielimille ja elimille

    1.   Rajoittamatta 4–6 ja 10 artiklan soveltamista henkilötietoja voidaan siirtää muille unioniin sijoittautuneille vastaanottajille kuin unionin toimielimille ja elimille vain, jos

    a)

    vastaanottaja osoittaa, että tiedot ovat tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai vastaanottajalle kuuluvan julkisen vallan käyttämiseksi; tai

    b)

    vastaanottaja osoittaa, että tiedot on tarpeen siirtää yleistä etua koskevaa erityistä tarkoitusta varten, ja jos on syytä olettaa, että rekisteröidyn oikeutetut edut voivat joutua vaaraan, rekisterinpitäjä vahvistaa, että henkilötietojen siirtäminen on oikeasuhteista kyseistä erityistä tarkoitusta varten, arvioituaan todistetusti erilaiset kilpailevat edut.

    2.   Jos rekisterinpitäjä aloittaa tietojen siirtämisen tämän artiklan nojalla, sen on osoitettava, että henkilötietojen siirtäminen on tarpeen ja oikeassa suhteessa siirron tarkoituksiin nähden, soveltamalla 1 kohdan a tai b alakohdassa vahvistettuja kriteerejä.

    3.   Unionin toimielimet ja elimet sovittavat yhteen henkilötietojen suojaa koskevan oikeuden ja oikeuden saada tutustua asiakirjoihin unionin oikeuden mukaisesti.

    10 artikla

    Erityisiä henkilötietoryhmiä koskeva käsittely

    1.   Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely luonnollisen henkilön yksiselitteistä tunnistamista varten tai terveystietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien tietojen käsittely on kiellettyä.

    2.   Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

    a)

    rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

    b)

    käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työlainsäädännön sekä sosiaaliturvaa ja sosiaalista suojelua koskevan lainsäädännön alalla, siltä osin kuin se sallitaan unionin oikeudessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

    c)

    käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

    d)

    käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän voittoa tavoittelemattoman, unionin toimielimeen tai elimeen integroidun yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan tämän yhteisön jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöön säännölliset, yhteisön tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

    e)

    käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

    f)

    käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun unionin tuomioistuin suorittaa lainkäyttötehtäviään;

    g)

    käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden nojalla edellyttäen, että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

    h)

    käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

    i)

    käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon ja lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi; tai

    j)

    käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeuden nojalla, edellyttäen, että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

    3.   Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka muu henkilö, jolla niin ikään on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

    11 artikla

    Rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely

    Rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 5 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

    12 artikla

    Käsittely, joka ei edellytä tunnistamista

    1.   Jos tarkoitukset, joihin rekisterinpitäjä käsittelee henkilötietoja, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi.

    2.   Jos tämän artiklan 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä pystyy osoittamaan, ettei se pysty tunnistamaan rekisteröityä, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle, jos tämä on mahdollista. Tällaisissa tapauksissa 17–22 artiklaa ei sovelleta, paitsi jos rekisteröity näiden artikloiden mukaisia oikeuksiaan käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa.

    13 artikla

    Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat suojatoimet

    Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällaisiin toimenpiteisiin voi sisältyä pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos nämä tarkoitukset on mahdollista täyttää käsittelemällä myöhemmin tietoja, minkä johdosta ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, nämä tarkoitukset on täytettävä tällä tavoin.

    III LUKU

    REKISTERÖIDYN OIKEUDET

    1 JAKSO

    Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt

    14 artikla

    Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

    1.   Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 ja 16 artiklan mukaiset tiedot ja 17–24 artiklan ja 35 artiklan mukaiset kaikki käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

    2.   Rekisterinpitäjän on helpotettava 17–24 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 12 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 17–24 artiklan mukaisten oikeuksien käyttämiseksi, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

    3.   Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 17–24 artiklan nojalla tehdyn pyynnön johdosta, ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

    4.   Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.

    5.   Jäljempänä olevan 15 ja 16 artiklan nojalla toimitetut tiedot ja kaikki 17–24 ja 35 artiklaan perustuvat ilmoitukset ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

    6.   Jos rekisterinpitäjällä on perusteltua syytä epäillä 17–23 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.

    7.   Jäljempänä 15 ja 16 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

    8.   Jos komissio antaa asetuksen (EU) 2016/679 12 artiklan 8 kohdan mukaisesti delegoituja säädöksiä, joissa määritetään kuvakkeilla annettavat tiedot ja menettelyt, joilla vakiomuotoisia kuvakkeita tarjotaan käyttöön, unionin toimielimet ja elimet antavat tarvittaessa tämän asetuksen 15 ja 16 artiklassa tarkoitetut tiedot yhdistettynä tällaisiin vakiomuotoisiin kuvakkeisiin.

    2 JAKSO

    Ilmoittaminen ja pääsy henkilötietoihin

    15 artikla

    Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä

    1.   Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

    a)

    rekisterinpitäjän nimi ja yhteystiedot;

    b)

    tietosuojavastaavan yhteystiedot;

    c)

    henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperusta;

    d)

    mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

    e)

    tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 48 artiklassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

    2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

    a)

    henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

    b)

    rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai tarvittaessa oikeus vastustaa käsittelyä tai oikeus siirtää tiedot järjestelmästä toiseen;

    c)

    oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 5 artiklan 1 kohdan d alakohtaan tai 10 artiklan 2 kohdan a alakohtaan;

    d)

    oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle;

    e)

    onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;

    f)

    jäljempänä 24 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, muun muassa profiloinnin, olemassaolo sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

    3.   Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

    4.   Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot.

    16 artikla

    Toimitettavat henkilötiedot, kun henkilötietoja ei ole saatu rekisteröidyltä

    1.   Kun henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

    a)

    rekisterinpitäjän nimi ja yhteystiedot;

    b)

    tietosuojavastaavan yhteystiedot;

    c)

    henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperusta;

    d)

    kyseessä olevat henkilötietoryhmät;

    e)

    mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

    f)

    tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 48 artiklassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

    2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

    a)

    henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

    b)

    rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai tarvittaessa oikeus vastustaa käsittelyä tai oikeus siirtää tiedot järjestelmästä toiseen;

    c)

    oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 5 artiklan 1 kohdan d alakohtaan tai 10 artiklan 2 kohdan a alakohtaan;

    d)

    oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle;

    e)

    mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä;

    f)

    jäljempänä 24 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, muun muassa profiloinnin, olemassaolo sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

    3.   Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot

    a)

    kohtuullisen ajan kuluessa mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon henkilötietojen käsittelyyn liittyvät erityiset olosuhteet;

    b)

    jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

    c)

    jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

    4.   Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

    5.   Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

    a)

    rekisteröity on jo saanut tiedot;

    b)

    kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti;

    c)

    tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti unionin oikeudessa, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

    d)

    tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.

    6.   Edellä 5 kohdan b alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien, vapauksien ja oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville.

    17 artikla

    Rekisteröidyn oikeus saada pääsy tietoihin

    1.   Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

    a)

    käsittelyn tarkoitukset;

    b)

    kyseessä olevat henkilötietoryhmät;

    c)

    vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;

    d)

    mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

    e)

    rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;

    f)

    oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle;

    g)

    jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot;

    h)

    jäljempänä 24 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, muun muassa profiloinnin, olemassaolo sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

    2.   Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus 48 artiklassa tarkoitetuista siirtoa koskevista asianmukaisista suojatoimista.

    3.   Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

    4.   Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

    3 JAKSO

    Tietojen oikaiseminen ja poistaminen

    18 artikla

    Oikeus tietojen oikaisemiseen

    Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

    19 artikla

    Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

    1.   Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

    a)

    henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

    b)

    rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 5 artiklan 1 kohdan d alakohdan tai 10 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

    c)

    rekisteröity vastustaa käsittelyä 23 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä;

    d)

    henkilötietoja on käsitelty lainvastaisesti;

    e)

    henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;

    f)

    henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

    2.   Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille tai muille rekisterinpitäjille kuin unionin toimielimille ja elimille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

    3.   Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

    a)

    sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

    b)

    rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

    c)

    kansanterveyteen liittyvää yleistä etua koskevista syistä 10 artiklan 2 kohdan h ja i alakohdan sekä 10 artiklan 3 kohdan mukaisesti;

    d)

    yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tavoitteiden saavuttamisen tai vaikeuttaa sitä suuresti; tai

    e)

    oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

    20 artikla

    Oikeus käsittelyn rajoittamiseen

    1.   Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:

    a)

    rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden, mukaan lukien niiden täydellisyys;

    b)

    käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

    c)

    rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

    d)

    rekisteröity on vastustanut henkilötietojen käsittelyä 23 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

    2.   Jos käsittelyä on rajoitettu 1 kohdan nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

    3.   Jos rekisteröity on saanut käsittelyn rajoitetuksi 1 kohdan nojalla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.

    4.   Automaattisissa rekistereissä henkilötietojen käsittelyn rajoittaminen on lähtökohtaisesti varmistettava teknisin keinoin. Henkilötietojen käsittelyn rajoittaminen on ilmaistava rekisterissä siten, että käy selvästi ilmi, ettei henkilötietoja voi käyttää.

    21 artikla

    Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus

    Rekisterinpitäjän on ilmoitettava kaikenlaisista 18 artiklan, 19 artiklan 1 kohdan ja 20 artiklan mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

    22 artikla

    Oikeus siirtää tiedot järjestelmästä toiseen

    1.   Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

    a)

    käsittely perustuu suostumukseen 5 artiklan 1 kohdan d alakohdan tai 10 artiklan 2 kohdan a alakohdan nojalla tai sopimukseen 5 artiklan 1 kohdan c alakohdan nojalla; ja

    b)

    käsittely suoritetaan automaattisesti.

    2.   Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle tai muille rekisterinpitäjille kuin unionin toimielimille tai elimille, jos se on teknisesti mahdollista.

    3.   Tämän artiklan 1 kohdassa tarkoitetun oikeuden käyttäminen ei saa rajoittaa 19 artiklan soveltamista. Tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

    4.   Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

    4 JAKSO

    Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtävät yksittäispäätökset

    23 artikla

    Vastustamisoikeus

    1.   Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 5 artiklan 1 kohdan a alakohtaan, kuten kyseiseen säännökseen perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

    2.   Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

    3.   Tietoyhteiskunnan palvelujen käyttämisen yhteydessä rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen, sanotun kuitenkaan rajoittamatta 36 ja 37 artiklan soveltamista.

    4.   Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

    24 artikla

    Automatisoidut yksittäispäätökset, profilointi mukaan lukien

    1.   Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

    2.   Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

    a)

    on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;

    b)

    on hyväksytty unionin oikeudessa, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai

    c)

    perustuu rekisteröidyn nimenomaiseen suostumukseen.

    3.   Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.

    4.   Tämän artiklan 2 kohdassa tarkoitetut päätökset eivät saa perustua 10 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 10 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

    5 JAKSO

    Rajoitukset

    25 artikla

    Rajoitukset

    1.   Perussopimusten perusteella annetuissa säädöksissä tai unionin toimielinten ja elinten toimintaan liittyvissä asioissa näiden vahvistamissa sisäisissä säännöissä voidaan rajoittaa 14–22, 35 ja 36 artiklan soveltamista sekä 4 artiklan soveltamista, siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

    a)

    jäsenvaltioiden kansallinen turvallisuus, yleinen turvallisuus ja puolustus;

    b)

    rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;

    c)

    muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionin yhteisen ulko- ja turvallisuuspolitiikan tavoitteet tai unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;

    d)

    unionin toimielinten ja elinten ja myös niiden sähköisen viestinnän verkkojen sisäinen turvallisuus;

    e)

    oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;

    f)

    säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytetoimet;

    g)

    valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–c alakohdassa tarkoitetuissa tapauksissa;

    h)

    rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;

    i)

    yksityisoikeudellisten kanteiden täytäntöönpano.

    2.   Edellä 1 kohdassa tarkoitettujen säädösten tai sisäisten sääntöjen on sisällettävä tarpeen mukaan erityisiä säännöksiä tai määräyksiä, jotka koskevat

    a)

    käsittelytarkoitusta tai käsittelyn ryhmiä;

    b)

    henkilötietoryhmiä;

    c)

    käyttöön otettujen rajoitusten soveltamisalaa;

    d)

    suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden lainvastainen siirtäminen;

    e)

    rekisterinpitäjän tai rekisterinpitäjäryhmien määrittämistä;

    f)

    tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset; ja

    g)

    rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä.

    3.   Kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

    4.   Kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten, unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20, 21, 22 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

    5.   Edellä 1, 3 ja 4 kohdassa tarkoitettujen sisäisten sääntöjen on oltava selkeitä ja täsmällisiä, soveltamisalaltaan yleisiä säädöksiä, joiden tarkoituksena on tuottaa rekisteröityihin kohdistuvia oikeusvaikutuksia, jotka hyväksytään unionin toimielinten ja elinten ylimmän johdon tasolla ja jotka on julkaistava Euroopan unionin virallisessa lehdessä.

    6.   Jos asetetaan rajoitus 1 kohdan nojalla, rekisteröidylle on ilmoitettava unionin oikeuden mukaisesti pääasialliset syyt rajoituksen soveltamiseen sekä se, että hänellä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle.

    7.   Jos 1 kohdan nojalla asetettuun rajoitukseen vedotaan tietoihin pääsyä koskevan oikeuden epäämiseksi rekisteröidyltä, Euroopan tietosuojavaltuutettu ilmoittaa hänelle kantelua tutkiessaan ainoastaan, onko tiedot käsitelty asianmukaisesti ja, jos näin ei ole, onko tarpeelliset oikaisut tehty.

    8.   Tämän artiklan 6 ja 7 kohdassa sekä 45 artiklan 2 kohdassa tarkoitettua ilmoittamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi tämän artiklan 1 kohdan nojalla asetetun rajoituksen vaikutuksen.

    IV LUKU

    REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

    1 JAKSO

    Yleiset velvoitteet

    26 artikla

    Rekisterinpitäjän vastuu

    1.   Ottaen huomioon käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

    2.   Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

    3.   Asetuksen (EU) 2016/679 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan.

    27 artikla

    Sisäänrakennettu ja oletusarvoinen tietosuoja

    1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelyn keinojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa ja tarvittavien suojatoimien käsittelyn osaksi sisällyttämistä varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

    2.   Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

    3.   Asetuksen (EU) 2016/679 42 artiklan mukaista hyväksyttyä sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan.

    28 artikla

    Yhteisrekisterinpitäjät

    1.   Jos vähintään kaksi rekisterinpitäjää tai yksi tai useampi rekisterinpitäjä yhdessä yhden tai useamman muun rekisterinpitäjän kuin unionin toimielinten tai elinten kanssa määrittävät yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuojavelvoitteidensa noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 15 ja 16 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin yhteisrekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään yhteisrekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

    2.   Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

    3.   Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

    29 artikla

    Henkilötietojen käsittelijä

    1.   Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

    2.   Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

    3.   Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on määrättävä erityisesti, että henkilötietojen käsittelijä

    a)

    käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;

    b)

    varmistaa, että henkilöt, joilla on lupa käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

    c)

    toteuttaa kaikki 33 artiklassa vaaditut toimenpiteet;

    d)

    noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;

    e)

    ottaen huomioon käsittelyn luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

    f)

    auttaa rekisterinpitäjää varmistamaan, että 33–41 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonne ja henkilötietojen käsittelijän saatavilla olevat tiedot;

    g)

    rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palvelujen tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

    h)

    saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

    Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

    4.   Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimien suorittamiseksi rekisterinpitäjän lukuun, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa, erityisesti antaen riittävät takeet siitä, että asianmukaiset tekniset ja organisatoriset toimenpiteet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

    5.   Kun henkilötietojen käsittelijä ei ole unionin toimielin tai elin, sitä, että se noudattaa asetuksen (EU) 2016/679 40 artiklan 5 kohdassa tarkoitettuja hyväksyttyjä käytännesääntöjä tai asetuksen (EU) 2016/679 42 artiklassa tarkoitettua hyväksyttyä sertifiointimekanismia, voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.

    6.   Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän mahdollista yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa muulle henkilötietojen käsittelijälle kuin unionin toimielimelle tai elimelle asetuksen (EU) 2016/679 42 artiklan mukaisesti myönnettyä sertifiointia.

    7.   Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 96 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

    8.   Euroopan tietosuojavaltuutettu voi hyväksyä vakiosopimuslausekkeita 3 ja 4 kohdassa tarkoitettuja seikkoja varten.

    9.   Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

    10.   Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 65 ja 66 artiklan soveltamista.

    30 artikla

    Tietojenkäsittely rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa

    Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.

    31 artikla

    Seloste käsittelytoimista

    1.   Kunkin rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

    a)

    rekisterinpitäjän, tietosuojavastaavan ja mahdollisen henkilötietojen käsittelijän ja yhteisrekisterinpitäjän nimi ja yhteystiedot;

    b)

    käsittelyn tarkoitukset;

    c)

    kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;

    d)

    henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien jäsenvaltioissa, kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

    e)

    tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat;

    f)

    mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;

    g)

    mahdollisuuksien mukaan yleinen kuvaus 33 artiklassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä.

    2.   Kunkin henkilötietojen käsittelijän on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

    a)

    henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä tietosuojavastaavan nimi ja yhteystiedot;

    b)

    kunkin rekisterinpitäjän lukuun suoritettujen käsittelyjen ryhmät;

    c)

    tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat;

    d)

    mahdollisuuksien mukaan yleinen kuvaus 33 artiklassa tarkoitetuista teknisistä ja organisatorisista turvatoimenpiteistä.

    3.   Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

    4.   Unionin toimielimet ja elimet saattavat pyydettäessä selosteen Euroopan tietosuojavaltuutetun saataville.

    5.   Unionin toimielimet ja elimet säilyttävät käsittelytoimista laatimansa selosteet keskusrekisterissä, paitsi jos se unionin toimielimen tai elimen koko huomioon ottaen ei ole tarkoituksenmukaista. Ne asettavat rekisterin julkisesti saataville.

    32 artikla

    Yhteistyö Euroopan tietosuojavaltuutetun kanssa

    Unionin toimielimet ja elimet tekevät pyynnöstä yhteistyötä Euroopan tietosuojavaltuutetun kanssa hänen tehtäviensä suorittamiseksi.

    2 JAKSO

    Henkilötietojen turvallisuus

    33 artikla

    Käsittelyn turvallisuus

    1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

    a)

    henkilötietojen pseudonymisointi ja salaus;

    b)

    kyky taata käsittelyjärjestelmien ja palvelujen jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

    c)

    kyky palauttaa nopeasti henkilötietojen saatavuus ja pääsy henkilötietoihin fyysisen tai teknisen vian sattuessa;

    d)

    menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

    2.   Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

    3.   Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa toisin vaadita.

    4.   Asetuksen (EU) 2016/679 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.

    34 artikla

    Henkilötietojen tietoturvaloukkauksesta ilmoittaminen Euroopan tietosuojavaltuutetulle

    1.   Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Euroopan tietosuojavaltuutetulle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle perusteltu selitys.

    2.   Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

    3.   Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

    a)

    kuvattava henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

    b)

    ilmoitettava tietosuojavastaavan nimi ja yhteystiedot;

    c)

    kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

    d)

    kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

    4.   Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivytystä.

    5.   Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle henkilötietojen tietoturvaloukkauksesta.

    6.   Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Euroopan tietosuojavaltuutetun on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

    35 artikla

    Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

    1.   Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

    2.   Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja mainittava ainakin 34 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

    3.   Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

    a)

    rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset turvatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

    b)

    rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

    c)

    se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

    4.   Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, Euroopan tietosuojavaltuutettu voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

    3 JAKSO

    Sähköisen viestinnän luottamuksellisuus

    36 artikla

    Sähköisen viestinnän luottamuksellisuus

    Unionin toimielimet ja elimet varmistavat sähköisen viestinnän luottamuksellisuuden, erityisesti suojaamalla sähköiset viestintäverkkonsa.

    37 artikla

    Käyttäjien päätelaitteille siirrettävien, niille tallennettujen, niitä koskevien, niillä käsiteltävien ja niiltä kerättyjen tietojen suojaaminen

    Unionin toimielimet ja elimet suojaavat yleisesti saatavilla olevia verkkosivustojaan ja mobiilisovelluksiaan käyttäville käyttäjien päätelaitteille siirrettävät, niille tallennetut, niitä koskevat, niillä käsiteltävät ja niiltä kerätyt tiedot direktiivin 2002/58/EY 5 artiklan 3 kohdan mukaisesti.

    38 artikla

    Käyttäjäluettelot

    1.   Käyttäjäluetteloissa olevat henkilötiedot sekä pääsy näihin luetteloihin on rajoitettava siihen, mikä on välttämätöntä luettelon käyttötarkoitusten kannalta.

    2.   Unionin toimielimet ja elimet toteuttavat kaikki tarvittavat toimenpiteet estääkseen näiden luetteloiden sisältämien henkilötietojen käytön suoramarkkinointitarkoituksiin riippumatta siitä, ovatko luettelot yleisön saatavilla.

    4 JAKSO

    Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

    39 artikla

    Tietosuojaa koskeva vaikutustenarviointi

    1.   Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

    2.   Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta.

    3.   Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti seuraavista:

    a)

    luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;

    b)

    laajamittainen käsittely, joka kohdistuu 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 11 artiklassa tarkoitettuihin rikostuomioita tai rikoksia koskeviin tietoihin; tai

    c)

    yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

    4.   Euroopan tietosuojavaltuutettu laatii ja julkaisee luettelon käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi.

    5.   Euroopan tietosuojavaltuutettu voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia.

    6.   Ennen tämän artiklan 4 ja 5 kohdassa tarkoitettujen luetteloiden hyväksymistä Euroopan tietosuojavaltuutettu pyytää asetuksen (EU) 2016/679 68 artiklalla perustettua Euroopan tietosuojaneuvostoa tarkastelemaan tällaisia luetteloita kyseisen asetuksen 70 artiklan 1 kohdan e alakohdan mukaisesti, jos niissä viitataan yhden tai useamman muun rekisterinpitäjän kuin unionin toimielimen tai elimen kanssa yhdessä toimivan rekisterinpitäjän suorittamiin käsittelytoimiin.

    7.   Arvioinnin on sisällettävä vähintään

    a)

    järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista;

    b)

    arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;

    c)

    arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja

    d)

    suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suojatoimet, turvatoimenpiteet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

    8.   Se, että asianomaiset muut henkilötietojen käsittelijät kuin unionin toimielimet ja elimet noudattavat asetuksen (EU) 2016/679 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, on otettava asianmukaisesti huomioon arvioitaessa kyseisten henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.

    9.   Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista ilman, että tämä saa vaikuttaa yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

    10.   Jos 5 artiklan 1 kohdan a tai b alakohdan mukaisen käsittelyn oikeusperustana on perussopimusten perusteella annettu säädös, jolla säännellään siihen liittyvää käsittelytoimea tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana ennen kyseisen säädöksen antamista, tämän artiklan 1–6 kohtaa ei sovelleta, ellei kyseisessä säädöksessä toisin säädetä.

    11.   Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.

    40 artikla

    Ennakkokuuleminen

    1.   Rekisterinpitäjän on ennen käsittelyä kuultava Euroopan tietosuojavaltuutettua, jos 39 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi riskin lieventämistä koskevien suojatoimien, turvatoimenpiteiden ja mekanismien puuttumisen vuoksi korkean luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttavan riskin, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen. Rekisterinpitäjän on pyydettävä tietosuojavastaavalta neuvoja ennakkokuulemisen tarpeesta.

    2.   Jos Euroopan tietosuojavaltuutettu katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, Euroopan tietosuojavaltuutettu antaa enintään kahdeksan viikon kuluessa kuulemispyynnön vastaanottamisesta kirjallisesti ohjeet rekisterinpitäjälle ja tapauksen mukaan henkilötietojen käsittelijälle ja voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Euroopan tietosuojavaltuutettu ilmoittaa rekisterinpitäjälle ja tapauksen mukaan henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes Euroopan tietosuojavaltuutettu on saanut tiedot, joita se on pyytänyt kuulemista varten.

    3.   Kuullessaan 1 kohdan mukaisesti Euroopan tietosuojavaltuutettua rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle

    a)

    tarvittaessa rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyyn osallistuneiden henkilötietojen käsittelijöiden vastuualueet;

    b)

    suunnitellun käsittelyn tarkoitukset ja keinot;

    c)

    toimenpiteet ja toteutetut suojatoimet rekisteröidyille tämän asetuksen nojalla kuuluvien oikeuksien ja vapauksien suojaamiseksi;

    d)

    tietosuojavastaavan yhteystiedot;

    e)

    edellä 39 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi; ja

    f)

    muut Euroopan tietosuojavaltuutetun pyytämät tiedot.

    4.   Komissio voi täytäntöönpanosäädöksellä määrittää luettelon tapauksista, joissa rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ja saatava tältä ennakkolupa henkilötietojen käsittelylle, jonka rekisterinpitäjä suorittaa yleistä etua koskevan tehtävän suorittamiseksi, mukaan lukien tällaisten tietojen käsittely sosiaaliturvan ja kansanterveyden alalla.

    5 JAKSO

    Tiedottaminen ja lainsäädäntöä koskeva kuuleminen

    41 artikla

    Tiedottaminen ja kuuleminen

    1.   Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle laatiessaan henkilötietojen käsittelyä koskevia hallinnollisia toimenpiteitä ja sisäisiä sääntöjä, jos käsittelyn suorittaa unionin toimielin tai elin yksin tai yhdessä muiden kanssa.

    2.   Unionin toimielimet ja elimet kuulevat Euroopan tietosuojavaltuutettua laatiessaan 25 artiklassa tarkoitettuja sisäisiä sääntöjä.

    42 artikla

    Lainsäädäntöä koskeva kuuleminen

    1.   Komissio kuulee Euroopan tietosuojavaltuutettua annettuaan ehdotuksen lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ja suosituksen tai ehdotuksen neuvostolle Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan mukaisesti sekä laatiessaan delegoituja säädöksiä tai täytäntöönpanosäädöksiä, joilla on vaikutus yksilöiden oikeuksien ja vapauksien suojeluun henkilötietojen käsittelyssä.

    2.   Jos 1 kohdassa tarkoitettu säädös on erityisen tärkeä yksilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyssä, komissio voi kuulla myös Euroopan tietosuojaneuvostoa. Näissä tapauksissa Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto koordinoivat työtään yhteisen lausunnon antamiseksi.

    3.   Edellä 1 ja 2 kohdassa tarkoitetut lausunnot on annettava kirjallisesti määräajassa, joka on enintään kahdeksan viikkoa 1 ja 2 kohdassa tarkoitetun kuulemispyynnön vastaanottamisesta. Kiireellisissä tapauksissa tai muuten tarvittaessa komissio voi lyhentää määräaikaa.

    4.   Tätä artiklaa ei sovelleta silloin, kun komissio on asetuksen (EU) 2016/679 nojalla velvollinen kuulemaan Euroopan tietosuojaneuvostoa.

    6 JAKSO

    Tietosuojavastaava

    43 artikla

    Tietosuojavastaavan nimittäminen

    1.   Kukin unionin toimielin tai elin nimittää tietosuojavastaavan.

    2.   Unionin toimielimet ja elimet voivat nimittää yhden ainoan tietosuojavastaavan useampaa tällaista toimielintä tai elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.

    3.   Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 45 artiklassa tarkoitetut tehtävät.

    4.   Tietosuojavastaavan on oltava unionin toimielimen tai elimen henkilöstön jäsen. Unionin toimielimet ja elimet voivat, ottaen huomioon niiden koko ja jos 2 kohdan mukaista mahdollisuutta ei käytetä, nimittää tietosuojavastaavan, joka hoitaa tehtäviään palvelusopimuksen perusteella.

    5.   Unionin toimielimet ja elimet julkistavat tietosuojavastaavan yhteystiedot ja ilmoittavat ne Euroopan tietosuojavaltuutetulle.

    44 artikla

    Tietosuojavastaavan asema

    1.   Unionin toimielimet ja elimet varmistavat, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

    2.   Unionin toimielimet ja elimet tukevat tietosuojavastaavaa tämän suorittaessa 45 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien suorittamisessa, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.

    3.   Unionin toimielimet ja elimet varmistavat, ettei tietosuojavastaava ota vastaan ohjeita kyseisten tehtävien hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.

    4.   Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja heidän tähän asetukseen perustuvien oikeuksiensa käyttöön.

    5.   Tietosuojavastaavaa ja hänen henkilöstöään sitoo heidän tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden mukaisesti.

    6.   Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

    7.   Rekisterinpitäjä ja henkilötietojen käsittelijä, asianomainen henkilöstökomitea ja kuka tahansa luonnollinen henkilö voivat kuulla tietosuojavastaavaa kaikissa tämän asetuksen soveltamiseen tai tulkintaan liittyvissä asioissa virkatietä käyttämättä. Kenellekään ei saa aiheutua haittaa sen johdosta, että hän on saattanut toimivaltaisen tietosuojavastaavan tietoon seikan, jonka osalta hän väittää tämän asetuksen säännöksiä rikotun.

    8.   Tietosuojavastaava nimitetään toimikaudeksi, joka on kolmesta viiteen vuotta, ja sama henkilö voidaan nimittää uudeksi toimikaudeksi. Tietosuojavastaavan nimittänyt unionin toimielin tai elin voi erottaa hänet, jos hän ei enää täytä tehtäviensä suorittamiseksi vaadittavia edellytyksiä ja ainoastaan jos Euroopan tietosuojavaltuutettu on antanut tätä koskevan suostumuksen.

    9.   Nimittämisen jälkeen tietosuojavastaavan nimittänyt unionin toimielin tai elin ilmoittaa hänen nimensä Euroopan tietosuojavaltuutetulle.

    45 artikla

    Tietosuojavastaavan tehtävät

    1.   Tietosuojavastaavalla on seuraavat tehtävät:

    a)

    antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tietosuojasäännösten mukaisia velvollisuuksia;

    b)

    varmistaa riippumattomalla tavalla tämän asetuksen sisäinen soveltaminen; seurata, että noudatetaan tätä asetusta, muuta sovellettavaa unionin oikeutta, joka sisältää tietosuojasäännöksiä, ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

    c)

    varmistaa, että rekisteröidyille tiedotetaan heidän tästä asetuksesta johtuvista oikeuksistaan ja velvollisuuksistaan;

    d)

    antaa pyydettäessä neuvoja henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tarpeellisuudesta 34 ja 35 artiklan mukaisesti;

    e)

    antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 39 artiklan mukaisesti sekä kuulla Euroopan tietosuojavaltuutettua, jos on epävarmaa, onko tietosuojaa koskeva vaikutustenarviointi tarpeen;

    f)

    antaa pyydettäessä neuvoja Euroopan tietosuojavaltuutetun ennakkokuulemisen tarpeesta 40 artiklan mukaisesti; kuulla Euroopan tietosuojavaltuutettua, jos on epävarmaa, onko ennakkokuuleminen tarpeen;

    g)

    vastata Euroopan tietosuojavaltuutetun pyyntöihin; tehdä toimivaltansa rajoissa yhteistyötä Euroopan tietosuojavaltuutetun kanssa ja kuulla tätä tämän pyynnöstä tai omasta aloitteestaan;

    h)

    varmistaa, että käsittelytoimet eivät vaikuta haitallisesti rekisteröityjen oikeuksiin ja vapauksiin.

    2.   Tietosuojavastaava voi antaa rekisterinpitäjälle ja henkilötietojen käsittelijälle suosituksia tietosuojan parantamiseksi käytännössä sekä antaa niille neuvoja tietosuojasäännösten soveltamiseen liittyvissä asioissa. Lisäksi hän voi omasta aloitteestaan tai rekisterinpitäjän, henkilötietojen käsittelijän, asianomaisen henkilöstökomitean tai kenen tahansa luonnollisen henkilön pyynnöstä tutkia seikkoja ja tapauksia, jotka välittömästi liittyvät hänen tehtäviinsä ja jotka tulevat hänen tietoonsa, sekä antaa asiasta kertomuksen tutkimuksen pyytäjälle tai rekisterinpitäjälle tai henkilötietojen käsittelijälle.

    3.   Kukin unionin toimielin tai elin antaa tarkemmat tietosuojavastaavaa koskevat soveltamissäännöt. Soveltamissäännöt koskevat erityisesti tietosuojavastaavan tehtäviä, velvollisuuksia ja toimivaltuuksia.

    V LUKU

    HENKILÖTIETOJEN SIIRROT KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

    46 artikla

    Siirtoja koskeva yleinen periaate

    Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

    47 artikla

    Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

    1.   Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaisesti, että kyseinen kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason, ja jos henkilötiedot siirretään ainoastaan rekisterinpitäjän toimivaltaan kuuluvien tehtävien suorittamiseksi.

    2.   Unionin toimielimet ja elimet ilmoittavat komissiolle ja Euroopan tietosuojavaltuutetulle tapauksista, joissa ne katsovat, ettei kyseinen kolmas maa, kolmannen maan alue tai yksi tai useampi tietty toimiala tai kyseinen kansainvälinen järjestö tarjoa 1 kohdassa tarkoitettua riittävää tietosuojan tasoa.

    3.   Unionin toimielimet ja elimet toteuttavat tarpeelliset toimenpiteet noudattaakseen komission päätöksiä, kun se toteaa asetuksen (EU) 2016/679 45 artiklan 3 tai 5 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 tai 5 kohdan mukaisesti, että kolmas maa, kolmannen maan alue tai yksi tai useampi tietty toimiala tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason tai että se ei enää tarjoa sitä.

    48 artikla

    Siirto asianmukaisia suojatoimia soveltaen

    1.   Jollei asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

    2.   Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä Euroopan tietosuojavaltuutetun antamaa lupaa:

    a)

    viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

    b)

    komission 96 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

    c)

    tietosuojaa koskevat vakiolausekkeet, jotka Euroopan tietosuojavaltuutettu vahvistaa ja jotka komissio hyväksyy 96 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

    d)

    jos henkilötietojen käsittelijä ei ole unionin toimielin tai elin, asetuksen (EU) 2016/679 46 artiklan 2 kohdan b, e ja f alakohdassa tarkoitetut yritystä koskevat sitovat säännöt, käytännesäännöt tai sertifiointimekanismit.

    3.   Euroopan tietosuojavaltuutetun luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

    a)

    rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

    b)

    määräykset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

    4.   Hyväksynnät, jotka Euroopan tietosuojavaltuutettu on antanut asetuksen (EY) N:o 45/2001 9 artiklan 7 kohdan nojalla, pysyvät voimassa, kunnes Euroopan tietosuojavaltuutettu tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne.

    5.   Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

    49 artikla

    Siirrot ja luovutukset, joita ei sallita unionin oikeudessa

    Kolmannen maan tuomioistuimen tai hallintoviranomaisen päätös, jossa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista, voidaan tunnustaa tai saattaa jollakin tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen, sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista.

    50 artikla

    Erityistilanteita koskevat poikkeukset

    1.   Jollei asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaista tietosuojan riittävyyttä koskevaa päätöstä ole tehty tai tämän asetuksen 48 artiklassa tarkoitettuja asianmukaisia suojatoimia ole toteutettu, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain jollakin seuraavista edellytyksistä:

    a)

    rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;

    b)

    siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

    c)

    siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

    d)

    siirto on tarpeen yleistä etua koskevien tärkeiden syiden vuoksi;

    e)

    siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

    f)

    siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

    g)

    siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi osoittaa hänellä olevan siihen oikeutettu etu, mutta ainoastaan siltä osin kuin rekisterin käytön edellytykset, joista säädetään unionin oikeudessa, täyttyvät kussakin yksittäisessä tapauksessa.

    2.   Edellä olevan 1 kohdan a, b ja c alakohtaa ei sovelleta toimiin, joita unionin toimielimet ja elimet suorittavat osana julkisen vallan käyttöä.

    3.   Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa.

    4.   Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietoryhmiä, ellei tämä ole sallittu unionin oikeudessa. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

    5.   Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle.

    6.   Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

    51 artikla

    Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

    Euroopan tietosuojavaltuutettu toteuttaa yhteistyössä komission ja Euroopan tietosuojaneuvoston kanssa kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

    a)

    kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaa koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

    b)

    tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoituksella, lähettämällä kanteluja käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen, että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

    c)

    saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

    d)

    edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

    VI LUKU

    EUROOPAN TIETOSUOJAVALTUUTETTU

    52 artikla

    Euroopan tietosuojavaltuutettu

    1.   Perustetaan Euroopan tietosuojavaltuutettu.

    2.   Henkilötietojen käsittelyssä Euroopan tietosuojavaltuutetun tehtävänä on varmistaa, että unionin toimielimet ja elimet kunnioittavat luonnollisten henkilöiden perusoikeuksia ja -vapauksia, erityisesti heidän oikeuttaan tietosuojaan.

    3.   Euroopan tietosuojavaltuutetun tehtävänä on valvoa tämän asetuksen ja muiden unionin säädösten niiden säännösten soveltamista, jotka koskevat luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua unionin toimielimen tai elimen suorittaman henkilötietojen käsittelyn yhteydessä, ja varmistaa niiden soveltaminen sekä antaa ohjeita unionin toimielimille ja elimille sekä rekisteröidyille kaikista henkilötietojen käsittelyä koskevista seikoista. Näiden tavoitteiden saavuttamiseksi Euroopan tietosuojavaltuutettu hoitaa 57 artiklassa säädettyjä tehtäviä ja käyttää 58 artiklassa annettua toimivaltaa.

    4.   Euroopan tietosuojavaltuutetun hallussa oleviin asiakirjoihin sovelletaan asetusta (EY) N:o 1049/2001. Euroopan tietosuojavaltuutettu vahvistaa yksityiskohtaiset säännöt asetuksen (EY) N:o 1049/2001 soveltamisesta kyseisiin asiakirjoihin.

    53 artikla

    Euroopan tietosuojavaltuutetun nimittäminen

    1.   Euroopan parlamentti ja neuvosto nimittävät yhteisellä sopimuksella Euroopan tietosuojavaltuutetun viiden vuoden toimikaudeksi komission julkisen hakumenettelyn johdosta laatiman luettelon pohjalta. Hakumenettelyssä kaikkien asianomaisten osapuolten kaikkialla unionissa on voitava jättää hakemuksensa. Komission laatima luettelo ehdokkaista on julkinen, ja siinä on oltava vähintään kolme ehdokasta. Komission laatiman luettelon perusteella Euroopan parlamentin asiasta vastaava valiokunta voi päättää kuulemisen järjestämisestä voidakseen ilmoittaa suosituimmuusjärjestyksensä.

    2.   Edellä 1 kohdassa tarkoitetun luettelon ehdokkaista on koostuttava henkilöistä, joiden riippumattomuudesta ei ole epäilystä ja joilla on yleisesti tunnustettu asiantuntemus tietosuojan alalla sekä kokemus ja pätevyys Euroopan tietosuojavaltuutetun tehtävien hoitamiseen.

    3.   Euroopan tietosuojavaltuutetun toimikausi voidaan uusia kerran.

    4.   Euroopan tietosuojavaltuutetun velvollisuudet päättyvät seuraavissa olosuhteissa:

    a)

    Euroopan tietosuojavaltuutetun tilalle nimitetään uusi henkilö;

    b)

    Euroopan tietosuojavaltuutettu luopuu tehtävästään;

    c)

    Euroopan tietosuojavaltuutettu erotetaan tehtävästään tai joutuu jäämään pakolliselle eläkkeelle.

    5.   Unionin tuomioistuin voi Euroopan parlamentin, neuvoston tai komission hakemuksesta erottaa Euroopan tietosuojavaltuutetun tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan rikkomukseen.

    6.   Kun on kyse tavallisesta uudesta nimittämisestä tai vapaaehtoisesta tehtävästä luopumisesta, Euroopan tietosuojavaltuutettu jatkaa kuitenkin tehtävässään, kunnes hänen tilalleen on nimitetty uusi henkilö.

    7.   Euroopan unionin erioikeuksista ja vapauksista tehdyn pöytäkirjan 11–14 ja 17 artiklaa sovelletaan Euroopan tietosuojavaltuutettuun.

    54 artikla

    Euroopan tietosuojavaltuutetun tehtävien hoitamista koskeva ohjesääntö ja yleiset ehdot sekä henkilöstö ja rahoitus

    1.   Euroopan tietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta unionin tuomioistuimen tuomariin.

    2.   Budjettivallan käyttäjä varmistaa, että Euroopan tietosuojavaltuutetulla on käytössään hänen tehtäviensä suorittamista varten tarvittava henkilöstö ja rahoitus.

    3.   Euroopan tietosuojavaltuutetun talousarvio otetaan erillisenä kohtana unionin yleisen talousarvion hallintomenoihin liittyvään pääluokkaan.

    4.   Euroopan tietosuojavaltuutettua avustaa sihteeristö. Sihteeristön virkamiehet ja muun henkilöstön nimittää Euroopan tietosuojavaltuutettu, joka toimii heidän esimiehenään. He toimivat yksinomaan hänen ohjauksessaan. Henkilöstön määrä vahvistetaan vuosittain talousarviomenettelyn yhteydessä. Euroopan tietosuojaneuvostolle unionin oikeudessa annettujen tehtävien hoitamiseen osallistuvaan Euroopan tietosuojavaltuutetun henkilöstöön sovelletaan asetuksen (EU) 2016/679 75 artiklan 2 kohtaa.

    5.   Euroopan tietosuojavaltuutetun sihteeristön virkamiehiin ja muihin henkilöstöön kuuluviin sovelletaan unionin virkamiehiin ja muuhun henkilöstöön sovellettavia säännöksiä.

    6.   Euroopan tietosuojavaltuutetun toimipaikka on Bryssel.

    55 artikla

    Riippumattomuus

    1.   Euroopan tietosuojavaltuutettu toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

    2.   Euroopan tietosuojavaltuutettuun ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti hänen hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eikä hän saa pyytää eikä ottaa ohjeita miltään taholta.

    3.   Euroopan tietosuojavaltuutetun on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

    4.   Euroopan tietosuojavaltuutetun on toimikautensa päätyttyä noudatettava kunniallisuutta ja pidättyvyyttä hyväksyessään tehtäviä tai etuja.

    56 artikla

    Salassapitovelvollisuus

    Euroopan tietosuojavaltuutettu ja hänen henkilöstönsä ovat sekä toimikautensa aikana että sen päätyttyä velvollisia pitämään salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

    57 artikla

    Tehtävät

    1.   Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta Euroopan tietosuojavaltuutettu

    a)

    valvoo tämän asetuksen soveltamista unionin toimielimissä ja elimissä ja panee sen täytäntöön lukuun ottamatta unionin tuomioistuimen lainkäyttötehtäviään hoitaessaan suorittamaa henkilötietojen käsittelyä;

    b)

    edistää yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

    c)

    edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

    d)

    antaa pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tekee yhteistyötä kansallisten valvontaviranomaisten kanssa tätä tarkoitusta varten;

    e)

    käsittelee rekisteröidyn tai 67 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä kanteluja ja tutkii siinä määrin, kuin se on asianmukaista kantelun kohdetta ja ilmoittaa kantelun tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

    f)

    suorittaa tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

    g)

    antaa omasta aloitteestaan tai pyynnöstä kaikille unionin toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua henkilötietojen käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

    h)

    seuraa erityisesti tieto- ja viestintäteknologian asiaan liittyvää kehitystä siltä osin, kuin sillä on vaikutusta henkilötietojen suojaan;

    i)

    hyväksyy 29 artiklan 8 kohdassa ja 48 artiklan 2 kohdan c alakohdassa tarkoitetut vakiosopimuslausekkeet;

    j)

    laatii 39 artiklan 4 kohdan mukaisen luettelon siitä, milloin vaaditaan tietosuojaa koskeva vaikutustenarviointi, ja ylläpitää tätä luetteloa;

    k)

    osallistuu Euroopan tietosuojaneuvoston toimintaan;

    l)

    huolehtii asetuksen (EU) 2016/679 75 artiklan mukaisesti Euroopan tietosuojaneuvoston sihteeristön tehtävistä;

    m)

    antaa neuvontaa 40 artiklan 2 kohdassa tarkoitetun käsittelyn osalta;

    n)

    hyväksyy 48 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja määräykset;

    o)

    pitää sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä;

    p)

    suorittaa mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä; ja

    q)

    vahvistaa työjärjestyksensä.

    2.   Euroopan tietosuojavaltuutettu helpottaa 1 kohdan e alakohdassa tarkoitettujen kantelujen jättämistä kantelulomakkeella, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

    3.   Euroopan tietosuojavaltuutetun tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle.

    4.   Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, Euroopan tietosuojavaltuutettu voi kieltäytyä suorittamasta pyydettyä toimea. Euroopan tietosuojavaltuutetun on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

    58 artikla

    Valtuudet

    1.   Euroopan tietosuojavaltuutetulla on seuraavat tutkintavaltuudet:

    a)

    määrätä rekisterinpitäjä ja henkilötietojen käsittelijä antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

    b)

    toteuttaa tutkimuksia tietosuojaa koskevien tarkastusten muodossa;

    c)

    ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;

    d)

    saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen hänen tehtäviensä suorittamista varten;

    e)

    saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin oikeuden mukaisesti.

    2.   Euroopan tietosuojavaltuutetulla on seuraavat korjaavat toimivaltuudet:

    a)

    varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

    b)

    antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

    c)

    saattaa asiat asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän ja tarvittaessa Euroopan parlamentin, neuvoston ja komission käsiteltäviksi;

    d)

    määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

    e)

    määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

    f)

    määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

    g)

    asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

    h)

    määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 18, 19 ja 20 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 19 artiklan 2 kohdan ja 21 artiklan mukaisesti;

    i)

    määrätä 66 artiklan nojalla hallinnollinen sakko siinä tapauksessa, että unionin toimielin tai elin ei noudata jotakin tämän kohdan d–h ja j alakohdassa tarkoitetuista toimenpiteistä, kunkin yksittäisen tapauksen olosuhteista riippuen;

    j)

    määrätä, että tiedonsiirrot jäsenvaltiossa tai kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle keskeytetään.

    3.   Euroopan tietosuojavaltuutetulla on seuraavat hyväksymis- ja neuvontavaltuudet:

    a)

    antaa rekisteröidyille neuvoja heidän oikeuksiensa käyttämisessä;

    b)

    antaa rekisterinpitäjälle neuvoja 40 artiklassa tarkoitetun ennakkokuulemismenettelyn ja 41 artiklan 2 kohdan mukaisesti;

    c)

    antaa omasta aloitteestaan tai pyynnöstä lausuntoja unionin toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

    d)

    hyväksyä 29 artiklan 8 kohdassa ja 48 artiklan 2 kohdan c alakohdassa tarkoitetut tietosuojaa koskevat vakiolausekkeet;

    e)

    hyväksyä 48 artiklan 3 kohdan a alakohdassa tarkoitetut sopimuslausekkeet;

    f)

    hyväksyä 48 artiklan 3 kohdan b alakohdassa tarkoitetut hallinnolliset järjestelyt;

    g)

    hyväksyä käsittelytoimet 40 artiklan 4 kohdan perusteella annettujen täytäntöönpanosäädösten nojalla.

    4.   Euroopan tietosuojavaltuutetulla on toimivalta saattaa asioita unionin tuomioistuimen käsiteltäväksi perussopimuksissa määrättyjen edellytysten mukaisesti ja olla väliintulijana käsiteltäessä unionin tuomioistuimessa nostettuja kanteita.

    5.   Euroopan tietosuojavaltuutetulle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa.

    59 artikla

    Rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuus vastata väitteisiin

    Kun Euroopan tietosuojavaltuutettu käyttää 58 artiklan 2 kohdan a, b ja c alakohdassa tarkoitettuja toimivaltuuksiaan, asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava Euroopan tietosuojavaltuutetulle näkemyksensä tämän asettamassa kohtuullisessa määräajassa ottaen huomioon kunkin tapauksen olosuhteet. Vastauksen on sisällettävä myös kuvaus mahdollisista toimenpiteistä, jotka on toteutettu Euroopan tietosuojavaltuutetun huomautusten johdosta.

    60 artikla

    Toimintakertomus

    1.   Euroopan tietosuojavaltuutettu antaa Euroopan parlamentille, neuvostolle ja komissiolle vuosikertomuksen toiminnastaan ja julkistaa sen samanaikaisesti.

    2.   Euroopan tietosuojavaltuutettu toimittaa 1 kohdassa tarkoitetun kertomuksen muille unionin toimielimille ja elimille, jotka voivat esittää huomautuksia kertomusta koskevaa mahdollista Euroopan parlamentin käsittelyä varten.

    VII LUKU

    YHTEISTYÖ JA YHDENMUKAISUUS

    61 artikla

    Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välinen yhteistyö

    Euroopan tietosuojavaltuutettu tekee yhteistyötä kansallisten valvontaviranomaisten kanssa sekä neuvoston päätöksen 2009/917/YOS (19) 25 artiklan nojalla perustetun yhteisen valvontaviranomaisen kanssa siinä laajuudessa, kuin se on tarpeen niiden tehtävien suorittamiseksi, erityisesti antamalla toisilleen tarvittavat tiedot, pyytämällä toisiaan käyttämään toimivaltuuksiaan ja vastaamalla toistensa pyyntöihin.

    62 artikla

    Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten harjoittama koordinoitu valvonta

    1.   Kun unionin säädöksessä viitataan tähän artiklaan, Euroopan tietosuojavaltuutettu ja kansalliset valvontaviranomaiset tekevät toimivaltojensa puitteissa aktiivisesti yhteistyötä hoitaessaan tehtäviään laaja-alaisten tietojärjestelmien ja unionin elinten ja laitosten tehokkaan valvonnan varmistamiseksi.

    2.   Tehtäviään hoitaessaan ne tarvittaessa vaihtavat toimivaltansa puitteissa asiaankuuluvia tietoja, avustavat toisiaan tarkastusten suorittamisessa, tutkivat tämän asetuksen ja muiden sovellettavien unionin säädösten tulkintaan tai soveltamiseen liittyviä vaikeuksia, tarkastelevat riippumattomaan valvontaan tai rekisteröityjen oikeuksien käyttöön liittyviä ongelmia, laativat yhdenmukaistettuja ehdotuksia ratkaisujen löytämiseksi mahdollisiin ongelmiin ja edistävät tietämystä tietosuojaa koskevista oikeuksista.

    3.   Euroopan tietosuojavaltuutettu ja kansalliset valvontaviranomaiset kokoontuvat 2 kohdan soveltamiseksi vähintään kaksi kertaa vuodessa Euroopan tietosuojaneuvoston puitteissa. Euroopan tietosuojaneuvosto voi tätä varten kehittää tarvittaessa uusia työmenetelmiä.

    4.   Euroopan tietosuojaneuvosto toimittaa koordinoitua valvontaa koskevan yhteisen toimintakertomuksen Euroopan parlamentille, neuvostolle ja komissiolle kahden vuoden välein.

    VIII LUKU

    OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

    63 artikla

    Oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle

    1.   Jokaisella rekisteröidyllä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta oikeussuojakeinoja, hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

    2.   Euroopan tietosuojavaltuutettu ilmoittaa kantelun tekijälle kantelun etenemisestä ja ratkaisusta, mukaan lukien 64 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

    3.   Jos Euroopan tietosuojavaltuutettu ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa kantelun etenemisestä tai ratkaisusta, Euroopan tietosuojavaltuutetun katsotaan antaneen kielteisen päätöksen.

    64 artikla

    Oikeus tehokkaisiin oikeussuojakeinoihin

    1.   Unionin tuomioistuimella on toimivalta ratkaista kaikki riidat, jotka koskevat tämän asetuksen säännöksiä, mukaan lukien vahingonkorvausvaatimukset.

    2.   Euroopan tietosuojavaltuutetun päätöksiin, myös 63 artiklan 3 kohdan nojalla tehtyihin päätöksiin, voidaan hakea muutosta unionin tuomioistuimelta.

    3.   Unionin tuomioistuimella on täysi harkintavalta tarkastellessaan 66 artiklassa tarkoitettuja hallinnollisia sakkoja. Se voi kumota sakot sekä vähentää tai korottaa niitä 66 artiklan rajoissa.

    65 artikla

    Oikeus korvauksen saamiseen

    Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada unionin toimielimeltä tai elimeltä korvaus aiheutuneesta vahingosta perussopimuksessa määrättyjen edellytysten mukaisesti.

    66 artikla

    Hallinnolliset sakot

    1.   Euroopan tietosuojavaltuutettu voi määrätä hallinnollisia sakkoja unionin toimielimelle tai elimelle kunkin yksittäisen tapauksen olosuhteiden mukaisesti, jos unionin toimielin tai elin ei noudata Euroopan tietosuojavaltuutetun 58 artiklan 2 kohdan d–h ja j alakohdan mukaista määräystä. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

    a)

    rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

    b)

    unionin toimielimen tai elimen toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

    c)

    unionin toimielimen tai elimen vastuun aste, ottaen huomioon niiden 27 ja 33 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet;

    d)

    unionin toimielimen tai elimen mahdolliset aiemmat samankaltaiset rikkomiset;

    e)

    yhteistyön aste Euroopan tietosuojavaltuutetun kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

    f)

    henkilötietoryhmät, joihin rikkominen vaikuttaa;

    g)

    tapa, jolla rikkominen tuli Euroopan tietosuojavaltuutetun tietoon, erityisesti se, ilmoittiko unionin toimielin tai elin rikkomisesta ja missä laajuudessa;

    h)

    asianomaiselle unionin toimielimelle tai elimelle samasta asiasta aikaisemmin määrättyjen, 58 artiklassa tarkoitettujen toimenpiteiden noudattaminen. Sakkojen määräämiseen johtavat menettelyt on toteutettava kohtuullisessa ajassa kunkin tapauksen olosuhteiden mukaan ja ottaen huomioon 69 artiklassa tarkoitetut asiaa koskevat toimet ja menettelyt.

    2.   Jos unionin toimielin tai elin rikkoo velvoitteita, joista säädetään 8, 12, 27–35, 39, 40, 43, 44 ja 45 artiklassa, määrätään tämän artiklan 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 25 000 euroa jokaista rikkomista kohden ja yhteensä enintään 250 000 euroa vuodessa.

    3.   Jos unionin toimielin tai elin rikkoo seuraavia säännöksiä, määrätään 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 50 000 euroa jokaista rikkomista kohden ja yhteensä enintään 500 000 euroa vuodessa:

    a)

    edellä 4, 5, 7 ja 10 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan lukien;

    b)

    rekisteröityjen 14–24 artiklan mukaiset oikeudet;

    c)

    edellä 46–50 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

    4.   Jos unionin toimielin tai elin rikkoo samoissa tai toisiinsa liittyvissä tai jatkuvissa käsittelytoimissa useita tämän asetuksen säännöksiä tai tämän asetuksen samaa säännöstä useita kertoja, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

    5.   Euroopan tietosuojavaltuutettu antaa ennen tämän artiklan mukaisen päätöksen tekemistä unionin toimielimelle tai elimelle, joka on Euroopan tietosuojavaltuutetun toteuttaman menettelyn kohteena, tilaisuuden tulla kuulluksi seikoista, joista Euroopan tietosuojavaltuutettu on esittänyt väitteitä. Euroopan tietosuojavaltuutettu perustaa päätöksensä ainoastaan niille väitteille, joista asianomaiset osapuolet ovat voineet esittää huomautuksensa. Kantelijat osallistuvat tiiviisti menettelyyn.

    6.   Menettelyssä on kunnioitettava täysimääräisesti asianosaisten puolustautumisoikeuksia. Niillä on oikeus tutustua Euroopan tietosuojavaltuutetun asiakirja-aineistoon edellyttäen, että otetaan huomioon yksityishenkilöiden tai yritysten oikeutetut edut, jotka liittyvät henkilötietojen tai liikesalaisuuksien suojaan.

    7.   Tämän artiklan mukaisesti määrätyillä sakoilla kerätyt varat otetaan unionin yleiseen talousarvioon.

    67 artikla

    Rekisteröityjen edustaminen

    Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään kantelu puolestaan Euroopan tietosuojavaltuutetulle ja käyttämään puolestaan 63 ja 64 artiklassa tarkoitettuja oikeuksia ja 65 artiklassa tarkoitettua korvauksensaamisoikeutta.

    68 artikla

    Unionin henkilöstön kantelut

    Jokainen unionin toimielimen tai elimen palveluksessa oleva voi tehdä Euroopan tietosuojavaltuutetulle tämän asetuksen säännösten väitettyä rikkomista koskevan kantelun, myös käyttämättä virkatietä. Kenellekään ei saa aiheutua haittaa siitä syystä, että hän on toimittanut Euroopan tietosuojavaltuutetulle kantelun, jossa hän väittää tällaisen rikkomisen tapahtuneen.

    69 artikla

    Seuraamukset

    Jos unionin virkamies tai muu henkilöstöön kuuluva tahallaan tai tuottamuksellisesti jättää täyttämättä tässä asetuksessa säädetyt velvollisuutensa, asianomaiselle virkamiehelle tai muuhun henkilöstöön kuuluvalle voidaan määrätä kurinpito- tai muu seuraamus henkilöstösäännöissä vahvistettujen sääntöjen ja menettelyjen mukaisesti.

    IX LUKU

    EUROOPAN UNIONIN TOIMINNASTA TEHDYN SOPIMUKSEN KOLMANNEN OSAN V OSASTON 4 TAI 5 LUVUN SOVELTAMISALAAN KUULUVAA TOIMINTAA TOTEUTTAVIEN UNIONIN ELINTEN JA LAITOSTEN SUORITTAMA OPERATIIVISTEN HENKILÖTIETOJEN KÄSITTELY

    70 artikla

    Luvun soveltamisala

    Tätä lukua sovelletaan ainoastaan Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn, sanotun kuitenkaan rajoittamatta tällaiseen unionin elimeen ja laitokseen sovellettavien erityisten tietosuojasääntöjen soveltamista.

    71 artikla

    Operatiivisten henkilötietojen käsittelyä koskevat periaatteet

    1.   Operatiivisten henkilötietojen suhteen noudatetaan seuraavia vaatimuksia:

    a)

    niitä on käsiteltävä lainmukaisesti ja asianmukaisesti (”lainmukaisuus ja kohtuullisuus”);

    b)

    ne on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä tämän tarkoituksen kanssa yhteensopimattomalla tavalla (”käyttötarkoitussidonnaisuus”);

    c)

    niiden on oltava asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

    d)

    niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset operatiiviset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

    e)

    ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan, kuin on tarpeen operatiivisten henkilötietojen käsittelyn tarkoitusten toteuttamista varten (”säilytyksen rajoittaminen”);

    f)

    niitä on käsiteltävä tavalla, jolla varmistetaan operatiivisten henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimenpiteitä (”eheys ja luottamuksellisuus”).

    2.   Saman tai toisen rekisterinpitäjän suorittama käsittely muuhun unionin elimen tai laitoksen perustamissäädöksessä säädettyyn tarkoitukseen kuin siihen, johon operatiiviset henkilötiedot kerättiin, sallitaan siltä osin kuin

    a)

    rekisterinpitäjällä on lupa käsitellä tällaisia operatiivisia henkilötietoja tällaista tarkoitusta varten unionin oikeuden mukaisesti; ja

    b)

    käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhteista unionin oikeuden mukaisesti.

    3.   Saman tai toisen rekisterinpitäjän suorittamaan käsittelyyn voi kuulua käsittely yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista käsittelyä varten unionin elimen tai laitoksen perustamissäädöksessä säädettyihin tarkoituksiin edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet toteutetaan.

    4.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1, 2 ja 3 kohtaa on noudatettu.

    72 artikla

    Operatiivisten henkilötietojen käsittelyn lainmukaisuus

    1.   Operatiivisten henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin käsittely on tarpeen unionin elinten ja laitosten tehtävän suorittamiseksi, kun ne toteuttavat Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, ja se perustuu unionin oikeuteen.

    2.   Unionin erityissäädöksissä, joilla säännellään tämän luvun soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät operatiiviset henkilötiedot, käsittelyn tarkoitukset ja operatiivisten henkilötietojen säilytysajat tai määräajat operatiivisten henkilötietojen säilyttämisen jatkamisen tarpeellisuuden säännöllistä uudelleentarkastelua varten.

    73 artikla

    Eri ryhmiin kuuluvien rekisteröityjen erottaminen

    Rekisterinpitäjän on tarvittaessa ja mahdollisuuksien mukaan erotettava selvästi toisistaan operatiiviset henkilötiedot, jotka koskevat eri ryhmiin, kuten unionin elinten ja laitosten perustamissäädöksissä lueteltuihin ryhmiin, kuuluvia rekisteröityjä.

    74 artikla

    Operatiivisten henkilötietojen erottelu ja operatiivisten henkilötietojen laadun varmentaminen

    1.   Rekisterinpitäjän on mahdollisuuksien mukaan erotettava tosiseikkoihin perustuvat operatiiviset henkilötiedot henkilökohtaisiin arvioihin perustuvista operatiivisista henkilötiedoista.

    2.   Rekisterinpitäjän on toteutettava kaikki kohtuulliset toimet varmistaakseen, että virheellisiä, epätäydellisiä tai vanhentuneita operatiivisia henkilötietoja ei siirretä eikä aseteta saataville. Tätä varten rekisterinpitäjän on mahdollisuuksien ja tapauksen mukaan varmennettava operatiivisten henkilötietojen laatu ennen niiden siirtämistä tai saataville asettamista, esimerkiksi kuulemalla toimivaltaista viranomaista, jolta tiedot ovat peräisin. Rekisterinpitäjän on mahdollisuuksien mukaan lisättävä kaikkiin operatiivisten henkilötietojen siirtoihin tarvittavat tiedot, joiden avulla vastaanottaja voi arvioida operatiivisten henkilötietojen paikkansapitävyyttä, täydellisyyttä ja luotettavuutta sekä sitä, miltä osin ne ovat ajan tasalla.

    3.   Jos ilmenee, että on siirretty virheellisiä operatiivisia henkilötietoja tai että operatiivisia henkilötietoja on siirretty lainvastaisesti, asiasta on ilmoitettava viipymättä vastaanottajalle. Tällaisessa tapauksessa kyseiset operatiiviset henkilötiedot on oikaistava tai poistettava tai niiden käsittelyä on rajoitettava 82 artiklan mukaisesti.

    75 artikla

    Käsittelyä koskevat erityiset edellytykset

    1.   Kun tietoja siirtävään rekisterinpitäjään sovellettavassa unionin oikeudessa säädetään käsittelyä koskevista erityisistä edellytyksistä, rekisterinpitäjän on ilmoitettava operatiivisten henkilötietojen vastaanottajalle kyseisistä edellytyksistä ja vaatimuksesta noudattaa niitä.

    2.   Rekisterinpitäjän on noudatettava tiedot siirtävän toimivaltaisen viranomaisen direktiivin (EU) 2016/680 9 artiklan 3 ja 4 kohdan mukaisesti säätämiä käsittelyä koskevia erityisiä edellytyksiä.

    76 artikla

    Erityisiä operatiivisten henkilötietojen ryhmiä koskeva käsittely

    1.   Sellaisten operatiivisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely luonnollisen henkilön yksiselitteistä tunnistamista varten tai terveystietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien operatiivisten henkilötietojen käsittely sallitaan vain, jos se on ehdottoman välttämätöntä operatiivisiin tarkoituksiin ja sisältyy asianomaisen unionin elimen tai laitoksen toimeksiantoon, ja edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet on toteutettu. Luonnollisten henkilöiden syrjintä tällaisten henkilötietojen perusteella on kiellettyä.

    2.   Tietosuojavastaavalle on ilmoitettava ilman aiheetonta viivytystä tämän artiklan soveltamisesta.

    77 artikla

    Automatisoidut yksittäispäätökset, profilointi mukaan lukien

    1.   Päätös, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa, jossa vahvistetaan rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö.

    2.   Tämän artiklan 1 kohdassa tarkoitetut päätökset eivät saa perustua 76 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

    3.   Unionin oikeuden mukaisesti on kiellettävä profilointi, joka johtaa 76 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään.

    78 artikla

    Viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

    1.   Rekisterinpitäjän on toteutettava kohtuulliset toimet toimittaakseen rekisteröidylle 79 artiklan mukaiset tiedot ja kaikki 80–84 ja 92 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava millä tahansa asianmukaisella tavalla, kuten sähköisesti. Rekisterinpitäjän on pääsääntöisesti toimitettava tiedot samassa muodossa kuin pyyntö.

    2.   Rekisterinpitäjän on helpotettava 79–84 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

    3.   Rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti tämän esittämän pyynnön käsittelystä ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kolmen kuukauden kuluttua rekisteröidyn pyynnön vastaanottamisesta.

    4.   Rekisterinpitäjän on toimitettava 79 artiklan mukaiset tiedot ja annettava kaikki ilmoitukset tai toteutettava kaikki toimet 80–84 ja 92 artiklan nojalla maksutta. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

    5.   Jos rekisterinpitäjällä on perusteltua syytä epäillä 80 tai 82 artiklassa tarkoitetun pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.

    79 artikla

    Rekisteröidyn saataville asetettavat tai hänelle annettavat tiedot

    1.   Rekisterinpitäjän on asetettava rekisteröidyn saataville ainakin seuraavat tiedot:

    a)

    unionin elimen tai laitoksen nimi ja yhteystiedot;

    b)

    tietosuojavastaavan yhteystiedot;

    c)

    operatiivisten henkilötietojen käsittelyn tarkoitukset;

    d)

    oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle ja hänen yhteystietonsa;

    e)

    rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin operatiivisiin henkilötietoihin sekä oikeus pyytää kyseisten operatiivisten henkilötietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista.

    2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on annettava unionin oikeudessa säädetyissä erityistapauksissa rekisteröidylle seuraavat lisätiedot, jotta hänen on mahdollista käyttää oikeuksiaan:

    a)

    käsittelyn oikeusperusta;

    b)

    operatiivisten henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

    c)

    mahdolliset operatiivisten henkilötietojen vastaanottajaryhmät, myös kolmansissa maissa tai kansainvälisissä järjestöissä;

    d)

    tarpeen mukaan lisätietoja varsinkin, jos operatiiviset henkilötiedot kerätään rekisteröidyn tietämättä.

    3.   Rekisterinpitäjä voi viivyttää tai rajoittaa 2 kohdan mukaista rekisteröidylle ilmoittamista tai jättää sen kokonaan tekemättä siltä osin ja niin pitkäksi aikaa, kuin tällainen toimenpide on välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon asianomaisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

    a)

    välttää virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

    b)

    välttää tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle, paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

    c)

    suojella jäsenvaltioiden yleistä turvallisuutta;

    d)

    suojella jäsenvaltioiden kansallista turvallisuutta;

    e)

    suojata muiden henkilöiden, kuten uhrien ja todistajien, oikeuksia ja vapauksia.

    80 artikla

    Rekisteröidyn oikeus saada pääsy tietoihin

    Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia operatiivisia henkilötietoja, ja jos näitä henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy operatiivisiin henkilötietoihin sekä oikeus seuraaviin tietoihin:

    a)

    käsittelyn tarkoitukset ja oikeusperusta;

    b)

    kyseessä olevat operatiivisten henkilötietojen ryhmät;

    c)

    vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille operatiivisia henkilötietoja on luovutettu;

    d)

    mahdollisuuksien mukaan operatiivisten henkilötietojen suunniteltu säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

    e)

    rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien operatiivisten henkilötietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista;

    f)

    oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle ja tämän yhteystiedot;

    g)

    käsiteltävät operatiiviset henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot.

    81 artikla

    Tietoihin pääsyn rajoittaminen

    1.   Rekisterinpitäjä voi rajoittaa kokonaan tai osittain rekisteröidyn oikeutta saada pääsy tietoihin siltä osin ja niin pitkäksi aikaa, kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon asianomaisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

    a)

    välttää virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

    b)

    välttää tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle, paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

    c)

    suojella jäsenvaltioiden yleistä turvallisuutta;

    d)

    suojella jäsenvaltioiden kansallista turvallisuutta;

    e)

    suojata muiden henkilöiden, kuten uhrien ja todistajien, oikeuksia ja vapauksia.

    2.   Edellä 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on ilmoitettava ilman aiheetonta viivytystä rekisteröidylle kirjallisesti, jos tietoihin pääsy evätään tai sitä rajoitetaan, sekä tällaisen epäämisen tai rajoittamisen perustelut. Tällaiset tiedot voidaan jättää pois, jos niiden ilmoittaminen vaarantaisi 1 kohdan mukaisen tarkoituksen. Rekisterinpitäjän on ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää oikeussuojakeinoja unionin tuomioistuimessa. Rekisterinpitäjän on dokumentoitava ne seikat tai oikeudelliset syyt, joihin päätös perustuu. Näiden tietojen on oltava pyynnöstä Euroopan tietosuojavaltuutetun saatavilla.

    82 artikla

    Oikeus operatiivisten henkilötietojen oikaisemiseen tai poistamiseen sekä käsittelyn rajoittamiseen

    1.   Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset operatiiviset henkilötiedot. Käsittelyn tarkoitukset huomioon ottaen rekisteröidyllä on oikeus saada puutteelliset operatiiviset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

    2.   Rekisterinpitäjän on poistettava operatiiviset henkilötiedot ilman aiheetonta viivytystä, ja rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat operatiiviset henkilötiedot ilman aiheetonta viivytystä, jos käsittely rikkoo 71 artiklaa, 72 artiklan 1 kohtaa tai 76 artiklaa tai jos operatiiviset henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi.

    3.   Poistamisen sijasta rekisterinpitäjän on rajoitettava käsittelyä, jos

    a)

    rekisteröity kiistää henkilötietojen paikkansapitävyyden eikä niiden paikkansapitävyyttä tai virheellisyyttä voida todentaa; tai

    b)

    henkilötiedot on säilytettävä todistelua varten.

    Jos käsittelyä on rajoitettu ensimmäisen alakohdan a alakohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan.

    Tietoja, joihin pääsy on rajoitettu, saa käsitellä ainoastaan sitä tarkoitusta varten, joka esti niiden poistamisen.

    4.   Rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti, jos se kieltäytyy operatiivisten henkilötietojen oikaisemisesta tai poistamisesta tai niiden käsittelyn rajoittamisesta, sekä kieltäytymisen syistä. Rekisterinpitäjä voi rajoittaa kokonaan tai osittain tällaisten tietojen antamista siltä osin, kuin tällainen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

    a)

    välttää virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

    b)

    välttää tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle, paljastamiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

    c)

    suojella jäsenvaltioiden yleistä turvallisuutta;

    d)

    suojella jäsenvaltioiden kansallista turvallisuutta;

    e)

    suojata muiden henkilöiden, kuten uhrien ja todistajien, oikeuksia ja vapauksia.

    Rekisterinpitäjän on ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää oikeussuojakeinoja unionin tuomioistuimessa.

    5.   Rekisterinpitäjän on ilmoitettava virheellisten operatiivisten henkilötietojen oikaisemisesta toimivaltaiselle viranomaiselle, jolta virheelliset operatiiviset henkilötiedot ovat peräisin.

    6.   Tapauksissa, joissa operatiivisia henkilötietoja on oikaistu tai poistettu taikka käsittelyä on rajoitettu 1, 2 tai 3 kohdan nojalla, rekisterinpitäjän on ilmoitettava asiasta vastaanottajille ja ilmoitettava näille, että näiden on oikaistava tai poistettava operatiivisia henkilötietoja taikka rajoitettava vastuullaan olevien operatiivisten henkilötietojen käsittelyä.

    83 artikla

    Oikeus saada pääsy tietoihin rikostutkinnassa ja rikosoikeudellisissa menettelyissä

    Kun operatiiviset henkilötiedot ovat peräisin toimivaltaiselta viranomaiselta, unionin elimet ja laitokset tarkistavat asianomaiselta toimivaltaiselta viranomaiselta ennen sellaisen päätöksen tekemistä, joka koskee rekisteröidyn oikeutta saada pääsy tietoihin, sisältyvätkö tällaiset henkilötiedot kyseisen toimivaltaisen viranomaisen jäsenvaltiossa rikostutkinnan ja rikosoikeudellisen menettelyn yhteydessä käsiteltyyn tuomioistuimen päätökseen, asiakirjaan tai tapausaineistoon. Jos näin on, päätös oikeudesta saada pääsy tietoihin tehdään asianomaista toimivaltaista viranomaista kuullen ja tiiviissä yhteistyössä sen kanssa.

    84 artikla

    Rekisteröidyn oikeuksien käyttäminen ja Euroopan tietosuojavaltuutetun tekemät tarkistukset

    1.   Rekisteröidyn oikeuksia voidaan 79 artiklan 3 kohdassa, 81 artiklassa ja 82 artiklan 4 kohdassa tarkoitetuissa tapauksissa käyttää myös Euroopan tietosuojavaltuutetun välityksellä.

    2.   Rekisterinpitäjän on ilmoitettava rekisteröidylle hänen mahdollisuudestaan käyttää oikeuksiaan Euroopan tietosuojavaltuutetun välityksellä 1 kohdan mukaisesti.

    3.   Jos 1 kohdassa tarkoitettua oikeutta käytetään, Euroopan tietosuojavaltuutettu ilmoittaa rekisteröidylle ainakin siitä, että Euroopan tietosuojavaltuutettu on tehnyt kaikki tarvittavat tarkistukset tai toteuttanut uudelleentarkastelun. Euroopan tietosuojavaltuutettu myös tiedottaa rekisteröidylle hänen oikeudestaan käyttää oikeussuojakeinoja unionin tuomioistuimessa.

    85 artikla

    Sisäänrakennettu ja oletusarvoinen tietosuoja

    1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelyn keinojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa ja tarvittavien suojatoimien käsittelyn osaksi sisällyttämistä varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, jotta käsittely vastaisi tämän asetuksen ja sen perustamissäädöksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

    2.   Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain operatiivisia henkilötietoja, jotka ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, jota varten niitä käsitellään. Tämä velvollisuus koskee kerättyjen operatiivisten henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että operatiivisia henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

    86 artikla

    Yhteisrekisterinpitäjät

    1.   Jos vähintään kaksi rekisterinpitäjää tai yksi tai useampi rekisterinpitäjä yhdessä yhden tai useamman muun rekisterinpitäjän kuin unionin toimielinten ja elinten kanssa määrittävät yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuojavelvoitteidensa noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 79 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin yhteisrekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään yhteisrekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

    2.   Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityyn nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

    3.   Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

    87 artikla

    Henkilötietojen käsittelijä

    1.   Jos käsittely suoritetaan rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamiseksi siten, että käsittely täyttää tämän asetuksen ja rekisterinpitäjän perustamissäädöksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

    2.   Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on yleisestä kirjallisesta luvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

    3.   Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella muulla säädöksellä, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, operatiivisten henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on määrättävä erityisesti, että henkilötietojen käsittelijä

    a)

    toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti;

    b)

    varmistaa, että henkilöt, joilla on lupa käsitellä operatiivisia henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

    c)

    avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan;

    d)

    rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palvelujen tarjoamisen päätyttyä kaikki operatiiviset henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään operatiiviset henkilötiedot;

    e)

    saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten;

    f)

    noudattaa 2 kohdassa ja tässä kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä.

    4.   Edellä 3 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

    5.   Jos henkilötietojen käsittelijä rikkoo tätä asetusta tai rekisterinpitäjän perustamissäädöstä määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä.

    88 artikla

    Lokitiedot

    1.   Rekisterinpitäjän on säilytettävä lokitiedot seuraavista automatisoiduissa käsittelyjärjestelmissä suoritettavista käsittelytoimista: operatiivisten henkilötietojen kerääminen ja muuttaminen, niihin pääsy, kysely, luovuttaminen, siirrot mukaan lukien, yhdistäminen ja poistaminen. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä toteamaan kyseisten toimien perusteet sekä toteutuspäivä ja -aika, operatiivisia henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden operatiivisten henkilötietojen vastaanottajien henkilöllisyys.

    2.   Lokitietoja on käytettävä ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan, operatiivisten henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. Tällaiset lokitiedot on poistettava kolmen vuoden kuluttua, paitsi jos tietoja tarvitaan edelleen valvontaa varten.

    3.   Rekisterinpitäjän on asetettava pyynnöstä lokitiedot tietosuojavastaavansa ja Euroopan tietosuojavaltuutetun saataville.

    89 artikla

    Tietosuojaa koskeva vaikutustenarviointi

    1.   Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista operatiivisten henkilötietojen suojalle.

    2.   Edellä 1 kohdassa tarkoitetussa arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä, toimet, joiden avulla riskeihin on tarkoitus puuttua, sekä suojatoimet, turvatoimenpiteet ja mekanismit, joilla varmistetaan operatiivisten henkilötietojen suoja ja osoitetaan, että tietosuojasääntöjä on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

    90 artikla

    Euroopan tietosuojavaltuutetun ennakkokuuleminen

    1.   Rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ennen henkilötietojen käsittelyä, joka muodostaa osan uutta, tekeillä olevaa rekisteriä, jos

    a)

    89 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, ellei rekisterinpitäjä toteuta toimenpiteitä riskin lieventämiseksi; tai

    b)

    tietojen käsittely on sen luonteista, että siihen sisältyy muutoin, erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käytön johdosta, rekisteröityjen oikeuksien ja vapauksien kannalta korkea riski.

    2.   Euroopan tietosuojavaltuutettu voi laatia luettelon käsittelytoimista, joihin sovelletaan 1 kohdassa tarkoitettua ennakkokuulemista.

    3.   Rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle 89 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä mahdolliset muut tiedot, joiden avulla Euroopan tietosuojavaltuutettu voi arvioida käsittelyn vaatimustenmukaisuutta ja erityisesti riskejä rekisteröidyn operatiivisten henkilötietojen suojan kannalta ja tähän liittyviä suojatoimia.

    4.   Jos Euroopan tietosuojavaltuutettu katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta tai unionin elimen tai laitoksen perustamissäädöstä, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai lieventänyt riskiä, Euroopan tietosuojavaltuutettu antaa kirjallisesti ohjeet rekisterinpitäjälle enintään kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Euroopan tietosuojavaltuutettu ilmoittaa rekisterinpitäjälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta.

    91 artikla

    Operatiivisten henkilötietojen käsittelyn turvallisuus

    1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet varsinkin erityisten operatiivisten henkilötietojen ryhmien osalta.

    2.   Automaattisen käsittelyn osalta rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskinarvioinnin pohjalta toimenpiteet, joiden tarkoituksena on

    a)

    evätä asiattomilta pääsy käsittelyyn käytettäviin laitteisiin (”laitteillepääsyn valvonta”);

    b)

    estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen (”tietovälineiden valvonta”);

    c)

    estää operatiivisten henkilötietojen luvaton tallentaminen järjestelmään sekä järjestelmään tallennettujen operatiivisten henkilötietojen luvaton tarkastelu, muuttaminen tai poistaminen (tallentamisen valvonta);

    d)

    estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla (”käyttäjien valvonta”);

    e)

    varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan valtuutuksensa piiriin kuuluviin operatiivisiin henkilötietoihin (”pääsyn valvonta”);

    f)

    varmistaa, että on mahdollista tarkistaa ja todeta, mille tahoille operatiivisia henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tiedonsiirron avulla (”tiedonvälityksen valvonta”);

    g)

    varmistaa, että on mahdollista tarkistaa ja todeta jälkikäteen, mitä operatiivisia henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka operatiivisia henkilötietoja on syöttänyt (”tietojen syöttämisen valvonta”);

    h)

    estää operatiivisten henkilötietojen luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen operatiivisten henkilötietojen siirron tai tietovälineiden kuljetuksen aikana (”siirron valvonta”),

    i)

    varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen (”toimintakunnon palauttaminen”);

    j)

    varmistaa, että järjestelmä toimii, että havaituista toimintojen virheistä ilmoitetaan (”luotettavuus”) ja että järjestelmän toimintahäiriö ei voi vahingoittaa tallennettuja operatiivisia henkilötietoja (”eheys”).

    92 artikla

    Henkilötietojen tietoturvaloukkauksesta ilmoittaminen Euroopan tietosuojavaltuutetulle

    1.   Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Euroopan tietosuojavaltuutetulle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta Euroopan tietosuojavaltuutetulle 72 tunnin kuluessa, ilmoitukseen on liitettävä viivytyksen syyt.

    2.   Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

    a)

    kuvattava henkilötietojen tietoturvaloukkauksen luonne, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä operatiivisten henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

    b)

    ilmoitettava tietosuojavastaavan nimi ja yhteystiedot;

    c)

    kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

    d)

    kuvattava toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

    3.   Jos ja siltä osin kuin 2 kohdassa tarkoitettuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivytystä.

    4.   Rekisterinpitäjän on dokumentoitava kaikki 1 kohdassa tarkoitetut henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Euroopan tietosuojavaltuutetun on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

    5.   Jos tietoturvaloukkaukseen sisältyy toimivaltaisten viranomaisten toimittamia tai näille toimitettuja operatiivisia henkilötietoja, rekisterinpitäjän on toimitettava 2 kohdassa tarkoitetut tiedot asianomaisille toimivaltaisille viranomaisille ilman aiheetonta viivytystä.

    93 artikla

    Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

    1.   Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

    2.   Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 92 artiklan 2 kohdan b, c ja d alakohdassa säädetyt tiedot ja suositukset.

    3.   Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

    a)

    rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset turvatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin operatiivisiin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla operatiiviset henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

    b)

    rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

    c)

    se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

    4.   Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, Euroopan tietosuojavaltuutettu voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

    5.   Tämän artiklan 1 kohdassa tarkoitettua rekisteröidylle ilmoittamista voidaan viivästyttää tai rajoittaa tai se voidaan jättää tekemättä 79 artiklan 3 kohdan mukaisilla edellytyksillä ja perusteilla.

    94 artikla

    Operatiivisten henkilötietojen siirto kolmansille maille ja kansainvälisille järjestöille

    1.   Jollei unionin elimen tai laitoksen perustamissäädöksessä säädetyistä rajoituksista ja ehdoista muuta johdu, rekisterinpitäjä voi siirtää operatiivisia henkilötietoja kolmannen maan viranomaiselle tai kansainväliselle järjestölle, siltä osin kuin tällainen siirto on tarpeen rekisterinpitäjän tehtävien suorittamiseksi ja vain jos seuraavat tässä artiklassa säädetyt edellytykset täyttyvät:

    a)

    komissio on hyväksynyt direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaisesti tietosuojan riittävyyttä koskevan päätöksen, jossa todetaan, että kyseinen kolmas maa tai kyseisen kolmannen maan alue tai käsittelysektori taikka kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason;

    b)

    jos ei ole tehty a alakohdan mukaista tietosuojan riittävyyttä koskevaa komission päätöstä, unionin ja kyseisen kolmannen maan tai kansainvälisen järjestön välillä on tehty Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan nojalla kansainvälinen sopimus, jossa on yksityisyyden sekä yksilöiden perusoikeuksien ja -vapauksien suojaa koskevia asianmukaisia suojatoimia;

    c)

    jos ei ole tehty a alakohdan mukaista tietosuojan riittävyyttä koskevaa komission päätöstä tai b alakohdan mukaista kansainvälistä sopimusta, asianomaisen unionin elimen tai laitoksen ja kyseessä olevan kolmannen maan välillä on tehty operatiivisten henkilötietojen vaihdon mahdollistava yhteistyösopimus ennen mainitun unionin elimen tai laitoksen perustamissäädöksen soveltamispäivää.

    2.   Unionin elinten ja laitosten perustamissäädöksissä voidaan pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä operatiivisten henkilötietojen kansainvälisten siirtojen ehdoista, erityisesti asianmukaisten suojatoimien ja erityistilanteita koskevien poikkeusten avulla tapahtuvista siirroista.

    3.   Rekisterinpitäjän on julkaistava verkkosivustollaan ja pidettävä ajan tasalla luettelo 1 kohdan a alakohdassa tarkoitetuista tietosuojan riittävyyttä koskevista päätöksistä, sopimuksista, hallinnollisista järjestelyistä ja muista välineistä, jotka liittyvät 1 kohdan mukaiseen operatiivisten henkilötietojen siirtoon.

    4.   Rekisterinpitäjän on pidettävä yksityiskohtaisesti kirjaa kaikista tämän artiklan nojalla suoritetuista siirroista.

    95 artikla

    Rikostutkintaa ja rikosoikeudellisia menettelyjä koskeva salassapitovelvollisuus

    Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten perustamissäädöksissä voidaan velvoittaa Euroopan tietosuojavaltuutettu tämän käyttäessä valvontavaltuuksiaan ottamaan rikostutkintaa ja rikosoikeudellisia menettelyjä koskeva salassapitovelvollisuus mahdollisimman hyvin huomioon unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

    X LUKU

    TÄYTÄNTÖÖNPANOSÄÄDÖKSET

    96 artikla

    Komiteamenettely

    1.   Komissiota avustaa asetuksen (EU) 2016/679 93 artiklalla perustettu komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

    2.   Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

    XI LUKU

    UUDELLEENTARKASTELU

    97 artikla

    Uudelleentarkastelulauseke

    Komissio esittää viimeistään 30 päivänä huhtikuuta 2022 ja sen jälkeen viiden vuoden välein Euroopan parlamentille ja neuvostolle kertomuksen tämän asetuksen soveltamisesta ja liittää siihen tarvittaessa asiaankuuluvia lainsäädäntöehdotuksia.

    98 artikla

    Unionin säädösten uudelleentarkastelu

    1.   Komissio tarkastelee viimeistään 30 päivänä huhtikuuta 2022 uudelleen perussopimusten perusteella annettuja säädöksiä, joilla säännellään Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaa operatiivisten henkilötietojen käsittelyä,

    a)

    arvioidakseen, ovatko ne yhdenmukaisia direktiivin (EU) 2016/680 ja tämän asetuksen IX luvun kanssa,

    b)

    selvittääkseen mahdolliset eroavuudet, jotka saattavat haitata kyseisillä aloilla toimintaa toteuttavien unionin elinten ja laitosten sekä toimivaltaisten viranomaisten välistä operatiivisten henkilötietojen vaihtoa; ja

    c)

    selvittääkseen mahdolliset eroavuudet, jotka saattavat aiheuttaa tietosuojalainsäädännön oikeudellista hajanaisuutta unionissa.

    2.   Jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä, komissio voi uudelleentarkastelun perusteella erityisesti tämän asetuksen IX luvun soveltamiseksi Europoliin ja Euroopan syyttäjänvirastoon esittää asianmukaisia lainsäädäntöehdotuksia, mukaan lukien tarvittaessa mukautukset tämän asetuksen IX lukuun.

    XII LUKU

    LOPPUSÄÄNNÖKSET

    99 artikla

    Asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoaminen

    Kumotaan asetus (EY) N:o 45/2001 ja päätös N:o 1247/2002/EY 11 päivästä joulukuuta 2018. Viittauksia kumottuihin asetukseen ja päätökseen pidetään viittauksina tähän asetukseen.

    100 artikla

    Siirtymätoimenpiteet

    1.   Tämä asetus ei vaikuta Euroopan parlamentin ja neuvoston päätökseen 2014/886/EU (20) eikä Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nykyiseen toimikauteen.

    2.   Apulaistietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta unionin tuomioistuimen kirjaajaan.

    3.   Tämän asetuksen 53 artiklan 4, 5 ja 7 kohtaa sekä 55 ja 56 artiklaa sovelletaan nykyiseen apulaistietosuojavaltuutettuun siihen saakka, kun hänen toimikautensa päättyy.

    4.   Apulaistietosuojavaltuutettu avustaa Euroopan tietosuojavaltuutettua tämän tehtävien suorittamisessa ja toimii hänen sijaisenaan, kun Euroopan tietosuojavaltuutettu on poissa tai estynyt hoitamasta tehtäviään, kunnes nykyisen apulaistietosuojavaltuutetun toimikausi päättyy.

    101 artikla

    Voimaantulo ja soveltaminen

    1.   Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

    2.   Tätä asetusta sovelletaan kuitenkin Eurojustin suorittamaan henkilötietojen käsittelyyn 12 päivänä joulukuuta 2019 päivästä 9.9.9999 kuuta 9.9.9999.

    Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

    Tehty Strasbourgissa 23 päivänä lokakuuta 2018.

    Euroopan parlamentin puolesta

    Puhemies

    A. TAJANI

    Neuvoston puolesta

    Puheenjohtaja

    K. EDTSTADLER


    (1)  EUVL C 288, 31.8.2017, s. 107.

    (2)  Euroopan parlamentin kanta, vahvistettu 13. syyskuuta 2018 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston päätös, tehty 11. lokakuuta 2018.

    (3)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

    (4)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

    (5)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

    (6)  Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).

    (7)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70).

    (8)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

    (9)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).

    (10)  EYVL L 56, 4.3.1968, s. 1.

    (11)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

    (12)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164).

    (13)  Euroopan parlamentin, neuvoston ja komission päätös N:o 1247/2002/EY, tehty 1 päivänä heinäkuuta 2002, Euroopan tietosuojavaltuutetun tehtävien hoitamista koskevasta ohjesäännöstä ja yleisistä ehdoista (EYVL L 183, 12.7.2002, s. 1).

    (14)  EUVL C 164, 24.5.2017, s. 2.

    (15)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/794, annettu 11 päivänä toukokuuta 2016, Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta (EUVL L 135, 24.5.2016, s. 53).

    (16)  Neuvoston asetus (EU) 2017/1939, annettu 12 päivänä lokakuuta 2017, tiiviimmän yhteistyön toteuttamisesta Euroopan syyttäjänviraston (EPPO) perustamisessa (EUVL L 283, 31.10.2017, s. 1).

    (17)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

    (18)  Komission direktiivi 2008/63/EY, annettu 20 päivänä kesäkuuta 2008, kilpailusta telepäätelaitemarkkinoilla (EUVL L 162, 21.6.2008, s. 20).

    (19)  Neuvoston päätös 2009/917/YOS, tehty 30 päivänä marraskuuta 2009, tietotekniikan käytöstä tullialalla (EUVL L 323, 10.12.2009, s. 20).

    (20)  Euroopan parlamentin ja neuvoston päätös 2014/886/EU, annettu 4 päivänä joulukuuta 2014, Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittämisestä (EUVL L 351, 9.12.2014, s. 9).


    Top