PERUSTELUT

1. EHDOTUKSEN TAUSTA

Näissä perusteluissa esitellään yksityiskohtaisesti ehdotus henkilötietojen suojaa koskevaksi uudeksi EU:n lainsäädäntökehykseksi. Uudistusta käsitellään myös tiedonannossa COM(2012) 9 final[1]. Ehdotettu uusi lainsäädäntökehys käsittää kaksi säädösehdotusta, jotka ovat

– ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), ja

– ehdotus Euroopan parlamentin ja neuvoston direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta[2].

Nämä perustelut liittyvät yleistä tietosuoja-asetusta koskevaan ehdotukseen.

Kun EU:n nykyisen tietosuojalainsäädännön keskeinen säädös, direktiivi 95/46/EY[3], annettiin vuonna 1995, sillä oli kaksi tavoitetta: suojata tietosuojaa koskeva perusoikeus ja taata henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä. Direktiiviä täydennettiin puitepäätöksellä 2008/977/YOS. Se on unionin tasolla sovellettava yleinen väline, joka koskee henkilötietojen suojaa poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla[4].

Teknologian nopea kehitys on tuonut henkilötietojen suojeluun uusia haasteita. Tietoja jaetaan ja kerätään nyt valtavan paljon suuremmassa mittakaavassa kuin ennen. Teknologian kehityksen ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös yksityiset ihmiset saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen elämän.

Luottamuksen rakentaminen verkkoympäristöön on talouden kehityksen kannalta olennaista. Luottamuspulan vuoksi kuluttajat suhtautuvat uusiin verkkopalveluihin epäluuloisesti ja epäröivät ostosten tekemistä verkossa. Tämä uhkaa hidastaa uusien teknologioiden innovatiivisten käyttötapojen kehittämistä. Sen vuoksi henkilötietojen suoja on keskeisellä sijalla Euroopan digitaalistrategiassa[5] ja yleisemminkin Eurooppa 2020 ‑strategiassa[6].

Periaate, jonka mukaan jokaisella on oikeus henkilötietojensa suojaan, on vahvistettu Lissabonin sopimuksen myötä Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä SEUT-sopimus, 16 artiklan 1 kohdassa. Lisäksi Lissabonin sopimuksen myötä on otettu käyttöön SEUT-sopimuksen 16 artiklan 2 kohdassa vahvistettu erityinen oikeusperusta, jonka nojalla voidaan antaa henkilötietojen suojaa koskevia sääntöjä. Euroopan unionin perusoikeuskirjan 8 artiklassa vahvistetaan, että henkilötietojen suoja on perusoikeus.

Eurooppa-neuvosto kehotti komissiota arvioimaan EU:n tietosuojasäädösten toimivuutta ja esittämään tarvittaessa sekä lainsäädäntöä koskevia että muita ehdotuksia.[7] Euroopan parlamentti katsoi Tukholman ohjelmaa koskevassa päätöslauselmassaan[8], että EU:ssa olisi laadittava kattava järjestelmä henkilötietojen suojaamiseksi, ja kehotti muun muassa tarkistamaan puitepäätöstä. Komissio puolestaan korosti Tukholman ohjelman toteuttamista koskevassa toimintasuunnitelmassaan[9] tarvetta varmistaa, että henkilötietojen suojaa koskevaa perusoikeutta sovelletaan johdonmukaisesti kaikkien EU:n politiikkojen yhteydessä.

Tiedonannossaan Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa[10] komissio katsoi, että EU:ssa tarvitaan nykyistä kattavampi ja johdonmukaisempi politiikka henkilötietojen suojaa koskevan perusoikeuden toteuttamiseksi.

Nykyisen tietosuojakehyksen tavoitteet ja periaatteet ovat edelleen pätevät. Sen avulla ei kuitenkaan ole pystytty estämään henkilötietojen suojan täytäntöönpanon hajanaisuutta eri puolilla unionia eikä myöskään oikeudellista epävarmuutta tai sitä laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy huomattavia riskejä[11]. Tämän vuoksi on aika laatia EU:lle vahvempi ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, niin että digitaalitalous voi kehittyä koko sisämarkkinoiden alueella ja yksilöt voivat valvoa omia tietojaan. Näin myös vahvistetaan oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen talouden toimijoiden ja viranomaisten kannalta.

2. KUULEMISTEN JA VAIKUTUSTENARVIOINNIN TULOKSET

Tämä aloite perustuu laajaan kuulemiskierrokseen, jossa kaikilta keskeisiltä sidosryhmiltä pyydettiin näkemyksiä voimassa olevan tietosuojakehyksen uudistuksesta. Prosessi kesti yli kaksi vuotta, ja sen yhteydessä järjestettiin toukokuussa 2009 korkean tason konferenssi[12] ja kaksi julkista kuulemista:

– 9. heinäkuuta – 31. joulukuuta 2009 järjestettiin kuuleminen henkilötietojen suojaa koskevan perusoikeuden oikeudellisista puitteista. Komissio sai 168 vastausta, joista 127 yksityishenkilöiltä, liikemaailman järjestöiltä ja yhdistyksiltä ja 12 viranomaisilta.[13]

– 4. marraskuuta 2010 – 15. tammikuuta 2011 järjestettiin kuuleminen komission kattavasta lähestymistavasta henkilötietojen suojaan Euroopan unionissa. Komissio sai 305 vastausta, joista 54 kansalaisilta, 31 viranomaisilta ja 220 yksityisiltä organisaatioilta, erityisesti liikemaailman yhdistyksiltä ja valtiosta riippumattomilta järjestöiltä.[14]

Lisäksi keskeisille sidosryhmille järjestettiin kohdennettuja kuulemisia, ja kesä- ja heinäkuussa 2010 järjestettiin tilaisuuksia jäsenvaltioiden viranomaisille ja yksityisen sektorin sidosryhmille sekä yksityisyydensuojan, tietosuojan ja kuluttaja-asioiden parissa toimiville järjestöille[15]. Marraskuussa 2010 Euroopan komission varapuheenjohtaja Viviane Reding järjesti tietosuojauudistusta koskevan pyöreän pöydän keskustelun. Tietosuojapäivänä 28. tammikuuta 2011 Euroopan komissio ja Euroopan neuvosto järjestivät yhdessä korkean tason konferenssin, jossa käsiteltiin EU:n säädöskehyksen uudistukseen liittyviä kysymyksiä ja tarvetta laatia maailmanlaajuisesti sovellettavat yhteiset tietosuojanormit[16]. Unkari ja Puola järjestivät neuvoston puheenjohtajuuskausiensa aikana tietosuojaa koskevan konferenssin 16. ja 17. kesäkuuta 2011 sekä 21. syyskuuta 2011.

Tietosuojauudistukseen liittyviä erityiskysymyksiä käsiteltiin erilaisissa työpajoissa ja seminaareissa pitkin vuotta 2011. Tammikuussa ENISA[17] järjesti työpajan, jossa käsiteltiin tietoturvaloukkauksista ilmoittamista Euroopassa[18]. Helmikuussa komissio kutsui jäsenvaltion viranomaisia työpajaan keskustelemaan poliisiyhteistyöhön ja rikosasioissa tehtävään oikeudelliseen yhteistyöhön liittyvistä tietosuojakysymyksistä sekä puitepäätöksen täytäntöönpanosta. Perusoikeusvirasto puolestaan järjesti sidosryhmille tarkoitetun kuulemistapaamisen, jonka aiheena olivat tietosuoja ja yksityisyydensuoja. Kansallisten tietosuojaviranomaisten kanssa keskusteltiin uudistuksen keskeisistä kysymyksistä 13. heinäkuuta 2011 pidetyssä kokouksessa. EU:n kansalaisia kuultiin marras–joulukuussa 2010 tehdyssä eurobarometrikyselyssä[19]. Lisäksi käynnistettiin useita selvityksiä.[20] Tietosuojatyöryhmä[21] esitti komissiolle useita lausuntoja, jotka sisälsivät hyödyllisiä kommentteja[22]. Myös Euroopan tietosuojavaltuutettu esitti kattavan lausunnon komission marraskuussa 2010 antamassa tiedonannossa esitetyistä kysymyksistä[23].

Euroopan parlamentti hyväksyi 6. heinäkuuta 2011 antamassaan päätöslauselmassa[24] kertomuksen, joka tukee tietosuojakehyksen uudistusta koskevaa komission lähestymistapaa. Euroopan unionin neuvosto hyväksyi 24. helmikuuta 2011 päätelmät, joissa se antaa laajan tukensa komission pyrkimyksille tietosuojakehyksen uudistamiseksi ja hyväksyy monet komission lähestymistavan osatekijät. Myös Euroopan talous- ja sosiaalikomitea kannatti komission pyrkimystä varmistaa EU:n tietosuojasääntöjen yhdenmukaisempi soveltaminen kaikissa jäsenvaltioissa[25] direktiiviä 95/46/EY tarkistamalla.[26]

Kuulemisten perusteella sidosryhmien suuri enemmistö oli sitä mieltä, että tietosuojaa koskevat yleiset periaatteet ovat edelleen päteviä, mutta että nykyistä säädöskehystä on mukautettava, jotta voidaan ottaa paremmin huomioon uusien (erityisesti verkkoympäristön) teknologioiden nopeaan kehitykseen ja globalisaatioon liittyvät haasteet ja säilyttää samalla säädöskehyksen teknologianeutraalius. Etenkin talouden toimijat ovat arvostelleet kovin sanoin EU:n nykyisen henkilötietojen suojan hajanaisuutta ja vaatineet oikeusvarmuuden lisäämistä ja tietosuojasääntöjen yhtenäistämistä. Talouden toimijat myös katsovat, että henkilötietojen kansainvälisiin siirtoihin sovellettavien sääntöjen monimutkaisuus haittaa niiden toimintaa merkittävästi, koska niiden on säännöllisesti siirrettävä henkilötietoja EU:sta muualle maailmaan.

Komissio on arvioinut eri toimintavaihtoehtojen vaikutuksia parempaa sääntelyä koskevan politiikan mukaisesti. Vaikutustenarvioinnin perustaksi otettiin kolme toimintatavoitetta, joiden avulla pyritään parantamaan tietosuojan sisämarkkinaulottuvuutta, tehostamaan yksilöiden tietosuojaoikeuksien käyttöä ja luomaan kattava ja johdonmukainen säädöskehys, joka kattaa kaikki unionin toimivaltaan kuuluvat alat, myös poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön. Vaikutustenarvioinnissa tarkasteltiin kolmea eriasteista toimintavaihtoehtoa: ensimmäisen vaihtoehdon mukaan lainsäädäntöä tarkistettaisiin mahdollisimman vähän, minkä lisäksi laadittaisiin sääntöjen tulkintaa koskevia tiedonantoja ja tukitoimenpiteitä, kuten rahoitusohjelmia ja teknisiä välineitä, toinen vaihtoehto käsittäisi joukon säännöksiä, joilla pyrittäisiin ratkaisemaan analyysissa havaitut ongelmat, ja kolmas vaihtoehto edellyttäisi tietosuojan keskittämistä EU:n tasolle antamalla kaikkia sektoreita koskevat täsmälliset ja yksityiskohtaiset säännöt ja perustamalla EU:n virasto seuraamaan ja valvomaan näiden säännösten täytäntöönpanoa.

Komission vakiintuneen käytännön mukaisesti kutakin toimintavaihtoehtoa arvioitiin yksiköiden välisen ohjausryhmän avulla tarkastelemalla sen vaikuttavuutta toimintatavoitteiden saavuttamisessa, taloudellisia vaikutuksia sidosryhmiin (muun muassa EU:n toimielinten talousarvioon), sosiaalisia vaikutuksia ja vaikutusta perusoikeuksiin. Ympäristövaikutuksia ei tarkasteltu erikseen. Kokonaisvaikutusten analyysin perusteella laadittiin parhaaksi arvioitu toimintavaihtoehto. Se perustuu toiseen toimintavaihtoehtoon, minkä lisäksi sitä on täydennetty eräillä kahteen muuhun vaihtoehtoon sisältyvillä toimenpiteillä. Nämä kaikki esitetään tässä ehdotuksessa. Vaikutustenarvioinnin perusteella parhaaksi arvioidun vaihtoehdon toteuttaminen parantaa huomattavasti oikeusvarmuutta rekisterinpitäjien ja kansalaisten kannalta, keventää hallinnollista rasitusta, lisää tietosuojasäännösten täytäntöönpanon johdonmukaisuutta unionissa, parantaa yksilöiden mahdollisuuksia käyttää tietosuojaoikeuksiaan henkilötietojensa suojaamiseksi EU:ssa sekä tehostaa tietosuojalainsäädännön valvontaa ja täytäntöönpanoa. Parhaaksi arvioidun vaihtoehdon täytäntöönpanon odotetaan myös edistävän yksinkertaistamista ja hallinnollisen rasituksen keventämistä koskevia komission tavoitteita sekä Euroopan digitaalistrategian, Tukholman ohjelman toimintasuunnitelman ja Eurooppa 2020 -strategian tavoitteita.

Vaikutustenarviointilautakunta antoi arvioinnista lausuntonsa 9. syyskuuta 2011. Sen perusteella vaikutustenarviointiin tehtiin seuraavat muutokset:

– nykyisen säädöskehyksen tavoitteita selkeytettiin (missä määrin ne on saavutettu ja miltä osin niitä ei ole saavutettu), samoin suunnitellun uudistuksen tavoitteita;

– ongelman määrittelyä koskevassa jaksossa esitettiin enemmän näyttöä ja lisää selityksiä/täsmennyksiä;

– tekstiin lisättiin suhteellisuusperiaatetta koskeva jakso;

– kaikki perusskenaariossa ja parhaaksi arvioidussa vaihtoehdossa esitetyt hallinnollista rasitusta koskevat laskelmat ja arviot on tarkistettu perusteellisesti ja ilmoituskustannusten ja lainsäädännön hajanaisuudesta johtuvien kokonaiskustannusten suhdetta on täsmennetty (muun muassa liitteessä 10);

– erityisesti tietosuojavastaavista ja tietosuojaa koskevien vaikutustenarviointien laatimisesta mikroyrityksille ja pienille ja keskisuurille yrityksille aiheutuvia vaikutuksia on täsmennetty paremmin.

Vaikutustenarviointikertomus ja sen tiivistelmä julkaistaan yhdessä säädösehdotusten kanssa.

3. EHDOTUKSEN OIKEUDELLINEN SISÄLTÖ 3.1. Oikeusperusta

Tämä ehdotus perustuu SEUT-sopimuksen 16 artiklaan, joka on Lissabonin sopimuksen mukainen uusi oikeusperusta tietosuojaa koskevien sääntöjen antamiselle. Kyseisen määräyksen nojalla voidaan antaa sääntöjä, jotka koskevat yksilöiden suojelua henkilötietojen käsittelyssä silloin, kun näitä tietoja käsittelevät jäsenvaltiot suorittaessaan unionin lainsäädännön soveltamisalaan kuuluvia tehtäviä. Lisäksi sen perusteella voidaan antaa sääntöjä, jotka koskevat henkilötietojen vapaata liikkuvuutta, riippumatta siitä, käsittelevätkö henkilötietoja jäsenvaltiot vai yksityiset tahot.

Asetuksen katsotaan olevan sopivin säädöstyyppi henkilötietojen suojaa koskevan kehyksen määrittämiseksi unionissa. Asetuksen suora sovellettavuus SEUT-sopimuksen 288 artiklan nojalla vähentää lainsäädännön hajanaisuutta ja takaa paremman oikeusvarmuuden, kun käyttöön otetaan yhtenäinen keskeisten sääntöjen kokonaisuus, joka parantaa yksilön perusoikeuksien suojaa ja edistää sisämarkkinoiden toimintaa.

Viittaus SEUT-sopimuksen 114 artiklan 1 kohtaan on tarpeen vain direktiivin 2002/58/EY muuttamiseksi siltä osin kuin direktiivissä säädetään myös tilaajina olevien oikeushenkilöiden oikeutettujen etujen suojaamisesta.

3.2. Toissijaisuus ja suhteellisuus

Euroopan unionista tehdyn sopimuksen, jäljempänä ’SEU-sopimus’, 5 artiklan 3 kohdassa vahvistetun toissijaisuusperiaatteen mukaisesti unionin tasolla olisi toteutettava toimia vain, jos jäsenvaltiot eivät voi yksin riittävällä tavalla saavuttaa suunnitellun toiminnan tavoitteita, vaan ne voidaan ehdotetun toiminnan laajuuden tai vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Edellä esitettyjen ongelmien perusteella toissijaisuusperiaatteen analysointi osoittaa, että EU:n tason toiminta on tarpeen seuraavista syistä:

– Oikeus henkilötietojen suojaan vahvistetaan perusoikeuskirjan 8 artiklassa, ja se edellyttää, että tietosuojan on oltava samantasoinen kaikkialla unionissa. EU:n yhteisten sääntöjen puuttuminen voisi aiheuttaa riskin siitä, että suojelun taso jäsenvaltioissa vaihtelisi, ja luoda rajoituksia henkilötietojen siirroille eri normeja noudattavien jäsenvaltioiden välillä.

– Henkilötietoja siirretään yli valtioiden rajojen tihenevään tahtiin sekä EU:n sisällä että EU:n ja kolmansien maiden välillä. Lisäksi tietosuojalainsäädännön täytäntöönpanon valvontaan liittyy käytännön ongelmia. Jäsenvaltioiden ja niiden viranomaisten olisi tehtävä keskenään yhteistyötä, jota olisi koordinoitava EU:n tasolla, jotta voidaan varmistaa unionin oikeuden yhdenmukainen soveltaminen. EU:lla on parhaat edellytykset varmistaa tehokkaasti ja johdonmukaisesti yksilöiden suojan yhtenäisyys silloin kun heidän henkilötietojaan siirretään kolmansiin maihin.

– Jäsenvaltiot eivät nykytilanteessa voi yksinään vähentää näitä ongelmia, etenkään silloin kun ne liittyvät kansallisten lainsäädäntöjen hajanaisuuteen. Sen vuoksi tarvitaan yhtenäinen ja johdonmukainen kehys, jonka perusteella henkilötietoja voidaan siirtää sujuvasti yli rajojen EU:n sisällä ja varmistaa samalla kaikkien yksilöiden tehokas suojelu kaikkialla EU:ssa.

– Ehdotetut EU:n lainsäädäntötoimet ovat ongelmien luonteen ja mittakaavan vuoksi vaikuttavampia kuin jäsenvaltioiden tasolla toteutetut vastaavat toimet, koska ne eivät rajoitu yhden tai vain muutaman jäsenvaltion tasolle.

Suhteellisuusperiaate edellyttää, että kaikki toimet ovat kohdennettuja eivätkä ylitä sitä, mikä on tarpeen tavoitteiden saavuttamiseksi. Suhteellisuusperiaate on ohjannut koko prosessia eri toimintavaihtoehtojen määrittämisestä ja arvioinnista säädösehdotuksen laatimiseen asti.

3.3. Tiivistelmä perusoikeuksiin liittyvistä kysymyksistä

Oikeus henkilötietojen suojaan vahvistetaan perusoikeuskirjan 8 artiklassa, SEUT-sopimuksen 16 artiklassa ja Euroopan ihmisoikeussopimuksen 8 artiklassa. Kuten EU:n tuomioistuin on korostanut[27], oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa[28]. Tietosuoja liittyy läheisesti yksityis- ja perhe-elämän kunnioittamiseen, josta määrätään perusoikeuskirjan 7 artiklassa. Tämän vuoksi direktiivin 95/46/EY 1 artiklan 1 kohdassa säädetään, että jäsenvaltioiden on henkilötietojen käsittelyssä turvattava yksilöille heidän perusoikeutensa ja -vapautensa ja erityisesti heidän oikeutensa yksityisyyteen.

Tietosuojauudistus voi vaikuttaa myös seuraaviin perusoikeuskirjassa vahvistettuihin perusoikeuksiin: sananvapaus (perusoikeuskirjan 11 artikla); elinkeinovapaus (16 artikla); omistusoikeus ja varsinkin teollis- ja tekijänoikeudet (17 artiklan 2 kohta); esimerkiksi rotuun, etniseen alkuperään, geneettisiin ominaisuuksiin, uskontoon tai vakaumukseen, poliittisiin tai muihin mielipiteisiin, vammaisuuteen tai sukupuoliseen suuntautumiseen perustuvan syrjinnän kielto (21 artikla); lapsen oikeudet (24 artikla); oikeus korkeatasoiseen terveydenhoitoon (35 artikla); oikeus tutustua asiakirjoihin (42 artikla); oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen (47 artikla).

3.4. Ehdotuksen yksityiskohtaiset perustelut 3.4.1. I LUKU – YLEISET SÄÄNNÖKSET

Ehdotuksen 1 artiklassa määritetään asetuksen kohde, ja samoin kuin direktiivin 95/46/EY 1 artiklassa, asetuksen molemmat tavoitteet.

Ehdotuksen 2 artiklassa määritellään asetuksen aineellinen soveltamisala.

Ehdotuksen 3 artiklassa määritellään asetuksen alueellinen soveltamisala.

Ehdotuksen 4 artiklassa esitetään asetuksessa käytettyjen käsitteiden määritelmät. Osa määritelmistä on otettu sellaisinaan direktiivistä 95/46/EY, toisia on muutettu tai täydennetty, ja osa on uusia (’henkilötietojen tietoturvaloukkaus’ sähköisen viestinnän tietosuojadirektiivin 2002/58/EY[29], sellaisena kuin se on muutettuna direktiivillä 2009/136/EY[30], 2 artiklan h alakohdan mukaisesti, ’geneettiset tiedot’, ’biometriset tiedot’, ’terveystiedot’, ’päätoimipaikka’, ’edustaja’, ’yritys’, ’yritysryhmä’, ’yrityksiä koskevat sitovat säännöt’, ’lapsi’ lapsen oikeuksia koskevan YK:n yleissopimuksen mukaisesti[31] ja ’valvontaviranomainen’).

’Suostumuksen’ määritelmään on lisätty kriteeri ’nimenomainen’, jotta voidaan välttää sekaannus ’yksiselitteisen’ suostumuksen kanssa. Näin suostumukselle saataisiin yksi ainoa johdonmukainen määritelmä, joka takaa, että rekisteröidyt ovat tietoisia siitä, että antavat suostumuksensa, ja tietävät, mitä varten.

3.4.2. II LUKU –- PERIAATTEET

Ehdotuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka vastaavat direktiivin 95/46/EY 6 artiklassa vahvistettuja periaatteita. Uusia elementtejä ovat erityisesti läpinäkyvyysperiaate, tietojen minimoinnin periaate sekä rekisterinpitäjän kattavan vastuun vahvistaminen.

Ehdotuksen 6 artiklassa vahvistetaan tietojenkäsittelyn lainmukaisuuden kriteerit direktiivin 95/46/EY 7 artiklan pohjalta. Ehdotuksessa täsmennetään kriteerejä, jotka koskevat eri etujen tasapainottamista sekä rekisterinpitäjän lakisääteisten velvoitteiden noudattamista tai yleisen edun suojaamista.

Ehdotuksen 7 artiklassa selkeytetään edellytyksiä, joiden on täytyttävä, jotta suostumus muodostaisi pätevän oikeusperustan lainmukaiselle käsittelylle.

Ehdotuksen 8 artiklassa säädetään lisäedellytykset lapsen henkilötietoja koskevan käsittelyn lainmukaisuudelle suoraan lapsille tarjottavien tietoyhteiskunnan palvelujen yhteydessä.

Ehdotuksen 9 artiklassa säädetään erityisiä tietoryhmiä koskevasta yleisestä käsittelykiellosta ja tätä pääsääntöä koskevista poikkeuksista direktiivin 95/46/EY 8 artiklan pohjalta.

Ehdotuksen 10 artiklassa täsmennetään, että rekisterinpitäjällä ei ole velvollisuutta hankkia lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain siksi, että voitaisiin noudattaa jotakin tämän asetuksen säännöstä.

3.4.3. III LUKU – REKISTERÖIDYN OIKEUDET 3.4.3.1. 1 jakso – Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt

Ehdotuksen 11 artiklassa otetaan käyttöön rekisterinpitäjiä koskeva vaatimus toimittaa läpinäkyvää, helposti saatavaa ja ymmärrettävää tietoa. Vaatimus perustuu erityisesti henkilötietojen ja yksityisyyden suojaa koskevista kansainvälisistä standardeista annettuun Madridin päätöslauselmaan[32].

Ehdotuksen 12 artiklassa velvoitetaan rekisterinpitäjä vahvistamaan menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä varten. Tämä tarkoittaa muun muassa sähköisiä pyyntöjä, vaatimusta vastata rekisteröidyn pyyntöihin tietyssä määräajassa sekä kieltäytymisen perustelemista.

Ehdotuksen 13 artiklassa säädetään tietojen vastaanottajien oikeuksista direktiivin 95/46/EY 12 artiklan c alakohdan perusteella. Oikeuksia laajennetaan koskemaan kaikkia tietojen vastaanottajia, yhteiset rekisterinpitäjät ja henkilötietojen käsittelijät mukaan lukien.

3.4.3.2. 2 jakso – Ilmoittaminen ja tiedonsaanti

Ehdotuksen 14 artiklassa säädetään rekisterinpitäjän ilmoitusvelvollisuudesta rekisteröityä kohtaan direktiivin 95/46/EY 10 ja 11 artiklan pohjalta. Rekisteröidylle on annettava lisätietoja muun muassa tietojen säilytysajasta, oikeudesta tehdä valitus, tietojen siirtämisestä jäsenvaltion ulkopuolelle sekä siitä, mistä tiedot ovat peräisin. Ehdotuksessa säilytetään direktiivissä 95/46/EY sallitut poikkeukset, joiden mukaisesti ilmoitusvelvollisuutta ei ole, jos kyseisestä rekisteröinnistä tai tietojen luovutuksesta on nimenomaisesti lailla säädetty. Poikkeusta voitaisiin soveltaa esimerkiksi kilpailuviranomaisten, vero- tai tullihallintojen tai sosiaaliturva-alan toimivaltaisten viranomaisten menettelyissä.

Ehdotuksen 15 artiklassa säädetään rekisteröidyn oikeudesta tutustua omiin henkilötietoihinsa. Säännös perustuu direktiivin 95/46/EY 12 artiklan a alakohtaan, minkä lisäksi siihen on lisätty uusia elementtejä, kuten velvollisuus ilmoittaa rekisteröidylle tietojen säilytysajasta sekä oikeudesta oikaista ja poistaa tietoja ja valitusoikeudesta.

3.4.3.3. 3 jakso – Tietojen oikaiseminen ja poistaminen

Ehdotuksen 16 artiklassa vahvistetaan rekisteröidyn oikeus oikaista tietojaan direktiivin 95/46/EY 12 artiklan b alakohdan mukaisesti.

Ehdotuksen 17 artiklassa säädetään rekisteröidyn oikeudesta tulla unohdetuksi ja poistaa tietonsa. Siinä myös täsmennetään direktiivin 95/46/EY 12 artiklan b alakohdassa säädettyä oikeutta tietojen poistamiseen ja säädetään edellytykset oikeudelle tulla unohdetuksi. Tähän sisältyy muun muassa tiedot julkistaneen rekisterinpitäjän velvollisuus ilmoittaa kolmansille osapuolille rekisteröidyn pyynnöstä poistaa kyseisiin henkilötietoihin liittyvät linkit tai tietojen kopiot tai jäljennökset. Lisäksi artiklaan on lisätty oikeus rajoittaa tietojenkäsittelyä tietyissä tapauksissa, moniselitteistä ilmaisua ”suojata tiedot tietokannassa” välttäen.

Ehdotuksen 18 artiklassa otetaan käyttöön rekisteröidyn oikeus siirtää tietonsa yhdestä sähköisestä käsittelyjärjestelmästä toiseen rekisterinpitäjän estämättä. Siirron edellytykseksi ja jotta voidaan vahvistaa yksilön oikeutta tutustua omiin henkilötietoihinsa, siinä säädetään myös oikeudesta saada kyseiset tiedot rekisterinpitäjältä jäsennellyssä ja yleisesti käytetyssä sähköisessä muodossa.

3.4.3.4. 4 jakso – Oikeus vastustaa tietojenkäsittelyä ja profilointi

Ehdotuksen 19 artiklassa säädetään rekisteröidyn oikeudesta vastustaa henkilötietojensa käsittelyä. Se perustuu direktiivin 95/46/EY 14 artiklaan. Tekstiä on hieman muutettu, muun muassa todistustaakan sekä suoramarkkinointiin soveltamisen osalta.

Ehdotuksen 20 artikla koskee rekisteröidyn oikeutta olla joutumatta profilointiin perustuvan toimenpiteen kohteeksi. Se perustuu direktiivin 95/46/EY 15 artiklan 1 kohtaan, joka koskee automatisoituja yksittäispäätöksiä. Tekstiä on kuitenkin muutettu lisäämällä siihen uusia takeita. Ehdotuksessa on otettu huomioon profilointia koskeva Euroopan neuvoston suositus[33].

3.4.3.5. 5 jakso – Rajoitukset

Ehdotuksen 21 artiklassa selkeytetään unionin tai jäsenvaltioiden valtuutusta pitää yllä tai ottaa käyttöön rajoituksia 5 artiklassa säädettyihin periaatteisiin ja 11–20 artiklassa ja 32 artiklassa vahvistettuihin rekisteröidyn oikeuksiin. Säännös perustuu direktiivin 95/46/EY 13 artiklaan sekä perusoikeuskirjan ja Euroopan ihmisoikeussopimuksen vaatimuksiin, sellaisina kuin Euroopan unionin tuomioistuin ja Euroopan ihmisoikeustuomioistuin ovat niitä tulkinneet.

3.4.4. IV LUKU – REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ 3.4.4.1. 1 jakso – Yleiset velvollisuudet

Ehdotuksen 22 artiklassa otetaan huomioon tilivelvollisuuden periaatteesta käyty keskustelu ja kuvataan yksityiskohtaisesti rekisterinpitäjän velvollisuus noudattaa tätä asetusta ja osoittaa se muun muassa hyväksymällä sisäisiä menettelyjä ja mekanismeja noudattamisen varmistamiseksi.

Ehdotuksen 23 artiklassa säädetään rekisterinpitäjän velvollisuudet, jotka perustuvat sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin.

Ehdotuksen 24 artiklassa säädetään tilanteesta, jossa rekisterinpitäjiä on useampia, ja täsmennetään niiden vastuuta sekä toisiaan että rekisteröityä kohtaan.

Ehdotuksen 25 artiklassa velvoitetaan muut kuin unioniin sijoittautuneet rekisterinpitäjät nimittämään tiettyjen edellytysten täyttyessä itselleen edustaja unionin alueella silloin, kun niiden käsittelytoimintaan sovelletaan tätä asetusta.

Ehdotuksen 26 artiklassa selkeytetään henkilötietojen käsittelijöiden asemaa ja velvollisuuksia, jotka perustuvat osittain direktiivin 95/46/EY 17 artiklan 2 kohtaan. Niihin myös lisätään uusia tekijöitä, kuten se, että jos henkilötietojen käsittelijä käsittelee tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti, sitä on pidettävä yhteisenä rekisterinpitäjänä.

Ehdotuksen 27 artikla koskee tietojenkäsittelyä rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa. Säännös perustuu direktiivin 95/46/EY 16 artiklaan.

Ehdotuksen 28 artiklassa otetaan käyttöön rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskeva velvollisuus säilyttää niiden vastuulla toteutettavia käsittelytoimia koskevat asiakirjat, kun direktiivin 95/46/EY 18 artiklan 1 kohdassa ja 19 artiklassa säädetään yleisestä velvollisuudesta ilmoittaa tietojenkäsittelystä valvontaviranomaiselle.

Ehdotuksen 29 artiklassa selkeytetään rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuutta tehdä yhteistyötä valvontaviranomaisen kanssa.

3.4.4.2. 2 jakso – Tietoturvallisuus

Ehdotuksen 30 artiklassa velvoitetaan rekisterinpitäjä ja henkilötietojen käsittelijä toteuttamaan tietojenkäsittelyn turvallisuuden varmistamiseksi tarvittavat toimenpiteet direktiivin 95/46/EY 17 artiklan 1 kohdan mukaisesti. Ehdotuksessa laajennetaan velvollisuus koskemaan kaikkia henkilötietojen käsittelijöitä, riippumatta siitä, millainen sopimus niillä on rekisterinpitäjän kanssa.

Ehdotuksen 31 ja 32 artiklassa otetaan käyttöön velvollisuus ilmoittaa henkilötietoihin kohdistuvista tietoturvaloukkauksista. Säännös perustuu sähköisen viestinnän tietosuojadirektiivin 2002/58/EY 4 artiklan 3 kohtaan.

3.4.4.3. 3 jakso – Tietosuojaa koskeva vaikutustenarviointi ja ennakkohyväksyntä

Ehdotuksen 33 artiklassa otetaan käyttöön rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskeva velvollisuus laatia tietosuojaa koskeva vaikutustenarviointi ennen riskialttiiden käsittelyoperaatioiden toteuttamista.

Ehdotuksen 34 artikla koskee tapauksia, joissa ennen tietojenkäsittelyä on saatava valvontaviranomaisen lupa ja kuultava sitä. Säännös perustuu direktiivin 95/46/EY 20 artiklassa säädettyyn ennakkotarkastuksen käsitteeseen.

3.4.4.4. 4 jakso – Tietosuojavastaava

Ehdotuksen 35 artiklassa otetaan käyttöön velvollisuus nimittää tietosuojavastaava julkisella sektorilla ja yksityisellä sektorilla suurissa yrityksissä tai yrityksissä, joissa rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat säännöllistä ja järjestelmällistä seurantaa edellyttävistä käsittelytoimista. Säännös perustuu direktiivin 95/46/EY 18 artiklan 2 kohtaan, jossa säädetään jäsenvaltioiden mahdollisuudesta ottaa käyttöön tällainen vaatimus yleisen ilmoitusmenettelyn sijasta.

Ehdotuksen 36 artiklassa säädetään tietosuojavastaavan asemasta.

Ehdotuksen 37 artiklassa vahvistetaan tietosuojavastaavan keskeiset tehtävät.

3.4.4.5. 5 jakso – Käytännesäännöt ja sertifiointi

Ehdotuksen 38 artiklassa säädetään käytännesäännöistä direktiivin 95/46/EY 27 artiklan 1 kohdan pohjalta. Säännöksessä selkeytetään käytännesääntöjen sisältöä ja menettelyjä ja säädetään, että komissiolla on valtuudet päättää käytännesääntöjen yleisestä pätevyydestä.

Ehdotuksen 39 artiklassa säädetään mahdollisuudesta ottaa käyttöön sertifiointimekanismeja sekä tietosuojasinettejä ja ‑merkkejä.

3.4.5. V LUKU – HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

Ehdotuksen 40 artiklassa säädetään yleisestä periaatteesta, jonka mukaan kyseisessä luvussa säädettyjä velvoitteita on noudatettava aina kun henkilötietoja siirretään kolmansiin maihin tai kansainvälisille järjestöille, myös silloin kun tietoja siirretään edelleen.

Ehdotuksen 41 artiklassa vahvistetaan kriteerit, edellytykset ja menettelyt, joiden mukaisesti komissio tekee tietosuojan tason riittävyyttä koskevan päätöksen. Säännös perustuu direktiivin 95/46/EY 25 artiklaan. Kriteerit, jotka komission on otettava huomioon arvioidessaan tietosuojan tason riittävyyttä, ovat oikeusvaltioperiaate, oikeudelliset muutoksenhakukeinot ja riippumaton valvonta. Artiklassa säädetään nyt nimenomaisesti, että komissio voi arvioida tietosuojan tason riittävyyttä tietyllä kolmannen maan alueella tai tietojenkäsittelyn sektorilla.

Ehdotuksen 42 artiklassa edellytetään, että kun tietoja siirretään kolmansiin maihin, joiden osalta komissio ei ole tehnyt tietosuojan tason riittävyyttä koskevaa päätöstä, on annettava asianmukaiset takeet, joita voivat olla erityisesti tietosuojaa koskevat vakiolausekkeet, yritystä koskevat sitovat säännöt tai sopimuslausekkeet. Mahdollisuus käyttää komission vahvistamia tietosuojaa koskevia vakiolausekkeita perustuu direktiivin 95/46/EY 26 artiklan 4 kohtaan. Uusi elementti on se, että tällaiset tietosuojaa koskevat vakiolausekkeet voi nyt vahvistaa myös tietosuojaviranomainen, ja komissio voi todeta ne yleisesti päteviksi. Myös yritystä koskevat sitovat säännöt mainitaan nyt säädöstekstissä erikseen. Sopimuslausekkeita koskeva vaihtoehto antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tiettyä joustonvaraa, mutta niiden käyttö riippuu valvontaviranomaisten ennakkohyväksynnästä.

Ehdotuksen 43 artiklassa kuvaillaan yksityiskohtaisemmin edellytykset siirtojen toteuttamiseksi yritystä koskevien sitovien sääntöjen perusteella. Säännös perustuu nykykäytäntöihin ja valvontaviranomaisten vaatimuksiin.

Ehdotuksen 44 artiklassa täsmennetään ja selkeytetään tiedonsiirtoja koskevia poikkeuksia direktiivin 95/46/EY 26 artiklan voimassa olevien säännösten pohjalta. Tämä koskee erityisesti tiedonsiirtoja, jotka ovat tarpeen tärkeiden yleistä etua koskevien syiden vuoksi, esimerkiksi kun on kyse kansainvälisistä tiedonsiirroista kilpailuviranomaisten tai vero- tai tullihallintojen tai sosiaaliturva-alan tai kalatalouden hallinnoinnista vastaavien toimivaltaisten viranomaisten välillä. Lisäksi tiedonsiirto voi olla rajatuissa olosuhteissa oikeutettu rekisterinpitäjän tai henkilötietojen käsittelijän oikeutetun edun perusteella, mutta vasta kun kyseiseen siirtoon liittyvät olosuhteet on arvioitu ja dokumentoitu.

Ehdotuksen 45 artiklassa säädetään komission ja kolmansien maiden valvontaviranomaisten käyttöön tarkoitetuista henkilötietojen suojaamista koskevista kansainvälisistä yhteistyömekanismeista. Tämä koskee erityisesti niitä kolmansia maita, joiden tarjoama tietosuojan taso katsotaan riittäväksi, kun otetaan huomioon Taloudellisen yhteistyön ja kehityksen järjestön (OECD) 12. kesäkuuta 2007 antama suositus rajatylittävästä yhteistyöstä yksityisyydensuojaa koskevan lainsäädännön täytäntöönpanon alalla.

3.4.6. VI LUKU – RIIPPUMATTOMAT VALVONTAVIRANOMAISET 3.4.6.1. 1 jakso – Riippumaton asema

Ehdotuksen 46 artiklassa velvoitetaan jäsenvaltiot perustamaan valvontaviranomaisia. Säännös perustuu direktiivin 95/46/EY 28 artiklan 1 kohtaan, minkä lisäksi siinä laajennetaan valvontaviranomaisten tehtävä koskemaan yhteistyötä sekä muiden valvontaviranomaisten että komission kanssa.

Ehdotuksen 47 artiklassa selkeytetään valvontaviranomaisten riippumattomuuden edellytyksiä panemalla täytäntöön Euroopan unionin tuomioistuimen oikeuskäytäntö[34]. Lisäksi säännös perustuu asetuksen (EY) N:o 45/2001[35] 44 artiklaan.

Ehdotuksen 48 artiklassa vahvistetaan valvontaviranomaisen jäseniä koskevat yleiset edellytykset. Säännös perustuu asiaa koskevaan oikeuskäytäntöön[36] ja asetuksen (EY) N:o 45/2001 42 artiklan 2–6 kohtaan.

Ehdotuksen 49 artiklassa vahvistetaan valvontaviranomaisen perustamista koskevat säännöt, jotka on sisällytettävä jäsenvaltioiden lainsäädäntöön.

Ehdotuksen 50 artiklassa säädetään valvontaviranomaisen jäseniä ja henkilöstöä koskevasta vaitiolovelvollisuudesta. Säännös perustuu direktiivin 95/46/EY 28 artiklan 7 kohtaan.

3.4.6.2. 2 jakso – Toimivalta ja tehtävät

Ehdotuksen 51 artiklassa määritellään valvontaviranomaisten toimivalta. Pääsääntö perustuu direktiivin 95/46/EY 28 artiklan 6 kohtaan (toimivalta rajoittuu valvontaviranomaisen kotijäsenvaltion alueeseen), mutta sitä täydentää uusi johtavan valvontaviranomaisen toimivalta tilanteissa, joissa rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useisiin jäsenvaltioihin. Säännöksen tarkoituksena on varmistaa soveltamisen yhdenmukaisuus (yhden luukun järjestelmä). Tuomioistuimet on vapautettu valvontaviranomaisen valvonnasta silloin kun ne käyttävät tuomiovaltaansa, mutta niiden on siitä huolimatta sovellettava tietosuojaa koskevia aineellisia sääntöjä.

Ehdotuksen 52 artiklassa säädetään valvontaviranomaisen velvollisuuksista, joita ovat muun muassa valitusten käsittely ja tutkiminen sekä tietosuojaan liittyvistä riskeistä, säännöistä, takeista ja oikeuksista tiedottaminen yleisölle.

Ehdotuksen 53 artiklassa säädetään valvontaviranomaisen valtuuksista. Säännös perustuu osittain direktiivin 95/46/EY 28 artiklan 3 kohtaan ja asetuksen (EY) N:o 45/2001 47 artiklaan, minkä lisäksi siihen on lisätty eräitä uusia tekijöitä, kuten toimivalta määrätä hallinnollisia seuraamuksia.

Ehdotuksen 54 artiklassa velvoitetaan valvontaviranomaiset laatimaan vuotuinen toimintakertomus. Säännös perustuu direktiivin 95/46/EY 28 artiklan 5 kohtaan.

3.4.7. VII LUKU – YHTEISTYÖ JA YHDENMUKAISUUS 3.4.7.1. 1 jakso – Yhteistyö

Ehdotuksen 55 artiklassa säädetään nimenomaiset säännöt pakollista keskinäistä avunantoa varten, muun muassa toisen valvontaviranomaisen pyynnön noudattamatta jättämisestä määrättävät seuraamukset. Säännös perustuu direktiivin 95/46/EY 28 artiklan 6 kohdan toiseen alakohtaan.

Ehdotuksen 56 artiklassa esitetään yhteisiä operaatioita koskevat säännöt, jotka perustuvat neuvoston päätöksen 2008/615/YOS[37] 17 artiklaan ja kattavat muun muassa valvontaviranomaisten oikeuden osallistua tällaisiin operaatioihin.

3.4.7.2. 2 jakso – Yhdenmukaisuus

Ehdotuksen 57 artiklalla otetaan käyttöön yhdenmukaisuusmekanismi, jonka avulla voidaan varmistaa tietosuojasäännösten yhdenmukainen soveltaminen eri jäsenvaltioissa asuviin rekisteröityihin kohdistuvien käsittelytoimien yhteydessä.

Ehdotuksen 58 artiklassa vahvistetaan menettelyt ja edellytykset Euroopan tietosuojaneuvoston lausunnon saamista varten.

Ehdotuksen 59 artikla koskee komission lausuntoja yhdenmukaisuusmekanismin puitteissa käsiteltävistä asioista. Komissio voi joko vahvistaa Euroopan tietosuojaneuvoston lausunnon tai ilmaista eriävän mielipiteensä lausunnosta ja tietosuojaviranomaisen toimenpideluonnoksesta. Jos Euroopan tietosuojaneuvosto on ottanut asian esille 58 artiklan 3 kohdan nojalla, voidaan odottaa, että komissio käyttää harkintavaltaansa ja antaa lausunnon aina kun sitä tarvitaan.

Ehdotuksen 60 artikla koskee komission päätöksiä, joissa se vaatii toimivaltaista viranomaista keskeyttämään toimenpideluonnoksen täytäntöönpanon, jos se on tarpeen tämän asetuksen asianmukaisen soveltamisen varmistamiseksi.

Ehdotuksen 61 artiklassa säädetään mahdollisuudesta hyväksyä väliaikaisia toimenpiteitä kiireellisessä menettelyssä.

Ehdotuksen 62 artiklassa esitetään vaatimukset, joiden perusteella komissio voi antaa täytäntöönpanosäädöksiä yhdenmukaisuusmekanismin perusteella.

Ehdotuksen 63 artiklassa säädetään velvollisuudesta panna yhden valvontaviranomaisen määräämät toimenpiteet täytäntöön kaikissa jäsenvaltioissa, joita asia koskee. Lisäksi siinä säädetään, että yhdenmukaisuusmekanismin soveltaminen on kyseisten toimenpiteiden oikeudellisen pätevyyden ja täytäntöönpanon ennakkoedellytys.

3.4.7.3. 3 jakso – Euroopan tietosuojaneuvosto

Ehdotuksen 64 artiklalla perustetaan Euroopan tietosuojaneuvosto, jonka muodostavat kunkin jäsenvaltion valvontaviranomaisen päälliköt ja Euroopan tietosuojavaltuutettu. Euroopan tietosuojaneuvosto korvaa direktiivin 95/46/EY 29 artiklalla perustetun tietosuojatyöryhmän. Artiklassa täsmennetään, että komissio ei ole Euroopan tietosuojaneuvoston jäsen, mutta että sillä on oikeus osallistua neuvoston toimintaan ja olla edustettuna siinä.

Ehdotuksen 65 artiklassa korostetaan ja täsmennetään Euroopan tietosuojaneuvoston toiminnan riippumattomuutta.

Ehdotuksen 66 artiklassa kuvataan Euroopan tietosuojaneuvoston tehtävät direktiivin 95/46/EY 30 artiklan 1 kohdan perusteella. Lisäksi siinä säädetään lisätehtävistä, jotka perustuvat Euroopan tietosuojaneuvoston laajennettuun toiminta-alaan unionissa ja sen ulkopuolella. Jotta hätätilanteisiin voitaisiin reagoida nopeasti, artiklassa säädetään, että komissio voi pyytää tietosuojaneuvostolta lausuntoa tietyssä määräajassa.

Ehdotuksen 67 artiklassa vaaditaan Euroopan tietosuojaneuvostoa esittämään vuosittain toimintakertomus. Säännös perustuu direktiivin 95/46/EY 30 artiklan 6 kohtaan.

Ehdotuksen 68 artiklassa vahvistetaan Euroopan tietosuojaneuvoston päätöksentekomenettelyt, mukaan lukien velvollisuus hyväksyä työjärjestys, jonka olisi katettava myös operatiiviset järjestelyt.

Ehdotuksen 69 artiklassa säädetään Euroopan tietosuojaneuvoston puheenjohtajasta ja varapuheenjohtajista.

Ehdotuksen 70 artiklassa määritellään puheenjohtajan tehtävät.

Ehdotuksen 71 artiklassa säädetään, että Euroopan tietosuojaneuvoston sihteeristön tehtävistä vastaa Euroopan tietosuojavaltuutettu, ja määritellään nämä tehtävät.

Ehdotuksen 72 artiklassa säädetään luottamuksellisuudesta.

3.4.8. VIII LUKU – OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

Ehdotuksen 73 artiklassa säädetään, että jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle. Säännös perustuu direktiivin 95/46/EY 28 artiklan 4 kohtaan. Artiklassa mainitaan myös ne elimet, järjestöt ja yhdistykset, jotka voivat tehdä valituksen rekisteröidyn puolesta, tai jos kyseessä on henkilötietoja koskeva tietoturvaloukkaus, rekisteröidyn valituksesta riippumatta.

Ehdotuksen 74 artiklassa säädetään oikeudesta oikeussuojakeinoihin valvontaviranomaista vastaan. Säännös perustuu direktiivin 95/46/EY 28 artiklan 3 kohdan yleiseen säännökseen. Artiklassa säädetään erityisesti oikeussuojakeinosta, joka velvoittaa valvontaviranomaisen toteuttamaan valituksen perusteella tarvittavat toimenpiteet, ja selkeytetään valvontaviranomaisen kotijäsenvaltion tuomioistuinten toimivaltaa. Lisäksi säädetään, että rekisteröidyn asuinjäsenvaltion valvontaviranomainen voi panna rekisteröidyn puolesta vireille menettelyt sellaisen toisen jäsenvaltion tuomioistuimessa, joka on toimivaltaisen valvontaviranomaisen kotijäsenvaltio.

Ehdotuksen 75 artikla koskee oikeussuojakeinoja rekisterinpitäjää tai henkilötietojen käsittelijää vastaan. Säännös perustuu direktiivin 95/46/EY 22 artiklaan. Ehdotetun säännöksen mukaan rekisteröity voi kääntyä joko vastaajan kotijäsenvaltion tai oman asuinjäsenvaltionsa tuomioistuimen puoleen. Jos yhdenmukaisuusmekanismin perusteella on vireillä useampia samaa asiaa koskevia menettelyjä, tuomioistuin voi keskeyttää menettelyt, paitsi jos asian käsittelyllä on kiire.

Ehdotuksen 76 artiklassa vahvistetaan tuomioistuinmenettelyjä koskevat yhteiset säännöt, jotka koskevat muun muassa elinten, järjestöjen ja yhdistysten oikeutta edustaa rekisteröityä tuomioistuimissa, valvontaviranomaisten oikeutta panna vireille oikeudellisia menettelyjä sekä toisessa jäsenvaltiossa vireillä olevista rinnakkaisista menettelyistä ilmoittamista tuomioistuimille ja tuomioistuinten mahdollisuutta keskeyttää menettelyt tällaisessa tapauksessa.[38] Jäsenvaltioiden on varmistettava, että oikeussuojakeinot mahdollistavat nopeat toimenpiteet.[39]

Ehdotuksen 77 artiklassa säädetään vastuusta ja oikeudesta korvauksen saamiseen. Säännös perustuu direktiivin 95/46/EY 23 artiklaan. Sitä kuitenkin laajennetaan niin, että oikeus korvauksen saamiseen koskee myös henkilötietojen käsittelijöiden aiheuttamia vahinkoja. Lisäksi artiklassa selkeytetään yhteisten rekisterinpitäjien ja yhteisten henkilötietojen käsittelijöiden vastuuta.

Ehdotuksen 78 artiklassa velvoitetaan jäsenvaltiot säätämään seuraamuksia koskevat säännöt, määräämään seuraamuksia asetuksen rikkomisesta ja varmistamaan näiden sääntöjen täytäntöönpano.

Ehdotuksen 79 artiklassa velvoitetaan kukin valvontaviranomainen langettamaan hallinnollisia seuraamuksia tässä säännöksessä luetelluista teoista määräämällä sakkoja tiettyyn enimmäismäärään asti kuhunkin tapaukseen liittyvät olosuhteet asianmukaisesti huomioon ottaen.

3.4.9. IX LUKU – TIETOJENKÄSITTELYYN LIITTYVIÄ ERITYISTILANTEITA KOSKEVAT SÄÄNNÖKSET

Ehdotuksen 80 artiklassa velvoitetaan jäsenvaltiot hyväksymään vapautuksia ja poikkeuksia asetuksen erityissäännöksistä, silloin kun nämä ovat tarpeen henkilötietojen suojaa koskevan oikeuden ja sananvapautta koskevan oikeuden yhteensovittamiseksi. Säännös perustuu direktiivin 95/46/EY 9 artiklaan, sellaisena kuin Euroopan yhteisöjen tuomioistuin on sitä tulkinnut.[40]

Ehdotuksen 81 artiklassa velvoitetaan jäsenvaltiot vahvistamaan erityisiä tietoryhmiä koskevien edellytysten nojalla erityiset takeet terveystietojen käsittelyä varten.

Ehdotuksen 82 artiklassa valtuutetaan jäsenvaltiot antamaan erityislakeja työntekijän henkilötietojen käsittelyä varten.

Ehdotuksen 83 artiklassa säädetään erityisistä edellytyksistä, jotka koskevat henkilötietojen käsittelyä historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten.

Ehdotuksen 84 artiklassa valtuutetaan jäsenvaltiot hyväksymään erityisiä sääntöjä, jotka koskevat valvontaviranomaisten oikeutta tutustua tietoihin ja pääsyä tiloihin tilanteissa, joissa rekisterinpitäjiä koskee salassapitovelvollisuus.

Ehdotuksen 85 artiklassa säädetään, että SEUT-sopimuksen 17 artiklan nojalla kirkkojen voimassa olevia kattavia tietosuojasääntöjä voidaan edelleen soveltaa, kunhan säännöt yhdenmukaistetaan tämän asetuksen kanssa.

3.4.10. X LUKU – DELEGOIDUT SÄÄDÖKSET JA TÄYTÄNTÖÖNPANOSÄÄDÖKSET

Ehdotuksen 86 artikla sisältää siirretyn säädösvallan käyttöä koskevat vakiosäännökset SEUT-sopimuksen 290 artiklan mukaisesti. Tuon artiklan nojalla lainsäätäjä voi siirtää komissiolle vallan antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia.

Ehdotuksen 87 artiklassa säädetään komiteamenettelystä, jolla komissiolle siirretään täytäntöönpanovaltaa sellaisia tapauksia varten, joissa unionin oikeudellisesti velvoittavat säädökset edellyttävät SEUT-sopimuksen 291 artiklan mukaisesti yhdenmukaista täytäntöönpanoa. Sovelletaan tarkastelumenettelyä.

3.4.11. XI LUKU – LOPPUSÄÄNNÖKSET

Ehdotuksen 88 artiklassa kumotaan direktiivi 95/46/EY.

Ehdotuksen 89 artiklassa täsmennetään ehdotetun asetuksen suhde sähköisen viestinnän tietosuojadirektiiviin 2002/58/EY ja muutetaan kyseistä direktiiviä.

Ehdotuksen 90 artiklassa velvoitetaan komissio arvioimaan asetusta ja laatimaan sitä koskevia kertomuksia.

Ehdotuksen 91 artiklassa säädetään asetuksen voimaantulopäivä ja sen soveltamista koskeva siirtymäaika.

4.           TALOUSARVIOVAIKUTUKSET

Ehdotuksen talousarviovaikutukset liittyvät Euroopan tietosuojavaltuutetulle osoitettuihin tehtäviin, jotka täsmennetään ehdotuksen liitteenä olevassa rahoitusselvityksessä. Nämä vaikutukset edellyttävät rahoitusnäkymien otsakkeen 5 rahoitussuunnitelman muuttamista.

Ehdotus ei vaikuta toimintamenoihin.

Tämän asetusehdotuksen liitteenä oleva rahoitusselvitys kattaa sekä tämän asetuksen että poliisiyhteistyötä ja rikosasioissa tehtävää oikeudellista yhteistyötä koskevan tietosuojadirektiivin talousarviovaikutukset.

2012/0011 (COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus)

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan ja 114 artiklan 1 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon[41],

ovat kuulleet Euroopan tietosuojavaltuutettua[42],

noudattavat tavallista lainsäätämisjärjestystä,

sekä katsovat seuraavaa:

(1) Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

(2) Henkilötietojen käsittelyn on tarkoitus palvella ihmistä, minkä vuoksi niissä periaatteissa ja säännöissä, jotka koskevat yksilöiden suojelua henkilötietojen käsittelyssä, olisi henkilöiden kansalaisuudesta ja asuinpaikasta riippumatta otettava huomioon heidän perusoikeutensa ja ‑vapautensa ja erityisesti oikeus henkilötietojen suojaan. Henkilötietojen käsittelyn olisi tuettava vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä yksilöiden hyvinvointia.

(3) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY[43] tarkoituksena on yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien ja ‑vapauksien suojelua ja taata henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä.

(4) Sisämarkkinoiden toiminnasta aiheutuva taloudellinen ja sosiaalinen yhdentyminen on huomattavasti lisännyt kansainvälisiä tiedonsiirtoja. Tietojenvaihto unionin taloudellisten, sosiaalisten, julkisten ja yksityisten toimijoiden kesken on lisääntynyt.   Unionin lainsäädännössä jäsenvaltioiden viranomaisia kehotetaan toimimaan yhteistyössä ja vaihtamaan keskenään henkilötietoja, jotta ne voisivat täyttää velvollisuutensa tai suorittaa tehtäviä jonkin toisen jäsenvaltion viranomaisten puolesta.

(5) Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen käsittelyyn uusia haasteita. Tietoja jaetaan ja kerätään nyt valtavan paljon suuremmassa mittakaavassa. Teknologian kehityksen ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös yksityiset ihmiset saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen elämän, ja sen vuoksi on edelleen helpotettava vapaata tiedonkulkua unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille samalla kun varmistetaan henkilötietojen korkeatasoinen suoja.

(6) Tämän kehityksen vuoksi unionissa on laadittava vahvempi ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Yksilöiden olisi voitava valvoa omia tietojaan, ja oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen olisi vahvistettava sekä yksilöiden että talouden toimijoiden ja viranomaisten kannalta.

(7) Direktiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään henkilötietojen suojan täytäntöönpanon hajanaisuutta eri puolilla unionia eikä myöskään oikeudellista epävarmuutta tai sitä laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy yksilöiden suojelun kannalta huomattavia riskejä. Yksilön oikeuksiin ja vapauksiin ja erityisesti yksityisyyden suojaa henkilötietojen käsittelyssä koskevaan oikeuteen liittyvät eroavuudet jäsenvaltioiden välillä voivat estää henkilötietojen vapaan liikkuvuuden unionin alueella. Nämä eroavuudet voivat muodostua esteeksi taloudelliselle toiminnalle unionin tasolla, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Nämä suojelun tasossa ilmenevät eroavuudet johtuvat direktiivin 95/46/EY täytäntöönpanossa ja soveltamisessa esiintyvistä eroista.

(8) Jotta voitaisiin varmistaa yksilöiden yhdenmukainen ja korkeatasoinen suoja ja poistaa henkilötietojen liikkuvuuden esteet, yksilön oikeuksilla ja vapauksilla olisi oltava näiden tietojen käsittelyssä samantasoinen suoja kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa.

(9) Jotta henkilötietoja voidaan suojata tehokkaasti kaikkialla unionissa, on vahvistettava ja täsmennettävä rekisteröidyn oikeuksia ja henkilötietoja käsittelevien ja niiden käsittelystä päättävien velvollisuuksia. Samalla on varmistettava samantasoiset valtuudet seurata ja varmistaa henkilötietojen suojelua koskevien sääntöjen noudattaminen ja sääntöjen rikkomiseen syyllistyneille samantasoiset seuraamukset jäsenvaltioissa.

(10) Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

(11) Jotta voitaisiin varmistaa yksilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat tietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, joka takaa oikeusvarmuuden ja läpinäkyvyyden talouden toimijoiden, kuten mikroyritysten sekä pienten ja keskisuurten yritysten kannalta, antaa yksilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet ja rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut sekä varmistaa henkilötietojen käsittelyn yhdenmukaisen valvonnan ja samantasoiset seuraamukset kaikissa jäsenvaltioissa ja eri jäsenvaltioiden valvontaviranomaisten tehokkaan yhteistyön. Tässä asetuksessa säädetään eräistä poikkeuksista, jotta voitaisiin ottaa huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistilanne. Lisäksi unionin toimielimiä ja elimiä sekä jäsenvaltioita ja niiden valvontaviranomaisia kehotetaan ottamaan tämän asetuksen soveltamisessa huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet. Mikroyritysten sekä pienten ja keskisuurten yritysten määritelmän olisi perustuttava mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä 6 päivänä toukokuuta 2003 annettuun komission suositukseen 2003/361/EY.

(12) Tämän asetuksen tarjoaman suojan olisi koskettava kaikkia luonnollisia henkilöitä heidän kansalaisuudestaan ja asuinpaikastaan riippumatta, silloin kun on kyse henkilötietojen käsittelystä. Oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten ei pitäisi vedota tähän asetukseen perustuvaan suojeluun silloin kun tietojenkäsittely koskee näiden oikeushenkilöiden tietoja, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja. Samaa olisi sovellettava myös silloin kun oikeushenkilön nimi sisältää yhden tai useamman luonnollisen henkilön nimen.

(13) Yksilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta, koska tällainen riippuvaisuus aiheuttaisi vakavan väärinkäytösten riskin. Yksilöiden suojelun olisi koskettava myös henkilötietojen automatisoitua käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokonaisuuksia kansilehtineen, joita ei ole järjestetty määriteltyjen perusteiden mukaisesti.

(14) Tämä asetus ei koske sellaisia perusoikeuksien ja -vapauksien suojeluun tai tietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, jotka eivät kuulu unionin oikeuden soveltamisalaan, eikä se kata unionin toimielinten, elinten ja laitosten suorittamaa henkilötietojen käsittelyä, johon sovelletaan asetusta (EY) N:o 45/2001[44], eikä henkilötietojen käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimintaa.

(15) Tätä asetusta ei pitäisi soveltaa luonnollisen henkilön suorittamaan, yksinomaan henkilökohtaisen tai kotitaloutta koskevaan henkilötietojen käsittelyyn, kuten kirjeenvaihtoon tai osoitteiston pitämiseen, johon ei liity mitään ansaitsemistarkoitusta ja joka ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Tämä vapautus ei koske sellaisia rekisterinpitäjiä tai henkilötietojen käsittelijöitä, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.

(16) Yksilöiden suojelusta toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta on annettu erillinen säädös unionin tasolla. Sen vuoksi tätä asetusta ei pitäisi soveltaa näitä tarkoituksia varten tehtävään henkilötietojen käsittelyyn. Kun viranomaiset käsittelevät tämän asetuksen soveltamisalaan kuuluvia henkilötietoja rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, olisi sen sijaan sovellettava unionin tasolla annettua erityissäädöstä (direktiivi XX/YYY).

(17) Tämä asetus ei saisi vaikuttaa direktiivin 2000/31/EY soveltamiseen eikä etenkään tuon direktiivin 12–15 artiklassa säädettyihin välittäjinä toimivien palveluntarjoajien vastuuta koskeviin sääntöihin.

(18) Tämän asetuksen säännöksiä sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate.

(19) Tätä asetusta olisi noudatettava kaikessa sellaisessa henkilötietojen käsittelyssä, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan yhteydessä, riippumatta siitä, tapahtuuko itse käsittely unionin alueella vai ei. Sijoittautuminen edellyttää tosiasiallista toimintaa ja kiinteää toimipaikkaa. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä.

(20) Jotta yksilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella asuvien rekisteröityjen henkilötietojen käsittelyssä, jos sitä suorittava rekisterinpitäjä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille tai näiden rekisteröityjen käyttäytymisen seurantaan.

(21) Sen määrittämiseksi, voidaanko käsittelytoiminnan katsoa koskevan rekisteröityjen ’käyttäytymisen seurantaa’, olisi varmistettava, onko yksilöitä seurattu internetissä sellaisten käsittelytekniikoiden avulla, jotka käsittävät ’profiilin’ soveltamisen tiettyyn yksilöön erityisesti häntä koskevien päätösten tekemistä varten tai hänen henkilökohtaisten mieltymystensä, käyttäytymisensä ja asenteidensa analysointia tai ennakoimista varten.

(22) Jos kansainvälisen julkisoikeuden nojalla on sovellettava jäsenvaltion kansallista lakia, tätä asetusta olisi sovellettava myös sellaiseen rekisterinpitäjään, joka ei ole sijoittautunut unioniin, vaan esimerkiksi jäsenvaltion diplomaatti- tai konsuliedustustoon.

(23) Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Sen määrittämiseksi, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi. Tietosuojaperiaatteita ei pitäisi soveltaa tietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista.

(24) Verkkopalvelujen käyttäjät voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien internet-tunnisteisiin, kuten IP-osoitteisiin tai evästeisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää yhdessä ainutlaatuisten tunnisteiden ja muiden palvelimille toimitettujen tietojen avulla käyttäjien profilointiin ja tunnistamiseen. Tästä seuraa, että tunnistenumeroita, sijaintitietoja, internet-tunnisteita tai muita erityistekijöitä ei sinänsä tarvitse pitää henkilötietoina kaikissa tilanteissa.

(25) Suostumus olisi annettava nimenomaisesti käyttäen mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn, täsmällisen ja tietoon perustuvan ilmoituksen rekisteröidyn toiveista siten, että asianomainen esittää suostumusta ilmaisevan lausuman tai toteuttaa suostumusta ilmaisevan toimen, joka osoittaa, että asianomainen tietää antavansa suostumuksensa henkilötietojensa käsittelyyn, esimerkiksi rastittamalla ruudun vieraillessaan internet-sivustolla tai esittämällä minkä tahansa muun lausuman tai käyttäytymällä tavalla, joka selkeästi osoittaa tässä yhteydessä, että rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei pitäisi voida antaa vaikenemalla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

(26) Terveyttä koskevia henkilötietoja ovat erityisesti kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa, tiedot yksilön rekisteröimisestä terveyspalvelujen saamista varten, tiedot yksilöä koskevista terveydenhuollon maksuista tai yksilön oikeudesta terveydenhuoltoon, yksilölle annettu numero, symboli tai erityistuntomerkki ainoastaan yksilön tunnistamiseksi terveydenhuollon piirissä, yksilöstä terveydenhuollon palvelujen antamisen aikana kerätyt tiedot, kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, myös biologiset näytteet, tieto siitä, kuka on hoitanut yksilölle, sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, esitiedoista tai annetuista hoidoista sekä tieto rekisteröidyn senhetkisestä fyysisestä tai lääketieteellisestä tilanteesta riippumatta siitä, mistä lähteestä tiedot on saatu (lääkäriltä tai muulta terveydenhuoltoalan ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta vai diagnostisesta in vitro ‑testistä).

(27) Se, sijaitseeko rekisterinpitäjän päätoimipaikka unionissa, olisi määritettävä objektiivisten kriteerien perusteella, joissa otetaan huomioon ne todelliset hallintotoimet, joiden yhteydessä tehdään kiinteässä toimipaikassa toteutettavan käsittelyn tarkoituksia, edellytyksiä ja keinoja koskevat tärkeimmät päätökset. Näihin kriteereihin ei saisi vaikuttaa se, toteutetaanko varsinainen henkilötietojen käsittely tuossa paikassa, sillä henkilötietojen käsittelyä tai käsittelytoimia varten käytettävien teknisten välineiden ja teknologioiden olemassaolo ja käyttö eivät sinänsä osoita tällaista päätoimipaikkaa eivätkä ne sen vuoksi ole ratkaiseva kriteeri päätoimipaikan määrittämisessä. Rekisterinpitäjän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa.

(28) Yritysryhmän olisi katettava sekä määräysvaltaa käyttävä yritys että sen määräysvallassa olevat yritykset niin, että määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen sääntöjen perusteella, tai jolla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt.

(29) On pyrittävä suojaamaan erityisesti lasten henkilötietoja, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, takeista tai omista oikeuksistaan. Sen määrittämiseksi, milloin yksilö on lapsi, tähän asetukseen olisi sisällytettävä lapsen oikeuksia koskevassa YK:n yleissopimuksessa vahvistettu määritelmä.

(30) Kaikki henkilötietojen käsittely on suoritettava lainmukaisesti ja asianomaisia henkilöitä kohtaan oikeudenmukaisella ja läpinäkyvällä tavalla. Varsinkin tietojenkäsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava tietojen keräämisen yhteydessä selvästi ja lainmukaisesti. Henkilötietojen olisi oltava asianmukaisia ja olennaisia ja niiden määrä olisi rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään; sen vuoksi olisi erityisesti varmistettava, että tietoja ei kerätä liikaa ja että niiden säilytysaika on rajoitettu mahdollisimman lyhyeksi. Henkilötietoja olisi käsiteltävä vain jos käsittelyn tarkoitusta ei voida toteuttaa muilla keinoin. Kaikki kohtuulliset toimenpiteet olisi toteutettava sen varmistamiseksi, että virheelliset henkilötiedot oikaistaan tai poistetaan. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten, jotta voidaan varmistaa, ettei tietoja säilytetä pidempään kuin on tarpeen.

(31) Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen henkilön suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin tai jäsenvaltion lainsäädännössä.

(32) Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjällä olisi oltava vastuu sen osoittamisesta, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi annettava takeet sen varmistamiseksi, että rekisteröity on tietoinen siitä, että hän on antanut suostumuksensa ja että hän tietää, mitä se koskee.

(33) Sen varmistamiseksi, että suostumus annetaan vapaasti, olisi täsmennettävä, että suostumus ei ole pätevä peruste tietojenkäsittelylle, jos yksilöllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

(34) Suostumuksen ei pitäisi muodostaa pätevää oikeudellista perustetta henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Näin on erityisesti siinä tapauksessa, että rekisteröity on riippuvuussuhteessa rekisterinpitäjään, esimerkiksi kun työnantaja käsittelee työntekijöiden henkilötietoja työsuhteen yhteydessä. Jos rekisterinpitäjä on viranomainen, epäsuhta liittyisi vain erityisiin tietojenkäsittelytoimiin, joiden yhteydessä viranomainen voi määrätä velvoitteen asiaa koskevien julkisten toimivaltuuksiensa nojalla eikä suostumusta voida katsoa annetun vapaaehtoisesti, kun otetaan huomioon rekisteröidyn edut.

(35) Käsittelyä olisi pidettävä lainmukaisena, kun se on tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten.

(36) Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai kun käsittely on tarpeen yleistä etua koskevan tai julkisen vallan käyttöön liittyvän tehtävän suorittamiseksi, käsittelyllä olisi oltava oikeusperusta unionin lainsäädännössä tai sellaisessa jäsenvaltion lainsäädännössä, joka täyttää oikeuksien ja vapauksien rajoittamiselle Euroopan unionin perusoikeuskirjassa asetetut vaatimukset. Unionin oikeudessa tai kansallisessa lainsäädännössä määritetään, olisiko yleistä etua tai julkisen vallan käyttöä koskevan tehtävän suorittamisesta vastuussa olevan rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä.

(37) Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn hengen kannalta olennaisten etujen suojelemiseksi.

(38) Rekisterinpitäjän oikeutetut edut voivat muodostaa käsittelyn oikeusperustan edellyttäen, että rekisteröidyn etuja tai perusoikeuksia ja -vapauksia ei syrjäytetä. Tätä on arvioitava huolellisesti etenkin jos rekisteröity on lapsi, koska lapset tarvitsevat erityistä suojelua. Rekisteröidyllä olisi oltava oikeus vastustaa tietojensa käsittelyä tilanteeseensa liittyvien syiden vuoksi ja maksutta. Läpinäkyvyyden varmistamiseksi rekisterinpitäjällä olisi oltava velvollisuus ilmoittaa rekisteröidylle nimenomaisesti näistä oikeutetuista eduista ja rekisteröidyn oikeudesta vastustaa tietojenkäsittelyä, ja rekisterinpitäjällä olisi myös oltava velvollisuus esittää näitä oikeutettuja etuja koskevat asiakirjat. Koska on lainsäätäjän tehtävä vahvistaa lailla oikeusperusta, jonka nojalla viranomaiset voivat käsitellä tietoja, tätä oikeusperustaa ei pitäisi soveltaa tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

(39) On rekisterinpitäjän oikeutetun edun mukaista rajoittaa tietojenkäsittely siihen, mikä on ehdottoman välttämätöntä, jotta viranomaiset, tietotekniikan kriisiryhmät (Computer Emergency Response Teams, CERT), CSIRT-toimijat (tietoturvaloukkauksiin reagoiva ja niitä tutkiva yksikkö), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja ‑palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä varmuudella onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien tietojen ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen saatavuuden, aitouden, eheyden ja luottamuksellisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.

(40) Henkilötietojen käsittely muita tarkoituksia varten olisi sallittava vain jos käsittely on niiden tarkoitusten mukaista, joita varten tiedot on alun perin kerätty, erityisesti silloin kun käsittely on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Jos muu tarkoitus on ristiriidassa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin, rekisterinpitäjän olisi saatava rekisteröidyn suostumus tätä muuta tarkoitusta varten tai käsittelyn olisi perustuttava muuhun lainmukaista käsittelyä koskevaan oikeutettuun perusteeseen, erityisesti jos sellaisesta säädetään unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa. Kaikissa tapauksissa olisi varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja erityisesti periaatetta, jonka mukaan rekisteröidylle on ilmoitettava näistä muista tarkoituksista.

(41) Henkilötietoja, jotka ovat perusoikeuksien tai yksityisyyden kannalta erityisen arkaluonteisia ja haavoittuvia, on suojeltava erityisen tarkasti. Tällaisia tietoja ei pitäisi käsitellä ilman rekisteröidyn nimenomaista suostumusta. Olisi kuitenkin nimenomaisesti säädettävä tätä kieltoa koskevista poikkeuksista erityisten tarpeiden vaatiessa etenkin, jos kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.

(42) Arkaluonteisten tietoryhmien käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu lakiin ja tapahtuu asianmukaisten takeiden vallitessa, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden ja erityisesti terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä tai historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten.

(43) Myös viranomaisten suorittama henkilötietojen käsittely valtiosääntöoikeudessa ja kansainvälisessä julkisoikeudessa säädettyjen virallisesti tunnustettujen uskonnollisten yhdistysten päämäärien toteuttamiseksi toteutetaan yleisen edun perusteella.

(44) Jos demokraattisen järjestelmän vaaleihin liittyvä toiminta tietyissä jäsenvaltioissa edellyttää, että poliittiset puolueet keräävät tietoja henkilöiden poliittisista mielipiteistä, kyseisten tietojen käsittely voidaan sallia yleisen edun vuoksi sillä edellytyksellä, että otetaan käyttöön asianmukaiset takeet.

(45) Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjää ei pitäisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Kun rekisteröity on esittänyt tiedonsaantipyynnön, rekisterinpitäjällä olisi oltava oikeus pyytää rekisteröidyltä lisätietoja, joiden avulla rekisterinpitäjä voi löytää tämän pyytämät henkilötiedot.

(46) Läpinäkyvyysperiaatteen mukaisesti yleisölle tai rekisteröidylle tarkoitettujen tietojen olisi oltava helposti saatavilla ja ymmärrettäviä, ja ne olisi ilmaistava selkeällä ja yksinkertaisella kielellä. Tämä on erityisen tärkeää esimerkiksi verkkomainonnassa, missä rekisteröidyn on toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten. Koska lapset tarvitsevat erityistä suojelua, kaikki erityisesti lapsiin kohdistuvaa tietojenkäsittelyä koskeva tiedotus ja viestintä on ilmaistava niin selkeällä ja yksinkertaisella kielellä, että lapsi voi helposti ymmärtää ne.

(47) Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa, esimerkiksi siitä, miten voi pyytää maksutta pääsyä tietoihin tai tietojen oikaisemista ja poistamista sekä käyttää oikeutta vastustaa tietojenkäsittelyä. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin tietyssä määräajassa ja perustelemaan kieltäytymisensä siinä tapauksessa, että rekisteröidyn pyyntöä ei noudateta.

(48) Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle olisi ilmoitettava erityisesti henkilötietojen käsittelystä ja sen tarkoituksista, tietojen säilytysajasta, tiedonsaantioikeudesta, oikeudesta oikaista ja poistaa tiedot sekä valitusoikeudesta. Jos tietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa tiedot, sekä kieltäytymisen seurauksista.

(49) Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keräämisen yhteydessä tai, jos tietoja ei ole saatu suoraan rekisteröidyltä, kohtuullisen ajan kuluessa tietojen keräämisestä, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos tietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun tietoja luovutetaan ensimmäisen kerran.

(50) Tätä ei kuitenkaan tarvitse vaatia silloin kun rekisteröidyllä jo on tämä tieto tai kun lainsäädännössä nimenomaisesti säädetään tietojen tallentamisesta tai luovuttamisesta tai kun tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa. Viimeksi mainittu tilanne liittyy erityisesti tapauksiin, joissa käsittely tapahtuu historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten; tällöin voidaan ottaa huomioon rekisteröityjen määrä, tietojen ikä ja mahdollisesti hyväksytyt korvaavat toimenpiteet.

(51) Jokaisella olisi oltava oikeus saada tietoa siitä, mitä tietoja hänestä on kerätty, sekä käyttää tätä oikeutta vaivattomasti voidakseen valvoa ja tarkistaa käsittelyn lainmukaisuuden. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti tietojenkäsittelyn tarkoituksista, käsittelyajasta, tietojen vastaanottajista, käsiteltävien tietojen logiikasta sekä käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Tämä oikeus ei saisi aiheuttaa vahinkoa muiden oikeuksille ja vapauksille, esimerkiksi liikesuhteiden luottamuksellisuudelle tai henkiselle omaisuudelle eikä etenkään ohjelmistojen tekijänoikeudelle. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa.

(52) Rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa käyttää tiedonsaantioikeuttaan, erityisesti verkkopalvelujen ja internet-tunnisteiden yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten.

(53) Jokaisella olisi oltava oikeus saada itseään koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen ei ole tämän asetuksen säännösten mukaista. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, jolloin hän ei ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Tietojen säilyttäminen edelleen voitaisiin kuitenkin sallia, jos se on tarpeen historiantutkimukseen taikka tilastolliseen tai tieteelliseen tutkimukseen liittyvistä syistä, kansanterveyteen liittyvän yleisen edun vuoksi, sananvapautta koskevan oikeuden käyttöä varten, tai kun laki niin vaatii tai kun on olemassa syy rajoittaa tietojen käsittelyä sen sijaan että ne poistettaisiin.

(54) Jotta voitaisiin lujittaa ”oikeutta tulla unohdetuksi” verkkoympäristössä, olisi laajennettava oikeutta tietojen poistamiseen niin, että tiedot julkistanut rekisterinpitäjä velvoitettaisiin ilmoittamaan tietoja käsitteleville kolmansille osapuolille rekisteröidyn pyynnöstä poistaa kyseisiin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot. Tämän ilmoituksen varmistamiseksi rekisterinpitäjän olisi toteutettava kaikki kohtuulliset, muun muassa tekniset toimenpiteet, niiden tietojen suhteen, joiden julkistamisesta rekisterinpitäjä on vastuussa. Kun henkilötiedot julkistaa kolmas osapuoli, rekisterinpitäjän olisi katsottava olevan vastuussa julkistamisesta, jos rekisterinpitäjä on valtuuttanut kolmannen osapuolen julkistamaan tiedot.

(55) Jotta voitaisiin edelleen lujittaa rekisteröityjen oikeutta valvoa henkilötietojaan ja heidän tiedonsaantioikeuttaan silloin kun henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa, rekisteröidyillä olisi oltava oikeus saada jäljennös heitä koskevista tiedoista myös yleisesti käytetyssä sähköisessä muodossa. Rekisteröityjen pitäisi myös voida siirtää antamansa tiedot yhdestä automaattisesta sovelluksesta, esimerkiksi sosiaalisesta verkostosta, toiseen. Tätä olisi sovellettava silloin kun rekisteröity on antanut tiedot automaattiseen käsittelyjärjestelmään oman suostumuksensa tai sopimuksen täytäntöönpanon perusteella.

(56) Vaikka henkilötietoja voitaisiin käsitellä lainmukaisesti rekisteröidyn elintärkeiden etujen suojaamiseksi tai yleisen edun, julkisen vallan käytön tai rekisterinpitäjän oikeutetun edun vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa tietojensa käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja ‑vapaudet.

(57) Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus vastustaa henkilötietojensa käsittelyä tällaista markkinointia varten maksutta ja tavalla, johon tämä voi vedota helposti ja tehokkaasti.

(58) Jokaisella luonnollisella henkilöllä olisi oltava oikeus olla joutumatta tietojen automaattisen käsittelyn avulla tapahtuvaan profilointiin perustuvien toimenpiteiden kohteeksi. Tällaiset toimenpiteet olisi kuitenkin sallittava, jos ne on nimenomaisesti hyväksytty laissa tai toteutettu sopimuksen tekemisen tai täytäntöönpanon yhteydessä tai kun rekisteröity on antanut niihin suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia takeita, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle, oikeus tietojen käsittelyyn ihmisen toimesta ja se, että tällaista toimenpidettä ei saisi kohdistaa lapseen.

(59) Rajoituksista, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, tiedonsaantioikeutta, oikeutta oikaista ja poistaa tietoja, oikeutta siirtää tiedot järjestelmästä toiseen, oikeutta vastustaa tietojenkäsittelyä, profilointiin perustuvia toimenpiteitä sekä henkilötietoja koskevasta tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, voidaan säätää unionin tai jäsenvaltion lainsäädännössä siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä yleisen turvallisuuden takaamiseksi, esimerkiksi ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä taikka rikosten tai, säännellyn ammattitoiminnan yhteydessä, ammattietiikan rikkomusten torjumista, tutkimista ja syytteeseenpanoa varten tai muiden unionin tai jäsenvaltion yleistä etua koskevien syiden vuoksi, esimerkiksi unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi tai säänneltyjen ammattien ammattietiikkaa koskevien loukkausten vuoksi tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien suojelemiseksi. Näiden rajoitusten olisi oltava Euroopan unionin perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia.

(60) Olisi vahvistettava rekisterinpitäjän kattava vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Rekisterinpitäjän olisi erityisesti varmistettava ja kyettävä osoittamaan, että kaikki käsittelytoimet ovat tämän asetuksen mukaisia.

(61) Rekisteröidyn oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet sekä käsittelyn suunnittelu- että toteuttamisvaiheessa, asetuksessa säädettyjen vaatimusten noudattamiseksi. Varmistaakseen ja osoittaakseen, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava asianmukaiset toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita.

(62) Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuu esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.

(63) Jos unionin alueella asuvien rekisteröityjen henkilötietoja käsittelee rekisterinpitäjä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille tai heidän käyttäytymisensä seurantaan, rekisterinpitäjän olisi nimitettävä edustaja, paitsi jos rekisterinpitäjä on sijoittautunut kolmanteen maahan, joka tarjoaa riittävän tietosuojan tason, tai jos rekisterinpitäjä on pieni tai keskisuuri yritys tai viranomainen tai julkishallinnon elin tai jos rekisterinpitäjä tarjoaa tavaroita ja palveluja näille rekisteröidyille vain satunnaisesti. Edustajan olisi toimittava rekisterinpitäjän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset.

(64) Sen määrittämiseksi, tarjoaako rekisterinpitäjä tavaroita ja palveluja unionissa asuville rekisteröidyille vain satunnaisesti, olisi varmistettava, ilmeneekö rekisterinpitäjän yleisestä toiminnasta, että tavaroiden ja palvelujen tarjoaminen näille rekisteröidyille on sen pääasiallisten toimintojen aputoiminto.

(65) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi dokumentoitava kaikki käsittelytoimet voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat dokumentit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta.

(66) Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi. Näiden toimenpiteiden avulla olisi voitava varmistaa asianmukainen turvallisuustaso ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Vahvistaessaan teknisiä standardeja ja organisatorisia toimenpiteitä tietojenkäsittelyn turvallisuuden varmistamiseksi komission olisi edistettävä teknologianeutraaliutta, yhteentoimivuutta ja innovointia sekä tehtävä tarvittaessa yhteistyötä kolmansien maiden kanssa.

(67) Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua kyseessä olevalle henkilölle huomattavia taloudellisia menetyksiä ja sosiaalisia haittoja, kuten väärän henkilöllisyyden käyttöä. Sen vuoksi rekisterinpitäjän olisi ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut ilmi, ja mahdollisuuksien mukaan 24 tunnin kuluessa. Jos ilmoitusta ei voida tehdä 24 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä. Henkilöille, joiden henkilötietoihin tietoturvaloukkaus voi vaikuttaa haitallisesti, olisi ilmoitettava asiasta ilman aiheetonta viivytystä, jotta he voivat toteuttaa tarvittavat varotoimet. Tietoturvaloukkauksen olisi katsottava vaikuttavan haitallisesti rekisteröidyn henkilötietoihin tai yksityisyyteen, jos se voi johtaa esimerkiksi henkilötietovarkauteen tai ‑petokseen tai jos siitä voi aiheutua fyysistä haittaa tai huomattavan vakavaa nöyryytystä tai jos se voi vahingoittaa henkilön mainetta. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen voi lieventää sen mahdollisia haittavaikutuksia. Tietoturvaloukkauksesta olisi ilmoitettava rekisteröidylle niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa, noudattaen valvontaviranomaisen tai esimerkiksi lainvalvontaviranomaisten antamia ohjeita. Esimerkiksi, jotta rekisteröidyillä olisi mahdollisuus lieventää välittömien haittojen riskiä, tietoturvaloukkauksesta olisi ilmoitettava heille viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien tietoturvaloukkausten estämiseksi voivat olla perusteena ilmoituksen lykkäämiselle.

(68) Sen määrittämiseksi, onko henkilötietojen tietoturvaloukkauksesta ilmoitettu valvontaviranomaiselle ja rekisteröidylle ilman aiheetonta viivytystä, olisi tarkistettava, onko rekisterinpitäjä on toteuttanut ja soveltanut asianmukaisia teknisiä ja organisatorisia suojatoimenpiteitä selvittääkseen välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja ilmoittaakseen asiasta viipymättä valvontaviranomaiselle ja rekisteröidylle, ennen kuin siitä aiheutuu vahinkoa taloudellisille ja henkilökohtaisille eduille, ottaen huomioon erityisesti tietoturvaloukkauksen luonne ja vakavuus sekä siitä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset.

(69) Laadittaessa yksityiskohtaisia sääntöjä henkilötietojen tietoturvaloukkausten ilmoittamisen muodosta ja ilmoittamisessa sovellettavista menettelyistä olisi otettava asianmukaisesti huomioon loukkaukseen liittyvät seikat, kuten se, oliko henkilötiedot suojattu asianmukaisin teknisin suojauskeinoin, mikä vähentää olennaisesti henkilötietopetoksen tai muiden väärinkäytösten todennäköisyyttä. Tällaisissa säännöissä ja menettelyissä olisi myös otettava huomioon lainvalvontaviranomaisten oikeutetut edut tapauksissa, joissa varhainen ilmoittaminen voisi tarpeettomasti haitata tietoturvaloukkauksen tutkimista.

(70) Direktiivissä 95/46/EY säädetään yleinen velvollisuus ilmoittaa henkilötietojen käsittelystä valvontaviranomaisille. Tämä velvollisuus aiheuttaa hallinnollista ja taloudellista rasitusta, mutta se ei aina ole edistänyt henkilötietojen suojaa. Siksi tällaisesta yleisestä ilmoitusvelvollisuudesta olisi luovuttava ja korvattava se tehokkailla menettelyillä ja mekanismilla, jotka keskittyvät sen sijaan niihin käsittelytoimiin, joihin niiden luonteen, laajuuden tai tarkoitusten vuoksi todennäköisesti liittyy rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä. Tällaisissa tapauksissa rekisterinpitäjän tai henkilötietojen käsittelijän olisi tehtävä ennen tietojenkäsittelyä tietosuojaa koskeva vaikutustenarviointi, jossa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä niitä takeita ja mekanismeja, joiden avulla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu.

(71) Tätä olisi sovellettava erityisesti vasta perustettuihin suuren mittakaavan rekisteröintijärjestelmiin, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja alueellisella, kansallisella tai ylikansallisella tasolla, mikä voi vaikuttaa suureen määrään rekisteröityjä.

(72) Joissain olosuhteissa voisi olla järkevää ja taloudellista laatia tietosuojaa koskeva vaikutustenarviointi, jossa tarkasteltaisiin asioita laajemmin kuin yhden projektin kannalta, esimerkiksi kun viranomaiset tai julkishallinnon elimet aikovat luoda yhteisen sovelluksen tai käsittelyalustan tai kun useat rekisterinpitäjät aikovat ottaa käyttöön yhteisen sovelluksen tai käsittely-ympäristön kokonaista teollisuudenalaa tai segmenttiä tai jotakin laajalti käytettävää horisontaalista toimintoa varten.

(73) Viranomaisten tai julkishallinnon elinten olisi tehtävä tietosuojaa koskeva vaikutustenarviointi, ellei sellaista ole jo tehty, kun hyväksytään kansallista lainsäädäntöä, johon kyseisen viranomaisen tai julkishallinnon elimen tehtävien suorittaminen perustuu ja joka säätelee siihen liittyviä käsittelytoimia tai käsittelytoimien sarjoja.

(74) Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin tai tietyn uuden teknologian käyttöön liittyy runsaasti erityisiä rekisteröidyn oikeuksiin ja vapauksiin vaikuttavia riskejä, kuten rekisteröidyn jääminen ilman tiettyä oikeutta, ennen käsittelyn aloittamista olisi kuultava valvontaviranomaista tällaisesta riskialttiista käsittelystä, joka saattaa olla vastoin asetuksen säännöksiä, jotta se voi esittää ehdotuksia tilanteen korjaamiseksi. Tällainen kuuleminen olisi suoritettava myös joko kansallisen parlamentin toimenpiteen tai tällaiseen lainsäädäntötoimenpiteeseen perustuvan toimenpiteen valmistelun aikana, kun näissä toimenpiteissä määritetään käsittelyn luonne ja vahvistetaan asianmukaiset takeet.

(75) Jos tietojenkäsittely suoritetaan julkisella sektorilla tai yksityisen sektorin suuressa yrityksessä tai sellaisessa yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia, rekisterinpitäjällä tai henkilötietojen käsittelijällä olisi oltava apunaan henkilö, joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.

(76) Yhdistyksiä tai muita elimiä, jotka edustavat rekisterinpitäjien ryhmiä, olisi kannustettava laatimaan käytännesääntöjä tässä asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet.

(77) Läpinäkyvyyden ja tämän asetuksen noudattamisen tehostamiseksi olisi edistettävä sertifiointimekanismien sekä tietosuojasinettien ja ‑merkkien käyttöönottoa, jotta rekisteröidyt voivat nopeasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason.

(78) Henkilötietojen kansainväliset siirrot ovat tarpeen kansainvälisen kaupan ja yhteistyön kehittämiseksi. Tällaisten siirtojen lisääntyminen on synnyttänyt uusia henkilötietojen suojaan liittyviä haasteita ja huolenaiheita. Kun henkilötietoja siirretään unionista kolmansiin maihin tai kansainvälisille järjestöille, ei kuitenkaan pitäisi vaarantaa yksilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen. Siirtoja kolmansiin maihin voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta täysimääräisesti noudattaen.

(79) Tämä asetus ei vaikuta unionin ja kolmansien maiden välillä tehtyihin kansainvälisiin sopimuksiin, jotka koskevat henkilötietojen siirtoa, rekisteröidyille annettavat asianmukaiset takeet mukaan lukien.

(80) Komissio voi päättää koko unionin osalta, että tietyt kolmannet maat tai tietty alue tai tietojenkäsittelyn sektori jossakin kolmannessa maassa tai tietyt kansainväliset järjestöt tarjoavat riittävän tasoisen tietosuojan, jotta voidaan varmistaa oikeusvarmuus ja yhdenmukaisuus kaikkialla unionissa riittävän tietosuojan tarjoavan kolmansien maiden tai kansainvälisten järjestöjen osalta. Tällöin henkilötietoja voidaan siirtää kyseisiin maihin ilman erityistä lupaa.

(81) Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmansia maita arvioidessaan otettava huomioon, miten oikeusvaltioperiaate, oikeussuoja sekä kansainväliset ihmisoikeussäännöt ja ‑normit toteutuvat kyseisessä kolmannessa maassa.

(82) Komissio voi myös todeta, että jokin kolmas maa tai jokin alue tai tietojenkäsittelyn sektori kolmannessa maassa tai jokin kansainvälinen järjestö ei tarjoa riittävän tasoista tietosuojaa. Tällöin henkilötietojen siirtäminen kyseiseen maahan olisi kiellettävä. Tällaisessa tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä.

(83) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan antaa asianmukaiset takeet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset takeet voivat tarkoittaa, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita, tai muita soveltuvia ja oikeasuhteisia toimenpiteitä, jotka ovat perusteltuja tiedonsiirtoon tai tiedonsiirtojen sarjaan liittyvien seikkojen perusteella, edellyttäen että valvontaviranomainen hyväksyy ne.

(84) Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin tai lisäämästä muita lausekkeita, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa tai vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin.

(85) Yritysryhmän olisi voitava soveltaa sitä koskevia hyväksyttyjä sitovia sääntöjä kansainvälisiin tiedonsiirtoihinsa unionista samaan yritysryhmään kuuluville organisaatioille, kunhan näissä sitovissa säännöissä on olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet, joiden avulla voidaan varmistaa asianmukaiset takeet tällaisia henkilötietojen siirtoja tai siirtojen sarjoja varten.

(86) Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut suostumuksensa, kun siirto on tarpeen sopimuksen tai oikeudellisen vaateen nojalla, kun unionin tai jäsenvaltion lainsäädäntöön perustuvat, yleistä etua koskevat tärkeät syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jolla on siihen oikeutettu etu. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää tietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

(87) Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisistä tiedonsiirroista kilpailuviranomaisten tai vero- tai tullihallintojen tai rahoitusalan valvontaviranomaisten tai sosiaaliturva-alan toimivaltaisten viranomaisten välillä taikka tiedonsiirroista rikosten torjumisesta, tutkimisesta, selvittämisestä ja syytteeseenpanosta vastaaville toimivaltaisille viranomaisille.

(88) Tiedonsiirrot, joita ei voida pitää toistuvina tai laajamittaisina, voitaisiin sallia rekisterinpitäjän tai henkilötietojen käsittelijän oikeutettujen etujen toteuttamiseksi, jos nämä ovat arvioineet kaikki tällaisiin siirtoihin liittyvät olosuhteet. Historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten olisi otettava huomioon tietämyksen lisäämistä koskevat yhteiskunnan oikeutetut odotukset.

(89) Aina kun komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi käytettävä ratkaisuja, jotka antavat rekisteröidyille takeet siitä, että he voivat nauttia samoja perusoikeuksia ja takeita, joita heidän tietojensa käsittelyyn sovelletaan unionissa, myös tietojen siirtämisen jälkeen.

(90) Jotkut kolmannet maat säätävät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten ja oikeushenkilöiden tietojenkäsittelytoimia. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla vastoin kansainvälistä lakia ja estää tähän asetukseen perustuvan yksilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa tunnustetun yleistä etua koskevan tärkeän syyn vuoksi. Komission olisi täsmennettävä delegoidulla säädöksellä edellytykset, joiden täyttyessä kyseessä on yleistä etua koskeva tärkeä syy.

(91) Henkilötietojen siirtäminen valtioiden rajojen yli voi vaikeuttaa yksilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät ennalta ehkäisevät tai korjaavat toimivaltuudet, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. Sen vuoksi on edistettävä tietosuojavalvontaviranomaisten läheisempää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ja toteuttaa tutkimuksia kansainvälisten kumppaniensa kanssa.

(92) Täysin riippumattomien valvontaviranomaisten perustaminen jäsenvaltioihin on keskeinen osa yksilöiden suojelua henkilötietojen käsittelyssä. Jäsenvaltiot voivat perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti.

(93) Jos jäsenvaltio perustaa useita valvontaviranomaisia, sen olisi säädettävä laissa menettelyistä, joiden avulla varmistetaan, että nämä valvontaviranomaiset osallistuvat tehokkaasti yhdenmukaisuusmekanismin toimintaan. Tällaisen jäsenvaltion olisi erityisesti nimettävä valvontaviranomainen, joka toimii yhteyspisteenä ja varmistaa näiden viranomaisten tehokkaan osallistumisen mekanismiin sekä takaa nopean ja sujuvan yhteistyön muiden valvontaviranomaisten, Euroopan tietosuojaneuvoston ja komission kanssa.

(94) Kullekin valvontaviranomaiselle olisi osoitettava riittävät taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa.

(95) Valvontaviranomaisen jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä. Erityisesti olisi säädettävä, että joko jäsenvaltion parlamentin tai hallituksen on nimitettävä kyseiset jäsenet. Lisäksi olisi vahvistettava jäsenten henkilökohtaista pätevyyttä ja asemaa koskevat säännöt.

(96) Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa.

(97) Jos unioniin sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä suorittaa henkilötietojen käsittelyä useammassa kuin yhdessä jäsenvaltiossa, yhdellä valvontaviranomaisella olisi oltava toimivalta valvoa rekisterinpitäjän tai henkilötietojen käsittelijän toimintaa kaikkialla unionissa ja tehdä sitä koskevia päätöksiä, jotta voidaan lisätä soveltamisen yhdenmukaisuutta, taata oikeusvarmuus ja vähentää tällaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden hallinnollista rasitusta.

(98) Tällaista yhden luukun palvelua tarjoavan toimivaltaisen viranomaisen olisi oltava sen jäsenvaltion valvontaviranomainen, jossa rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikka sijaitsee.

(99) Vaikka tätä asetusta sovelletaan myös kansallisten tuomioistuinten toimintaan, valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata tuomareiden riippumattomuus heidän hoitaessaan lainkäyttötehtäviään. Tämä poikkeus olisi kuitenkin rajattava tiukasti koskemaan tuomioistuinten lainkäyttötehtäviä oikeudenkäynneissä, eikä sitä pidä soveltaa muuhun toimintaan, johon tuomarit saattavat osallistua kansallisen lainsäädännön mukaisesti.

(100) Jotta voitaisiin varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, mukaan lukien tutkintavaltuudet, valtuudet toteuttaa oikeudellisesti sitovia toimia, tehdä päätöksiä ja määrätä seuraamuksia, erityisesti silloin kun yksilöt tekevät valituksia, sekä oikeus panna vireille oikeudellisia menettelyjä. Valvontaviranomaisten tutkintavaltuuksia, jotka koskevat pääsyä tiloihin, olisi käytettävä unionin ja kansallisen lainsäädännön mukaisesti. Tämä koskee erityisesti vaatimusta saada sitä varten ennakkoon tuomioistuimen lupa.

(101) Kaikkien valvontaviranomaisten olisi käsiteltävä rekisteröityjen tekemiä valituksia ja tutkittava asia. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle.

(102) Yleisölle suunnattuun valvontaviranomaisen tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä pienet ja keskisuuret yritykset mukaan lukien, sekä rekisteröidyille.

(103) Valvontaviranomaisten olisi autettava toisiaan tehtävien suorittamisessa ja annettava keskinäistä apua, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano sisämarkkinoilla.

(104) Jokaisella valvontaviranomaisella olisi oltava oikeus osallistua valvontaviranomaisten yhteisiin operaatioihin. Pyynnön vastaanottanut valvontaviranomainen olisi velvoitettava vastaamaan pyyntöön tietyssä määräajassa.

(105) Olisi perustettava yhdenmukaisuusmekanismi valvontaviranomaisten keskinäistä ja niiden ja komission välistä yhteistyötä varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen kaikkialla unionissa. Tätä mekanismia olisi sovellettava erityisesti silloin kun valvontaviranomainen aikoo toteuttaa sellaista käsittelytoimea koskevan toimenpiteen, joka liittyy tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seurantaan tai joka saattaisi merkittävästi haitata henkilötietojen vapaata liikkuvuutta. Mekanismia olisi sovellettava myös silloin kun joku valvontaviranomainen tai komissio pyytää asian käsittelyä yhdenmukaisuusmekanismin puitteissa. Tämä mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla.

(106) Yhdenmukaisuusmekanismin soveltamiseksi Euroopan tietosuojaneuvoston olisi annettava lausunto tietyssä määräajassa, jos sen jäsenten yksinkertainen enemmistö niin päättää tai jos joku valvontaviranomainen tai komissio sitä pyytää.

(107) Komissio voi antaa kyseisestä asiasta lausunnon tai päätöksen, jossa se vaatii valvontaviranomaista keskeyttämään toimenpideluonnoksensa täytäntöönpanon, jotta voidaan varmistaa tämän asetuksen noudattaminen.

(108) Saattaa olla tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyn etujen suojaamiseksi, etenkin jos on olemassa vaara, että jonkin rekisteröidylle kuuluvan oikeuden täytäntöönpanolle voi aiheutua merkittävää haittaa. Tätä varten valvontaviranomaisen olisi voitava toteuttaa yhdenmukaisuusmekanismin soveltamisen puitteissa väliaikaisia toimenpiteitä, joiden voimassaolo on rajoitettu.

(109) Tämän mekanismin soveltamisen olisi oltava valvontaviranomaisen asiaa koskevan päätöksen oikeudellisen pätevyyden ja täytäntöönpanon edellytys. Muissa tapauksissa, joilla on rajatylittävää merkitystä, asianomaiset valvontaviranomaiset voivat soveltaa keskinäistä avunantoa ja toteuttaa yhteisiä tutkimuksia kahden- tai monenväliseltä pohjalta yhdenmukaisuusmekanismiin turvautumatta.

(110) Unionin tasolla olisi perustettava Euroopan tietosuojaneuvosto. Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä. Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu. Komission olisi osallistuttava tietosuojaneuvoston toimintaan. Euroopan tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, mukaan lukien neuvojen antaminen komissiolle sekä valvontaviranomaisten yhteistyön tukeminen unionissa. Euroopan tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

(111) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle sekä oikeus soveltaa oikeussuojakeinoja, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi.

(112) Millä tahansa jäsenvaltion lainsäädännön mukaisesti perustetulla elimellä, järjestöllä tai yhdistyksellä, jonka tarkoituksena on suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja etuja, olisi oltava oikeus tehdä valitus valvontaviranomaiselle tai soveltaa oikeussuojakeinoja rekisteröidyn puolesta, tai jos kyseessä on henkilötietojen tietoturvaloukkaus, tehdä oma valitus rekisteröidyn valituksesta riippumatta.

(113) Jokaisella luonnollisella tai oikeushenkilöllä olisi oltava oikeus oikeussuojakeinoihin häntä koskevia valvontaviranomaisen päätöksiä vastaan. Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, mihin valvontaviranomainen on sijoittautunut.

(114) Jotta voitaisiin vahvistaa rekisteröityjen oikeussuojaa silloin kun toimivaltainen valvontaviranomainen on sijoittautunut johonkin toiseen jäsenvaltioon kuin rekisteröidyn asuinvaltioon, rekisteröity voi pyytää mitä tahansa elintä, järjestöä tai yhdistystä, jonka tarkoituksena on suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja etuja, nostamaan puolestaan kanteen valvontaviranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa.

(115) Jos toiseen jäsenvaltioon sijoittautunut toimivaltainen valvontaviranomainen ei toteuta valituksen perusteella toimenpiteitä tai ei toteuta riittäviä toimenpiteitä, rekisteröity voi pyytää asuinjäsenvaltionsa valvontaviranomaista nostamaan kanteen tuota viranomaista vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa. Pyynnön vastaanottanut valvontaviranomainen voi päättää, onko pyynnön perusteella asianmukaista toteuttaa toimenpiteitä vai ei, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi.

(116) Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan sen jäsenvaltion tuomioistuimissa, johon rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

(117) Tuomioistuimet olisi velvoitettava ottamaan yhteyttä toisiinsa, jos epäillään, että toisen jäsenvaltion tuomioistuimissa on vireillä rinnakkainen menettely. Tuomioistuinten olisi voitava keskeyttää asian käsittely, jos toisessa jäsenvaltiossa on vireillä rinnakkainen tapaus. Jäsenvaltioiden olisi varmistettava tuomioistuinmenettelyjen tehokkuus huolehtimalla siitä, että niiden avulla voidaan nopeasti hyväksyä toimenpiteitä, joilla korjataan tai ehkäistään tämän asetuksen rikkominen.

(118) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava yksilöille lainvastaisen tietojenkäsittelyn vuoksi mahdollisesti aiheutuneet vahingot, mutta rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa korvausvelvollisuudesta, jos ne osoittavat, etteivät ole vastuussa vahingosta, ja erityisesti, jos ne osoittavat rekisteröidyn tehneen virheen tai jos kyseessä on ylivoimainen este.

(119) Olisi säädettävä seuraamuksista julkis- tai yksityisoikeudellisille luonnollisille tai oikeushenkilöille, jotka eivät noudata tätä asetusta. Jäsenvaltioiden olisi varmistettava, että seuraamukset ovat tehokkaita, oikeasuhteisia ja varoittavia, ja toteutettava kaikki toimenpiteet seuraamusten täytäntöönpanemiseksi.

(120) Tämän asetuksen rikkomisen vuoksi määrättävien hallinnollisten seuraamusten lujittamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia seuraamuksia. Tässä asetuksessa olisi mainittava nämä rikkomukset ja niistä määrättävien sakkojen enimmäismäärä, joka olisi vahvistettava kussakin tapauksessa erikseen tilanteen mukaan, ottaen huomioon rikkomuksen luonne, vakavuus ja kesto. Yhdenmukaisuusmekanismissa voidaan käsitellä myös hallinnollisten seuraamusten soveltamiseen liittyviä eroavuuksia.

(121) Ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettu henkilötietojen käsittely olisi vapautettava eräiden tämän asetuksen säännösten noudattamisesta, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja oikeus sananvapauteen ja erityisesti Euroopan unionin perusoikeuskirjan 11 artiklassa vahvistettu oikeus vastaanottaa ja levittää tietoja. Tätä olisi sovellettava erityisesti audiovisuaalialalla sekä uutis- ja lehtiarkistoissa tapahtuvaan henkilötietojen käsittelyyn. Jäsenvaltioiden olisi tätä varten hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja poikkeuksista näiden perusoikeuksien tasapainottamista varten. Jäsenvaltioiden olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, tiedonsiirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä ja johdonmukaisuutta. Jäsenvaltiot eivät kuitenkaan saisi säätää poikkeuksia muista tämän asetuksen säännöksistä. Jotta voitaisiin ottaa huomioon sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa yhteiskunnissa, tähän vapauteen liittyviä käsitteitä, kuten journalismia, on tulkittava väljästi. Tätä varten jäsenvaltioiden olisi luokiteltava toiminnot tässä asetuksessa säädettyjen vapautusten ja poikkeusten soveltamista varten ”journalistisiksi”, jos niiden tarkoituksena on esittää yleisölle tietoja, mielipiteitä tai ajatuksia, niiden levittämisessä käytettävästä välineestä riippumatta. Tällaisia toimintoja ei pitäisi rajoittaa pelkästään mediayrityksiin, ja niitä olisi voitava toteuttaa sekä voiton tavoittelemiseksi että voittoa tavoittelemattomassa tarkoituksessa.

(122) Terveystiedot ovat erityissuojelua tarvitseva erityinen tietoryhmä, ja niiden käsittelyyn on yleensä useita oikeutettuja syitä, jotka liittyvät sekä yksilön että koko yhteiskunnan etuun ja erityisesti rajatylittävän terveydenhuollon jatkuvuuden varmistamiseen. Sen vuoksi tässä asetuksessa olisi säädettävä terveystietojen käsittelyä koskevista yhdenmukaisista edellytyksistä, kunhan yksilön perusoikeuksien ja henkilötietojen suojaamiseksi annetaan erityiset ja asianmukaiset takeet. Tähän sisältyy yksilön oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot.

(123) Terveystietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tässä yhteydessä ’kansanterveydellä’ olisi kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista 16 päivänä joulukuuta 2008 annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten kolmansien osapuolten kuten työnantajien tai vakuutusyhtiöiden ja pankkien toimesta.

(124) Yksilöiden suojelua henkilötietojen käsittelyssä koskevia yleisiä periaatteita olisi sovellettava myös työsuhteen yhteydessä. Siksi jäsenvaltioiden olisi tässä asetuksessa asetetuissa rajoissa voitava antaa lainsäädännössä henkilötietojen käsittelyä työsuhteen yhteydessä koskevat erityiset säännöt, jotta voidaan säännellä työntekijöiden henkilötietojen käsittelyä työsuhteen yhteydessä.

(125) Jotta historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettava henkilötietojen käsittely olisi lainmukaista, siinä olisi noudatettava myös muita asiaan liittyviä lakisääteisiä vaatimuksia, kuten kliinisiä kokeita koskevia sääntöjä.

(126) Tieteellisellä tutkimuksella olisi tämän asetuksen soveltamista varten tarkoitettava myös perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta, ja siinä olisi otettava huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva tavoite.

(127) Koska valvontaviranomaisilla on valtuudet saada rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä pääsy henkilötietoihin ja rekisterinpitäjien ja henkilötietojen käsittelijöiden toimitiloihin, jäsenvaltiot voivat vahvistaa lainsäädännössä tässä asetuksessa asetetuissa rajoissa erityiset säännöt, joiden avulla taataan vaitiolovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen henkilötietojen suojaa koskevan oikeuden ja vaitiolovelvollisuuden yhteensovittamiseksi.

(128) Tässä asetuksessa kunnioitetaan kirkkojen ja uskonnollisten yhdistysten tai yhdyskuntien asemaa, joka niillä on kansallisen lainsäädännön mukaisesti jäsenvaltioissa, eikä puututa siihen, kuten Euroopan unionin toiminnasta tehdyn sopimuksen 17 artiklassa todetaan. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä olisi sen vuoksi sovellettava edelleen, kunhan ne saatetaan tämän asetuksen mukaisiksi. Tällaisia kirkkoja ja uskonnollisia yhdistyksiä olisi vaadittava säätämään täysin riippumattomien valvontaviranomaisten perustamisesta.

(129) Jotta voidaan saavuttaa tämän asetuksen tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Delegoituja säädöksiä olisi annettava erityisesti käsittelyn lainmukaisuudesta; lapsen suostumusta koskevien kriteerien ja edellytysten määrittämisestä; erityisten tietoryhmien käsittelystä; ilmeisen kohtuuttomia pyyntöjä ja rekisteröidyn oikeuksien käytöstä perittäviä maksuja koskevien kriteerien ja edellytysten määrittämisestä; rekisteröidylle ilmoittamista ja rekisteröidyn tiedonsaantioikeutta koskevista kriteereistä ja vaatimuksista; oikeudesta tulla unohdetuksi ja poistaa tiedot; profilointiin perustuvista toimenpiteistä; sisäänrakennettuun ja oletusarvoiseen tietosuojaan liittyvää rekisterinpitäjän vastuuta koskevista kriteereistä ja vaatimuksista; henkilötietojen käsittelijästä; käsittelyn dokumentointia ja turvallisuutta koskevista kriteereistä ja vaatimuksista; kriteereistä ja vaatimuksista sen määrittämiseksi, koska on tapahtunut henkilötietojen tietoturvaloukkaus, ja siitä ilmoittamiseksi valvontaviranomaisille, sekä olosuhteista, joissa henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyille; tietosuojaa koskevan vaikutustenarvioinnin laatimista edellyttävien käsittelytoimien kriteereistä ja vaatimuksista; ennakkokuulemista edellyttävien merkittävien erityisten riskien määrittämistä koskevista kriteereistä ja vaatimuksista; tietosuojavastaavan nimittämisestä ja tehtävistä; käytännesäännöistä; sertifiointimekanismeja koskevista kriteereistä ja vaatimuksista; yritystä koskevien sitovien sääntöjen perusteella tehtävien tiedonsiirtojen kriteereistä ja vaatimuksista; tiedonsiirtoja koskevista poikkeuksista; hallinnollisista seuraamuksista; tietojen käsittelystä terveyteen liittyvien syiden vuoksi; työsuhteeseen liittyvästä käsittelystä ja historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten tehtävästä käsittelystä. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla. Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.

(130) Tämän asetuksen yhdenmukaisen soveltamisen varmistamiseksi komissiolle olisi siirrettävä täytäntöönpanovaltaa, jonka nojalla se voi vahvistaa vakiolomakkeet lapsen henkilötietojen käsittelyä varten; vakiomenettelyt ja -lomakkeet rekisteröidyn oikeuksien käyttämistä varten; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja ‑menettelyt tiedonsaantioikeutta varten; oikeuden siirtää tiedot järjestelmästä toiseen; sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat vakiolomakkeet; tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet ja ‑menettelyt henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa koskevan vaikutustenarvioinnin laatimista varten; lomakkeet ja menettelyt ennakkohyväksyntää ja ‑kuulemista varten; sertifiointia koskevat tekniset standardit ja mekanismit; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä; keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa tehdyt päätökset. Tätä valtaa olisi käytettävä yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011[45] mukaisesti. Tässä yhteydessä komission olisi harkittava erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

(131) Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan vakiolomakkeet lapsen suostumuksen antamista varten; vakiomenettelyt ja -lomakkeet rekisteröidyn oikeuksien käyttämistä varten; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja ‑menettelyt tiedonsaantioikeutta varten; oikeudesta siirtää tiedot järjestelmästä toiseen; sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat vakiolomakkeet; tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet ja ‑menettelyt henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa koskevan vaikutustenarvioinnin laatimista varten; lomakkeet ja menettelyt ennakkohyväksyntää ja ‑kuulemista varten; tekniset standardit ja mekanismit sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä; keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa tehdyt päätökset, koska kyseiset toimenpiteet ovat yleisluonteisia.

(132) Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun tämä on tarpeen asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät kolmanteen maahan tai kyseisen kolmannen maan alueeseen tai tietojenkäsittelyn sektoriin tai kansainväliseen järjestöön, joka ei tarjoa riittävää tietosuojaa, tai valvontaviranomaisten yhdenmukaisuusmekanismin mukaisesti ilmoittamiin seikkoihin.

(133) Koska jäsenvaltiot eivät voi yksinään riittävällä tavalla saavuttaa tämän asetuksen tavoitetta, joka on yksilöiden yhdenmukaisen suojelun ja tietojen vapaan liikkuvuuden varmistaminen unionissa, vaan se voidaan toimien laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla, unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tämän tavoitteen saavuttamiseksi tarpeen.

(134) Direktiivi 95/46/EY olisi korvattava tällä asetuksella. Direktiiviin 95/46/EY perustuvien komission päätösten ja valvontaviranomaisten antamien ennakkohyväksyntöjen olisi kuitenkin jäätävä voimaan.

(135) Tätä asetusta olisi sovellettava kaikkiin sellaisiin perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskeviin seikkoihin, joihin ei sovelleta direktiivissä 2002/58/EY säädettyjä erityisiä velvoitteita, joilla on sama tavoite, rekisterinpitäjää koskevat velvoitteet ja yksilön oikeudet mukaan lukien. Tämän asetuksen ja direktiivin 2002/58/EY keskinäisen suhteen selkeyttämiseksi olisi kyseistä direktiiviä tarkistettava.

(136) Islannin ja Norjan osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin neuvoston sekä Islannin tasavallan ja Norjan kuningaskunnan välisessä sopimuksessa viimeksi mainittujen osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen[46], siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien viranomaisten suorittamaan henkilötietojen käsittelyyn.

(137) Sveitsin osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välisessä sopimuksessa Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen[47], siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien viranomaisten suorittamaan henkilötietojen käsittelyyn.

(138) Liechtensteinin osalta tällä asetuksella kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välisessä pöytäkirjassa, joka koskee Liechtensteinin ruhtinaskunnan liittymistä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen[48], siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien viranomaisten suorittamaan henkilötietojen käsittelyyn.

(139) Koska Euroopan unionin tuomioistuin on korostanut, että oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan että sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja oikeasuhteisuuden periaatteen mukaisesti muut perusoikeudet huomioon ottaen, tässä asetuksessa kunnioitetaan perusoikeuksia ja otetaan huomioon Euroopan unionin perusoikeuskirjassa tunnustetut periaatteet sellaisina kuin ne on vahvistettu perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla Kohde ja tavoitteet

1.           Tällä asetuksella vahvistetaan säännöt yksilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

2.           Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

3.           Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät yksilöiden suojeluun henkilötietojen käsittelyssä.

2 artikla Aineellinen soveltamisala

1.           Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automatisoitu, sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2.           Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a)      jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan ja joka koskee erityisesti kansallista turvallisuutta;

b)      jota suorittavat unionin toimielimet, elimet ja laitokset;

c)      jota suorittavat jäsenvaltiot toteuttaessaan Euroopan unionista tehdyn sopimuksen 2 luvun soveltamisalaan kuuluvaa toimintaa;

d)      jota suorittaa luonnollinen henkilö ilman ansaitsemistarkoitusta oman, yksinomaan henkilökohtaisen tai kotitalouttaan koskevan toimintansa yhteydessä;

e)      jota suorittavat toimivaltaiset viranomaiset rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten.

3.           Tämä asetus ei vaikuta direktiivin 2000/31/EY soveltamiseen eikä etenkään sen 12–15 artiklassa vahvistettuihin sääntöihin välittäjinä toimivien palveluntarjoajien vastuusta.

3 artikla Alueellinen soveltamisala

1.           Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä.

2.           Tätä asetusta sovelletaan unionissa asuvia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin, jos käsittely liittyy

a)      tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa; tai

b)      näiden rekisteröityjen käyttäytymisen seurantaan.

3.           Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin vaan paikkaan, jossa sovelletaan jonkin jäsenvaltion kansallista lakia kansainvälisen julkisoikeuden nojalla.

4 artikla Määritelmät

Tässä asetuksessa tarkoitetaan

(1) ’rekisteröidyllä’ luonnollista henkilöä, joka on tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko rekisterinpitäjä tai muu luonnollinen tai oikeushenkilö voi kohtuuden rajoissa käyttää, erityisesti henkilönumeron, sijaintitiedon, internet-tunnisteiden taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella;

(2) ’henkilötiedoilla’ kaikkia rekisteröityä koskevia tietoja;

(3) ’käsittelyllä’ kaikenlaisia toimintoja tai toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin tai henkilötietojen kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen sekä niiden poistaminen tai tuhoaminen;

(4) ’rekisteröintijärjestelmällä’ kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

(5) ’rekisterinpitäjällä’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot; jos käsittelyn tarkoitukset, edellytykset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin tai jäsenvaltioiden säännösten mukaisesti;

(6) ’henkilötietojen käsittelijällä’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

(7) ’vastaanottajalla’ luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle henkilötietoja luovutetaan;

(8) ’rekisteröidyn suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja nimenomaista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen;

(9) ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on vahingossa tapahtuva tai lainvastainen siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka saanti;

(10) ’geneettisillä tiedoilla’ kaikenlaisia tietoja yksilön perityistä tai sikiöaikaisen kehityksen aikana syntyneistä ominaisuuksista;

(11) ’biometrisillä tiedoilla’ kaikkia yksilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyviä tietoja, joiden perusteella yksilö voidaan tunnistaa, kuten kasvokuvia tai sormenjälkitietoja;

(12) ’terveystiedoilla’ yksilön fyysiseen tai psyykkiseen terveyteen tai hänelle annettuihin terveyspalveluihin liittyviä tietoja;

(13) ’päätoimipaikalla’ unionissa sijaitsevaa rekisterinpitäjän sijoittautumispaikkaa, jossa tehdään henkilötietojen käsittelyn tarkoituksia, edellytyksiä ja keinoja koskevat tärkeimmät päätökset; jos päätöksiä henkilötietojen käsittelyn tarkoituksista, edellytyksistä ja keinoista ei tehdä unionissa, päätoimipaikka on paikka, jossa unioniin sijoittautuneen rekisterinpitäjän toimintaan liittyvät tärkeimmät käsittelytoimet suoritetaan. Henkilötietojen käsittelijän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa;

(14) ’edustajalla’ unioniin sijoittautunutta luonnollista tai oikeushenkilöä, jonka rekisterinpitäjä on nimenomaisesti nimennyt toimimaan lukuunsa ja jonka puoleen valvontaviranomaiset ja muut elimet unionissa voivat kääntyä rekisterinpitäjän sijasta, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän velvollisuuksista;

(15) ’yrityksellä’ taloudellista toimintaa harjoittavaa yksikköä sen oikeudellisesta muodosta riippumatta, mukaan lukien erityisesti luonnolliset ja oikeushenkilöt, kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa;

(16) ’yritysryhmällä’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä;

(17) ’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojelutoimia, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle yritysryhmän sisällä;

(18) ’lapsella’ alle 18-vuotiasta henkilöä;

(19) ’valvontaviranomaisella’ jäsenvaltion 46 artiklan mukaisesti perustamaa viranomaista.

II LUKU PERIAATTEET

5 artikla Henkilötietojen käsittelyä koskevat periaatteet      

Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)      niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi;

b)      ne on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla;

c)      niiden on oltava asianmukaisia ja olennaisia ja niiden määrä on rajoitettava mahdollisimman vähään suhteessa niihin tarkoituksiin, joita varten niitä käsitellään; niitä saa käsitellä vain ja ainoastaan siltä osin kuin näitä tarkoituksia ei voitu täyttää käsittelemällä tietoja, joihin ei sisälly henkilötietoja;

d)      niiden on oltava täsmällisiä ja päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä;

e)      ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos tietoja käsitellään ainoastaan historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten 83 artiklassa vahvistettujen sääntöjen ja edellytysten mukaisesti ja jos niiden säilyttämisen tarpeellisuutta arvioidaan säännöllisesti uudelleen;

f)       vastuu henkilötietojen käsittelystä kuuluu rekisterinpitäjälle, jonka on varmistettava ja osoitettava jokaisen käsittelytoimen osalta, että tämän asetuksen säännöksiä on noudatettu.

6 artikla Käsittelyn lainmukaisuus

1.           Henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)      rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistarkoitusta varten;

b)      käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)      käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)      käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi;

e)      käsittely on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

f)       käsittely on tarpeen rekisterinpitäjän oikeutetun edun toteuttamiseksi, paitsi milloin tämän edun syrjäyttävät henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja ‑vapaudet, erityisesti jos rekisteröity on lapsi. Tätä ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2.           Henkilötietojen käsittely, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, on lainmukaista, jos 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan.

3.           Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perusteista on säädettävä

a)      unionin lainsäädännössä, tai

b)       sen jäsenvaltion laissa, jota sovelletaan rekisterinpitäjään.

Kyseisen jäsenvaltion lain on oltava yleistä etua koskevan tavoitteen mukainen tai sen on oltava tarpeen muille kuuluvien oikeuksien ja vapauksien suojaamiseksi ja noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen.

4.           Jos jatkokäsittelyn tarkoitus on ristiriidassa sen tarkoituksen kanssa, jota varten henkilötiedot on kerätty, käsittelyn oikeusperustana on oltava vähintään yksi 1 kohdan a–e alakohdassa tarkoitettu peruste. Tätä sovelletaan erityisesti sopimusmääräysten ja yleisten sopimusehtojen muuttamisen yhteydessä.

5.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan f alakohdassa tarkoitetut edellytykset eri aloja ja erilaisia tietojenkäsittelytilanteita varten, mukaan lukien lapsen henkilötietojen käsittely.

7 artikla Suostumuksen edellytykset

1.           Rekisterinpitäjän on osoitettava, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn tiettyjä tarkoituksia varten.

2.           Jos rekisteröidyn on annettava suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva vaatimus on esitettävä selvästi erillään näistä muista asioista.

3.           Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.

4.           Suostumus ei muodosta oikeusperustaa henkilötietojen käsittelylle, jos rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta.

8 artikla Lapsen henkilötietojen käsittely

1.           Tätä asetusta sovellettaessa katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, alle 13-vuotiaan lapsen henkilötietojen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempi tai huoltaja on antanut siihen suostumuksen tai valtuutuksen. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet todennettavissa olevan suostumuksen saamiseksi, käytettävissä oleva teknologia huomioon ottaen.

2.           Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja, todennettavissa olevan suostumuksen saamiseksi käytettäviä menetelmiä koskevat kriteerit ja vaatimukset. Tässä yhteydessä komissio harkitsee erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

4.           Komissio voi laatia vakiolomakkeet 1 kohdassa tarkoitettuja, todennettavissa olevan suostumuksen saamiseksi käytettäviä erityisiä menetelmiä varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

9 artikla Erityisiä tietoryhmiä koskeva käsittely

1.           Sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä geneettisten tietojen tai terveyteen ja seksuaaliseen käyttäytymiseen tai rikostuomioihin tai niihin liittyviin turvaamistoimenpiteisiin liittyvien tietojen käsittely on kielletty.

2.           Edellä olevaa 1 kohtaa ei sovelleta, jos:

a)      rekisteröity on antanut suostumuksensa kyseisten henkilötietojen käsittelyyn 7 ja 8 artiklassa säädettyjen edellytysten mukaisesti, paitsi jos unionin tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella; tai

b)      käsittely on tarpeen rekisterinpitäjän velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla, siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaiset takeet; tai

c)      käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

d)      käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin takein, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta; tai

e)      käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi; tai

f)       käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

g)      käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi unionin tai jäsenvaltion lainsäädännön nojalla, edellyttäen että siinä säädetään asianmukaisista toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

h)      terveystietojen käsittely on tarpeen terveyteen liittyvistä syistä, edellyttäen että 81 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

i)       käsittely on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, edellyttäen että 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai

j)       rikostuomioihin tai niihin liittyviin turvaamistoimiin liittyvien tietojen käsittely suoritetaan joko viranomaisen valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua koskevan tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista takeista. Täydellistä rikosrekisteriä saa pitää vain julkisen viranomaisen valvonnassa.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettujen erityisten tietoryhmien käsittelyä koskevat kriteerit, edellytykset ja asianmukaiset takeet sekä 2 kohdassa säädetyt poikkeukset.

10 artikla Käsittely, joka ei mahdollista tunnistamista

Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjällä ei ole velvollisuutta hankkia lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä.

III LUKU REKISTERÖIDYN OIKEUDET

1 JAKSO LÄPINÄKYVYYS JA SITÄ KOSKEVAT YKSITYISKOHTAISET SÄÄNNÖT

11 artikla Läpinäkyvä tiedottaminen ja viestintä

1.           Rekisterinpitäjällä on oltava henkilötietojen käsittelyä ja rekisteröidyn oikeuksien käyttöä varten läpinäkyvät ja helposti saatavilla olevat toimintatavat.

2.           Rekisterinpitäjän on toimitettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot ja viestit helposti ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä, jossa otetaan huomioon rekisteröidyn tarpeet, etenkin kun tiedot on suunnattu erityisesti lapselle.

12 artikla Menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä varten

1.           Rekisterinpitäjän on vahvistettava menettelyt 14 artiklassa tarkoitettujen tietojen toimittamista sekä 13 artiklassa ja 15–19 artiklassa tarkoitettujen rekisteröidyn oikeuksien käyttämistä varten. Rekisterinpitäjän on laadittava erityisesti mekanismit, joiden avulla helpotetaan 13 artiklassa ja 15–19 artiklassa tarkoitettujen toimien pyytämistä. Jos henkilötietojen käsittely on automatisoitu, rekisterinpitäjän on tarjottava keinot esittää tällaiset pyynnöt sähköisesti.

2.           Rekisterinpitäjän on ilmoitettava rekisteröidylle viipymättä ja viimeistään kuukauden kuluttua pyynnön esittämisestä, onko 13 artiklan ja 15–19 artiklan nojalla toteutettu toimenpiteitä, ja toimitettava pyydetyt tiedot. Tätä määräaikaa voidaan pidentää kuukaudella, jos useat rekisteröidyt käyttävät oikeuksiaan ja heidän on tehtävä kohtuullisessa määrin yhteistyötä, jotta voidaan välttää rekisterinpitäjän tarpeeton ja suhteeton rasittaminen. Tiedot on annettava kirjallisesti. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti, paitsi jos rekisteröity toisin pyytää.

3.           Jos rekisterinpitäjä kieltäytyy toteuttamasta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava rekisteröidylle kieltäytymisen syyt ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

4.           Edellä 1 kohdassa tarkoitetut tiedot ja pyyntöjen perusteella toteutettavat toimet ovat maksuttomia. Jos pyynnöt ovat ilmeisen kohtuuttomia ja etenkin jos pyyntöjä esitetään toistuvasti, rekisterinpitäjä voi periä maksun tietojen toimittamisesta tai pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Siinä tapauksessa rekisterinpitäjän on todistettava pyyntöjen kohtuuttomuus.

5.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 4 kohdassa tarkoitettuja ilmeisen kohtuuttomia pyyntöjä ja maksuja koskevat kriteerit ja edellytykset.

6.           Komissio voi laatia vakiolomakkeet ja ‑menettelyt 2 kohdassa tarkoitettua viestintää varten, myös silloin kun se tapahtuu sähköisesti. Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

13 artikla Tietojen vastaanottajien oikeudet

Rekisterinpitäjän on ilmoitettava kaikenlaisista 16 ja 17 artiklan mukaisesti tehdyistä oikaisuista tai poistoista jokaiselle vastaanottajalle, jolle tietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa.

2 JAKSO ILMOITTAMINEN JA TIEDONSAANTI

14 artikla Rekisteröidylle ilmoittaminen

1.           Rekisteröityä koskevia henkilötietoja kerättäessä rekisterinpitäjän on toimitettava rekisteröidylle ainakin seuraavat tiedot:

a)      rekisterinpitäjän ja tämän mahdollisen edustajan sekä tietosuojavastaavan henkilöllisyys ja yhteystiedot;

b)      henkilötietojen käsittelyn tarkoitukset, mukaan lukien sopimusmääräykset ja yleiset sopimusehdot, jos käsittely perustuu 6 artiklan 1 kohdan b alakohtaan, ja rekisterinpitäjän oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

c)      henkilötietojen säilytysaika;

d)      rekisteröidyn oikeus pyytää häntä itseään koskevia henkilötietoja rekisterinpitäjältä sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista tai vastustaa niiden käsittelyä;

e)      oikeus tehdä valitus valvontaviranomaiselle ja viranomaisen yhteystiedot;

f)       henkilötietojen vastaanottajat tai vastaanottajaryhmät;

g)      tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää tietoja kolmanteen maahan tai kansainväliselle järjestölle, ja kyseisen kolmannen maan tai kansainvälisen järjestön tarjoaman tietosuojan taso tietosuojan riittävyyttä koskevan komission päätöksen perusteella;

h)      muut tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi, ottaen huomioon henkilötietojen keräämisen erityiset olosuhteet.

2.           Jos henkilötietoja kerätään rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, onko henkilötietojen antaminen pakollista vai vapaaehtoista, sekä tietojen antamatta jättämisen mahdolliset seuraukset.

3.           Jos henkilötietoja ei kerätä rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa tarkoitettujen tietojen lisäksi, mistä henkilötiedot on saatu.

4.           Rekisterinpitäjän on toimitettava 1, 2 ja 3 kohdassa tarkoitetut tiedot

a)      silloin kun rekisteröidyltä saadaan henkilötietoja; tai

b)      jos henkilötietoja ei kerätä rekisteröidyltä, silloin kun tietoja tallennetaan tai kohtuullisen ajan kuluttua tietojen keräämisestä, ottaen huomioon tietojen keräämiseen tai käsittelyyn liittyvät erityiset olosuhteet, tai, jos tietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun tietoja luovutetaan ensimmäisen kerran.

5.           Edellä olevaa 1–4 kohtaa ei sovelleta, jos

a)      rekisteröity on jo saanut 1, 2 ja 3 kohdassa tarkoitetut tiedot; tai

b)      tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa; tai

c)      tietoja ei kerätä rekisteröidyltä ja niiden tallentamisesta tai luovuttamisesta säädetään nimenomaisesti laissa; tai

d)      tietoja ei kerätä rekisteröidyltä ja kyseisten tietojen toimittaminen vaikuttaisi muille kuuluviin oikeuksiin ja vapauksiin sellaisina kuin ne määritellään unionin tai jäsenvaltion lainsäädännössä 21 artiklan mukaisesti.

6.           Edellä olevan 5 kohdan b alakohdassa tarkoitetussa tapauksessa rekisterinpitäjän on toteutettava tarvittavat toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi.

7.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan f alakohdassa tarkoitettuja tietojen vastaanottajaryhmiä koskevat kriteerit, 1 kohdan g alakohdassa tarkoitettua mahdollista tiedonsaantia koskevaa ilmoitusta koskevat vaatimukset, 1 kohdan h alakohdassa tarkoitettuja, erityisaloilla ja ‑tilanteissa tarvittavia lisätietoja koskevat kriteerit ja 5 kohdan b alakohdassa säädettyjä poikkeuksia koskevat edellytykset ja asianmukaiset takeet. Tässä yhteydessä komissio toteuttaa tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

8.           Komissio voi laatia vakiolomakkeet 1–3 kohdassa tarkoitettujen tietojen toimittamista varten, ottaen tarvittaessa huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

15 artikla Rekisteröidyn tiedonsaantioikeus

1.           Rekisteröidyllä on oikeus saada rekisterinpitäjältä pyynnöstä milloin tahansa vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä. Jos henkilötietoja käsitellään, rekisterinpitäjän on annettava seuraavat tiedot:

a)      käsittelyn tarkoitukset;

b)      kyseessä olevat henkilötietojen ryhmät;

c)      vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa, erityisesti kolmansissa maissa olevat vastaanottajat;

d)      henkilötietojen säilytysaika;

e)      tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan rekisteröityä koskevat tiedot tai vastustaa niiden käsittelyä;

f)       tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot;

g)      käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot;

h)      käsittelyn merkitys ja mahdolliset seuraukset ainakin 20 artiklassa tarkoitettujen toimenpiteiden osalta.

2.           Rekisteröidyllä on oikeus saada rekisterinpitäjältä käsiteltävänä olevat henkilötiedot. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti, paitsi jos rekisteröity toisin pyytää.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan g alakohdassa tarkoitettuun henkilötietojen toimittamiseen rekisteröidylle liittyvät kriteerit ja vaatimukset.

4.           Komissio voi laatia vakiolomakkeet ja ‑menettelyt 1 kohdassa tarkoitettujen tietojen pyytämistä ja toimittamista varten, mukaan lukien rekisteröidyn henkilöllisyyden todentaminen ja henkilötietojen toimittaminen rekisteröidylle, ottaen huomioon eri alojen ja tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3 JAKSO

TIETOJEN OIKAISEMINEN JA POISTAMINEN

16 artikla Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat virheelliset henkilötiedot. Rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, erityisesti oikaisun avulla.

17 artikla Oikeus tulla unohdetuksi ja poistaa tiedot

1. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä poistaa rekisteröityä koskevat henkilötiedot ja pidättyy näiden tietojen edelleen luovuttamisesta, etenkin kun kyseessä ovat henkilötiedot, jotka rekisteröity on asettanut saataville lapsena, edellyttäen että jokin seuraavista perusteista täyttyy:

a)      tietoja ei enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)      rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan mukaisesti, tai suostumuksen kohteena ollut säilytysaika on päättynyt eikä tietojenkäsittelyyn ole muuta laillista perustetta;

c)      rekisteröity vastustaa henkilötietojen käsittelyä 19 artiklan nojalla;

d)      tietojenkäsittely ei muista syistä ole tämän asetuksen mukaista.

2.           Jos 1 kohdassa tarkoitettu rekisterinpitäjä on julkistanut tiedot, sen on toteutettava julkistamiensa tietojen osalta kaikki kohtuulliset toimenpiteet, mukaan lukien tekniset toimet, ilmoittaakseen näitä tietoja käsitteleville kolmansille osapuolille, että rekisteröity pyytää niitä poistamaan kyseisiin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot. Jos rekisterinpitäjä on valtuuttanut kolmannen osapuolen julkistamaan henkilötietoja, rekisterinpitäjän katsotaan olevan vastuussa julkaisemisesta.

3.           Rekisterinpitäjän on poistettava henkilötiedot viipymättä, paitsi jos niiden säilyttäminen on tarpeen

a)      sananvapautta koskevan oikeuden käyttämiseksi 80 artiklan mukaisesti;

b)      kansanterveyteen liittyvää yleistä etua koskevista syistä 81 artiklan mukaisesti;

c)      historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten 83 artiklan mukaisesti;

d)      unionin tai jäsenvaltion lainsäädäntöön perustuvan, henkilötietojen tallentamista koskevan rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; jäsenvaltioiden lainsäädännön on oltava yleistä etua koskevan tavoitteen mukainen, noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden oikeasuhteinen;

e)      edellä 4 kohdassa tarkoitetuissa tapauksissa.

4.           Tietojen poistamisen sijasta rekisterinpitäjän on rajoitettava niiden käsittelyä, jos

a)      rekisteröity kiistää tietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

b)      rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja tehtäviensä suorittamiseen, mutta ne on säilytettävä todistelua varten;

c)      käsittely on lainvastaista ja rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

d)      rekisteröity haluaa siirtää henkilötietonsa toiseen automatisoituun käsittelyjärjestelmään 18 artiklan 2 kohdan mukaisesti.

5.           Edellä 4 kohdassa tarkoitettuja henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan todistelua varten tai rekisteröidyn suostumuksella tai toisen luonnollisen tai oikeushenkilön oikeuksien suojaamiseksi tai yleistä etua koskevan tavoitteen vuoksi.

6.           Jos henkilötietojen käsittelyä on rajoitettu 4 kohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan.

7.           Rekisterinpitäjän on toteutettava mekanismit, joiden avulla voidaan varmistaa, että henkilötietojen poistamista ja/tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten asetettuja määräaikoja noudatetaan.

8.           Jos henkilötiedot on poistettu, rekisterinpitäjä ei saa enää muutoin käsitellä kyseisiä henkilötietoja.

9.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin:

a)      1 kohdan soveltamista koskevat kriteerit ja vaatimukset eri aloja ja erilaisia tietojenkäsittelytilanteita varten;

b)      edellytykset henkilötietoihin liittyvien linkkien sekä tietojen kopioiden ja jäljennösten poistamiseksi 2 kohdassa tarkoitetuista julkisesti saatavilla olevista viestintäpalveluista;

c)      kriteerit ja edellytykset 4 kohdassa tarkoitettujen henkilötietojen käsittelyn rajoittamista varten.

18 artikla Oikeus siirtää tiedot järjestelmästä toiseen

1.           Kun henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa, rekisteröidyllä on oikeus saada rekisterinpitäjältä jäljennös käsiteltävistä tiedoista yleisesti käytetyssä sähköisessä ja jäsennellyssä muodossa, joka antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen.

2.           Kun rekisteröity on itse antanut henkilötiedot ja niiden käsittely perustuu suostumukseen tai sopimukseen, rekisteröidyllä on oikeus siirtää kyseiset henkilötiedot ja kaikki muut rekisteröidyn itsensä antamat, automatisoituun käsittelyjärjestelmään tallennetut tiedot toiseen järjestelmään, yleisesti käytetyssä sähköisessä muodossa, sen rekisterinpitäjän estämättä, jonka hallusta henkilötiedot poistetaan.

3.           Komissio voi täsmentää 1 kohdassa tarkoitetun sähköisen muodon ja vahvistaa tekniset standardit, yksityiskohtaiset säännöt ja menettelyt henkilötietojen siirtämiseksi 2 kohdan nojalla. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 JAKSO

OIKEUS VASTUSTAA HENKILÖTIETOJEN KÄSITTELYÄ JA PROFILOINTI

19 artikla Oikeus vastustaa henkilötietojen käsittelyä

1.           Rekisteröidyllä on oikeus henkilökohtaisen tilanteensa perusteella milloin tahansa vastustaa henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan d, e ja f alakohtaan, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa pakottava perusteltu syy, joka syrjäyttää rekisteröidyn edut tai perusoikeudet ja ‑vapaudet.

2.           Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus vastustaa maksutta henkilötietojensa käsittelyä tällaista markkinointia varten. Tätä oikeutta on tarjottava rekisteröidylle nimenomaisesti ja ymmärrettävällä tavalla, selkeästi muusta tiedotuksesta erillään.

3.           Jos vastustus hyväksytään 1 ja 2 kohdan nojalla, rekisterinpitäjä ei saa enää käyttää tai muutoin käsitellä kyseisiä henkilötietoja.

20 artikla Profilointiin perustuvat toimenpiteet

1.           Jokaisella luonnollisella henkilöllä on oikeus olla joutumatta sellaisen toimenpiteen kohteeksi, joka aiheuttaa hänelle oikeusvaikutuksia tai vaikuttaa häneen merkittävällä tavalla ja joka on tehty ainoastaan automaattisen tietojenkäsittelyn perusteella hänen tiettyjen henkilökohtaisten ominaisuuksiensa arvioimista tai erityisesti hänen ammatillisen suorituskykynsä, taloudellisen tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten.

2. Ellei tässä asetuksessa muuta säädetä, henkilöön voidaan kohdistaa 1 kohdassa tarkoitetun kaltainen toimenpide vain jos tietojenkäsittely

a)      suoritetaan sopimuksen tekemisen tai täytäntöönpanon yhteydessä, sillä edellytyksellä, että rekisteröidyn esittämä sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö on täytetty tai että on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi, kuten oikeus siihen, että tietojen käsittelyyn osallistuu ihminen; tai

b)      on nimenomaisesti hyväksytty unionin tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

c)      perustuu rekisteröidyn suostumukseen, edellyttäen että 7 artiklassa säädetyt edellytykset täyttyvät ja että asianmukaiset takeet on annettu.

3. Henkilötietojen automaattinen käsittely, jonka tarkoituksena on arvioida luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, ei saa perustua pelkästään 9 artiklassa tarkoitettuihin erityisiin henkilötietojen ryhmiin.

4.           Tiedoissa, jotka rekisterinpitäjän on toimitettava 14 artiklan nojalla, on 2 kohdassa tarkoitetuissa tapauksissa mainittava, onko tietoja käsitelty 1 kohdassa tarkoitetun kaltaista toimenpidettä varten, ja arvioitava tällaisen käsittelyn vaikutuksia rekisteröityyn.

5.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 2 kohdassa tarkoitettujen rekisteröidyn oikeutettujen etujen suojaamiseksi annettavia asianmukaisia toimenpiteitä varten.

5 JAKSO Rajoitukset

21 artikla Rajoitukset

1.           Unionin tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 5 artiklan a–e alakohdassa sekä 11–20 artiklassa ja 32 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos tällaiset rajoitukset ovat demokraattisessa yhteiskunnassa välttämättömiä ja oikeasuhteisia toimenpiteitä, jotta voidaan taata

a)      yleinen turvallisuus;

b)      rikosten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

c)      muut unionin tai jäsenvaltion yleiset edut, erityisesti jäsenvaltiolle tai Euroopan unionille tärkeä taloudellinen tai rahoituksellinen etu, myös rahaa, talousarviota ja verotusta sekä markkinoiden vakauden ja eheyden suojaamista koskevissa asioissa;

d)      säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomusten torjuminen, tutkiminen, selvittäminen ja syytteeseenpano;

e)      valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttämiseen a–d alakohdassa tarkoitetuissa tapauksissa;

f)       rekisteröidyn tai muille kuuluvien oikeuksien ja vapauksien suojelu.

2.           Edellä 1 kohdassa tarkoitettujen säädösten on sisällettävä erityisesti säännökset, jotka koskevat ainakin käsittelyn tavoitteita ja rekisterinpitäjän määrittämistä.

IV LUKU

REKISTERINPITÄJÄ JA HENKILÖTIETOJEN KÄSITTELIJÄ

1 JAKSO YLEISET VELVOLLISUUDET

22 artikla Rekisterinpitäjän vastuu

1.           Rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan tätä asetusta.

2.           Edellä 1 kohdassa tarkoitettuja toimenpiteitä ovat erityisesti seuraavat:

a)      jäljempänä 28 artiklassa tarkoitettujen asiakirjojen säilyttäminen;

b)      jäljempänä 30 artiklassa vahvistettujen tietoturvallisuutta koskevien vaatimusten täytäntöönpano;

c)      jäljempänä 33 artiklassa tarkoitetun tietosuojaa koskevan vaikutustenarvioinnin laatiminen;

d)      valvontaviranomaisen ennakkohyväksyntää tai ennakkokuulemista koskevien vaatimusten noudattaminen 34 artiklan 1 ja 2 kohdan mukaisesti;

e)      tietosuojavastaavan nimittäminen 35 artiklan 1 kohdan nojalla.

3.           Rekisterinpitäjän on toteutettava mekanismit sen varmistamiseksi, että 1 ja 2 kohdassa tarkoitettujen toimenpiteiden tehokkuus tarkistetaan. Tarkistamisen suorittavat riippumattomat sisäiset tai ulkoiset tarkastajat, mikäli se on oikeasuhteista.

4.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja, muita kuin 2 kohdassa jo tarkoitettuja asianmukaisia toimenpiteitä koskevat kriteerit ja vaatimukset, 3 kohdassa tarkoitettuja tarkistusmekanismeja koskevat edellytykset ja 3 kohdassa tarkoitettua oikeasuhteisuutta koskevat kriteerit, ottaen huomioon erityiset toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

23 artikla Sisäänrakennettu ja oletusarvoinen tietosuoja

1.           Rekisterinpitäjän on sekä käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet ja menettelyt uusin tekniikka ja toteuttamiskustannukset huomioon ottaen siten, että käsittely vastaa tämän asetuksen vaatimuksia ja takaa rekisteröidyn oikeuksien suojelun.

2.           Rekisterinpitäjän on otettava käyttöön keinot sen varmistamiseksi, että käsittely koskee oletusarvoisesti vain niitä henkilötietoja, jotka ovat välttämättömiä tietyn käsittelytarkoituksen kannalta, ja että tietoja ei erikseen kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on välttämätöntä kyseisten tarkoitusten toteuttamiseksi. Näiden keinojen avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja asianmukaisia toimenpiteitä koskevat kriteerit ja vaatimukset ja erityisesti eri aloilla tai eri tuotteisiin ja palveluihin sovellettavat sisäänrakennettua tietosuojaa koskevat vaatimukset.

4.           Komissio voi vahvistaa 1 ja 2 kohdassa säädettyjä vaatimuksia koskevat tekniset standardit. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

24 artikla  Yhteiset rekisterinpitäjät

Jos rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa, näiden yhteisten rekisterinpitäjien on keskinäisellä järjestelyllä määritettävä kunkin vastuualue tässä asetuksessa vahvistettujen velvoitteiden mukaisesti, erityisesti niiden menettelyjen ja mekanismien osalta, joiden avulla rekisteröidyt voivat käyttää oikeuksiaan.

25 artikla Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien edustajat

1.           Edellä 3 artiklan 2 kohdassa tarkoitetussa tilanteessa rekisterinpitäjän on nimitettävä edustaja unionin aluetta varten.

2.           Tätä velvollisuutta ei sovelleta

a)      rekisterinpitäjään, joka on sijoittautunut sellaiseen kolmanteen maahan, jonka tarjoamaa tietosuojan tasoa komissio pitää riittävänä 41 artiklan mukaisesti; tai

b)      yritykseen, jossa on alle 250 työntekijää; tai

c)      viranomaisiin ja julkishallinnon elimiin; tai

d)      rekisterinpitäjään, joka tarjoaa tavaroita tai palveluja unionin alueella asuville rekisteröidyille vain satunnaisesti.

3.           Edustajan on oltava sijoittautunut johonkin niistä jäsenvaltioista, joissa asuvat ne rekisteröidyt, joiden henkilötietoja käsitellään heille tarjottavien tavaroiden tai palvelujen vuoksi tai heidän käyttäytymisensä seuraamiseksi.

4.           Edustajan nimittäminen rekisterinpitäjän toimesta ei rajoita niitä oikeustoimia, jotka voidaan käynnistää rekisterinpitäjää vastaan.

26 artikla Henkilötietojen käsittelijä

1.           Jos käsittelytoimi suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet ja menettelyt toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun, erityisesti suoritettavaa käsittelyä koskevien teknisten turvatoimien ja organisatoristen toimien osalta, ja varmistettava kyseisten toimenpiteiden noudattamisen.

2.           Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään ja jossa erityisesti säädetään, että henkilötietojen käsittelijä

a)      toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti, etenkin jos käsiteltäviä henkilötietoja ei saa siirtää;

b)      ottaa palvelukseen ainoastaan sellaista henkilöstöä, joka on sitoutunut noudattamaan salassapitovelvollisuutta tai jota koskee lakisääteinen salassapitovelvollisuus;

c)      toteuttaa kaikki 30 artiklassa vaaditut toimenpiteet;

d)      käyttää toisen henkilötietojen käsittelijän palveluksia vasta rekisterinpitäjän ennakkohyväksynnän saatuaan;

e)      käsittelytoimen luonteen salliessa laatii yhdessä rekisterinpitäjän kanssa tarvittavat tekniset ja organisatoriset vaatimukset, jotta voidaan täyttää rekisterinpitäjän velvollisuus vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

f)       auttaa rekisterinpitäjää varmistamaan, että 30–34 artiklassa säädettyjä velvollisuuksia noudatetaan;

g)      luovuttaa käsittelyn päätyttyä kaikki tulokset rekisterinpitäjälle eikä enää muutoin käsittele kyseisiä henkilötietoja;

h)      toimittaa rekisterinpitäjälle ja valvontaviranomaiselle kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen valvontaa varten.

3.           Rekisterinpitäjän ja henkilötietojen käsittelijän on tallennettava kirjallisesti 2 artiklassa tarkoitetut rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän velvollisuudet.

4.           Jos henkilötietojen käsittelijä käsittelee muita kuin rekisterinpitäjän määräämiä henkilötietoja, käsittelijää on pidettävä kyseisen käsittelyn osalta rekisterinpitäjänä ja käsittelijään on sovellettava 24 artiklassa vahvistettuja, yhteisiä rekisterinpitäjiä koskevia sääntöjä.

5.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin henkilötietojen käsittelijän vastuualueita, velvollisuuksia ja tehtäviä koskevat kriteerit ja vaatimukset 1 kohdan mukaisesti, sekä edellytykset, joiden nojalla voidaan helpottaa yritysryhmässä erityisesti seuranta- ja raportointitarkoituksessa suoritettavaa henkilötietojen käsittelyä.

27 artikla Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa

Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin tai jäsenvaltion lainsäädännössä niin vaadita.

28 artikla Asiakirjat

1.           Jokaisen rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on säilytettävä asiakirjat kaikista vastuullaan tapahtuvista tietojenkäsittelytoimista.

2.           Asiakirjoissa on oltava vähintään seuraavat tiedot:

a)      rekisterinpitäjän tai yhteisen rekisterinpitäjän tai henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan nimi ja yhteystiedot;

b)      mahdollisen tietosuojavastaavan nimi ja yhteystiedot;

c)      henkilötietojen käsittelyn tarkoitukset, mukaan lukien rekisterinpitäjän oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

d)      kuvaus rekisteröityjen ryhmistä ja niihin liittyvistä tietoryhmistä;

e)      henkilötietojen vastaanottajat tai vastaanottajien ryhmät, mukaan lukien ne rekisterinpitäjät, joille henkilötietoja luovutetaan niiden oikeutettujen etujen vuoksi;

f)       tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia takeita koskevat asiakirjat, jos kyseessä on 44 artiklan 1 kohdan h alakohdassa tarkoitettu siirto;

g)      yleinen maininta eri tietoryhmien poistamisen määräajoista;

h)      kuvaus 22 artiklan 3 kohdassa tarkoitetuista mekanismeista.

3.           Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyydettäessä esitettävä asiakirjat valvontaviranomaiselle.

4.           Edellä 1 ja 2 kohdassa tarkoitetut velvollisuudet eivät koske seuraavia rekisterinpitäjiä ja henkilötietojen käsittelijöitä:

a)      luonnollinen henkilö, joka käsittelee henkilötietoja ilman kaupallista tarkoitusta; tai

b)      yritys tai organisaatio, jonka palveluksessa on alle 250 työntekijää ja joka käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona.

5.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritetään 1 kohdassa tarkoitettuja asiakirjoja koskevat kriteerit ja vaatimukset, jotta voidaan ottaa huomioon erityisesti rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan vastuualueet.

6.           Komissio voi laatia vakiolomakkeet 1 kohdassa tarkoitettuja asiakirjoja varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

29 artikla Yhteistyö valvontaviranomaisen kanssa

1.           Rekisterinpitäjän ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi, erityisesti antamalla 53 artiklan 2 kohdan a alakohdassa tarkoitetut tiedot ja sallimalla kyseisen kohdan b alakohdassa tarkoitettu pääsy.

2.           Kun valvontaviranomainen käyttää 53 artiklan 2 kohdassa tarkoitettuja valtuuksiaan, rekisterinpitäjän ja henkilötietojen käsittelijän on vastattava valvontaviranomaiselle tämän määrittämän kohtuullisen ajan kuluessa. Vastauksessa on kuvattava toteutetut toimenpiteet ja saavutetut tulokset valvontaviranomaisen huomautusten pohjalta.

2 JAKSO TIETOTURVALLISUUS

30 artikla Käsittelyn turvallisuus

1.           Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen käsittelyn ja suojattavien henkilötietojen luonteeseen liittyviin riskeihin nähden asianmukainen turvallisuustaso, ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset.

2.           Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskinarvioinnin pohjalta 1 kohdassa tarkoitetut toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta tai vahingossa tapahtuvalta häviämiseltä sekä lainvastaisen käsittelyn ja erityisesti luvattoman luovuttamisen, levittämisen tai tiedonsaannin taikka henkilötietojen muuttamisen estämiseksi.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja teknisiä ja organisatorisia toimenpiteitä koskevat kriteerit ja edellytykset, kuten se, mikä on uusin tekniikka, eri aloja ja erilaisia tietojenkäsittelytilanteita varten, ottaen erityisesti huomioon teknologian kehitys ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevat ratkaisut, paitsi jos sovelletaan 4 kohtaa.

4.           Komissio voi tarvittaessa antaa täytäntöönpanosäädöksiä, joissa määritellään 1 ja 2 kohdassa vahvistettujen vaatimusten soveltaminen eri tilanteissa, kuten

a)      henkilötietojen luvattoman saannin estämiseksi;

b)      henkilötietojen luvattoman luovuttamisen, lukemisen, jäljentämisen, muuttamisen, poistamisen tai siirtämisen estämiseksi;

c)      käsittelytoimien lainmukaisuuden todentamiseksi.

Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

31 artikla Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1.           Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 24 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 24 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

2.           Henkilötietojen käsittelijän on 26 artiklan 2 kohdan f alakohdan nojalla ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle heti, kun se on tullut ilmi.

3.           Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)      kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen ryhmät ja lukumäärät sekä tietueiden ryhmät ja lukumäärät;

b)      ilmoitettava tietosuojavastaavan henkilöllisyys ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)      suositeltava toimenpiteitä, joilla lievennetään henkilötietojen tietoturvaloukkauksen mahdollisia haittavaikutuksia;

d)      kuvattava henkilötietojen tietoturvaloukkauksen seurauksia;

e)      kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta.

4.           Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava näiden asiakirjojen pohjalta tarkistaa, että tätä artiklaa on noudatettu. Asiakirjat saavat sisältää ainoastaan kyseistä tarkoitusta varten välttämättömät tiedot.

5.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja tietoturvaloukkauksia koskevat kriteerit ja vaatimukset sekä ne erityiset olosuhteet, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta.

6.           Komissio voi vahvistaa valvontaviranomaiselle annettavan vakiomuotoisen ilmoituksen, ilmoitusta koskevat menettelyt sekä 4 kohdassa tarkoitettujen asiakirjojen muodon ja niitä koskevat yksityiskohtaiset säännöt, mukaan lukien määräajat, joihin mennessä niissä olevat tiedot on poistettava. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

32 artikla Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1.           Kun henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyn henkilötietojen suojalle tai yksityisyydelle, rekisterinpitäjän on 31 artiklassa tarkoitetun ilmoituksen jälkeen ilmoitettava tietoturvaloukkauksesta myös rekisteröidylle ilman aiheetonta viivytystä.

2.           Edellä 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 31 artiklan 3 kohdan b ja c alakohdassa tarkoitetut tiedot ja suositukset.

3.           Henkilötietojen tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidylle, jos rekisterinpitäjä osoittaa valvontaviranomaista tyydyttävällä tavalla, että se on toteuttanut asianmukaiset tekniset suojatoimenpiteet ja että kyseisiä toimenpiteitä on sovellettu tietoturvaloukkauksen kohteena oleviin henkilötietoihin. Tällaisten teknisten suojatoimenpiteiden avulla tiedot muutetaan sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin.

4.           Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä harkittuaan loukkauksen todennäköisiä haittavaikutuksia, sanotun kuitenkaan rajoittamatta rekisterinpitäjän velvollisuutta ilmoittaa tietoturvaloukkauksesta rekisteröidylle.

5.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset niiden 1 kohdassa tarkoitettujen olosuhteiden määrittämiseksi, joissa henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia henkilötiedoille.

6.           Komissio voi vahvistaa 1 kohdassa tarkoitetun, rekisteröidylle tarkoitetun ilmoituksen muodon ja siihen sovellettavat menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3 JAKSO TIETOSUOJAA KOSKEVA VAIKUTUSTENARVIOINTI JA ENNAKKOHYVÄKSYNTÄ

33 artikla Tietosuojaa koskeva vaikutustenarviointi

1.           Jos tietojenkäsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä, rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on laadittava arvio suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.

2.           Edellä 1 kohdassa tarkoitettuja erityisiä riskejä voi liittyä erityisesti seuraaviin käsittelytoimiin:

a)      luonnollisen henkilön henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi hänen taloudellisen tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten automatisoidun tietojenkäsittelyn perusteella sellaisten toimenpiteiden antamista varten, jotka aiheuttavat kyseiselle yksilölle oikeusvaikutuksia tai vaikuttavat häneen merkittävällä tavalla;

b)      sukupuolielämää, terveyttä, rotua ja etnistä alkuperää tai terveydenhoidon antamista, epidemiologisia tutkimuksia tai mielisairauksia tai tartuntatauteja koskevia selvityksiä koskevien tietojen käsittely, jos tarkoituksena on toteuttaa tiettyjä yksilöitä koskevia toimenpiteitä tai tehdä heitä koskevia päätöksiä suuressa mittakaavassa;

c)      yleisölle avoimien alueiden valvonta, erityisesti jos käytetään optoelektronisia laitteita (videovalvontaa) suuressa mittakaavassa;

d)      lapsia tai geneettisiä tai biometrisiä tietoja koskevien henkilötietojen käsittely suuren mittakaavan rekisteröintijärjestelmissä;

e)      muut käsittelytoimet, joita varten vaaditaan valvontaviranomaisen kuulemista 34 artiklan 2 kohdan b alakohdan nojalla.

3.           Arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio niihin rekisteröidyn oikeuksien ja vapauksien kannalta liittyvistä riskeistä, toimet joiden avulla riskeihin on tarkoitus puuttua, sekä takeet, suojatoimenpiteet ja keinot, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

4.           Rekisterinpitäjän on pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

5.           Jos rekisterinpitäjä on viranomainen tai julkishallinnon elin ja käsittely perustuu 6 artiklan 1 kohdan c alakohdassa tarkoitettuun lakisääteiseen velvollisuuteen, jonka yhteydessä vahvistetaan käsittelytoimia koskevat säännöt ja menettelyt ja jota säännellään unionin lainsäädännöllä, 1–4 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.

6.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja edellytykset sellaisia 1 ja 2 artiklassa tarkoitettuja käsittelytoimia varten, joihin todennäköisesti liittyy erityisiä riskejä, ja 3 artiklassa tarkoitettua arviointia koskevat vaatimukset, mukaan lukien arvioinnin laajennettavuutta, todentamista ja tarkastamista koskevat edellytykset. Tässä yhteydessä komissio harkitsee erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

7.           Komissio voi täsmentää standardit ja menettelyt 3 artiklassa tarkoitetun arvioinnin toteuttamista, todentamista ja tarkastamista varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

34 artikla Ennakkohyväksyntä ja ennakkokuuleminen

1.           Tapauksen mukaan joko rekisterinpitäjän tai henkilötietojen käsittelijän on saatava valvontaviranomaiselta ennen henkilötietojen käsittelyä ennakkohyväksyntä sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien lieventämiseksi, jos rekisterinpitäjä tai henkilötietojen käsittelijä hyväksyy 42 artiklan 2 kohdan d alakohdassa tarkoitettuja sopimuslausekkeita tai ei anna asianmukaisia takeita 42 artiklan 5 kohdassa tarkoitetussa oikeudellisesti sitovassa asiakirjassa siltä osin kuin on kyse henkilötietojen siirrosta kolmanteen maahan tai kansainväliselle järjestölle.

2.           Rekisterinpitäjän tai tämän lukuun toimivan henkilötietojen käsittelijän on ennen henkilötietojen käsittelyä kuultava valvontaviranomaista sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien lieventämiseksi, jos

a)      33 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin todennäköisesti liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi merkittäviä erityisiä riskejä; tai

b)      valvontaviranomainen katsoo tarpeelliseksi suorittaa ennakkokuulemisen sellaisten 4 kohdan mukaisesti määriteltyjen käsittelytoimien osalta, joihin todennäköisesti liittyy niiden luonteen, laajuuden ja/tai tarkoitusten vuoksi rekisteröidyn vapauksien ja oikeuksien kannalta erityisiä riskejä.

3.           Jos valvontaviranomainen katsoo, että suunniteltu käsittely ei ole tämän asetuksen mukaista, etenkin jos riskejä ei ole yksilöity tai lievennetty riittävästi, sen on kiellettävä suunniteltu käsittely ja esitettävä tarvittavat ehdotukset havaittujen puutteiden korjaamiseksi.

4.           Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimista, joiden yhteydessä vaaditaan 2 kohdan b alakohdassa tarkoitettu ennakkokuuleminen. Valvontaviranomaisen on toimitettava tällaiset luettelot Euroopan tietosuojaneuvostolle.

5.           Jos 4 kohdassa tarkoitettu luettelo koskee käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seuraamiseen tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa luettelon.

6.           Rekisterinpitäjän tai henkilötietojen käsittelijän on toimitettava valvontaviranomaiselle 33 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä muut tarvittavat tiedot, joiden avulla valvontaviranomainen voi arvioida, ovatko käsittelytoimet tämän asetuksen mukaisia, ja arvioida erityisesti riskejä rekisteröidyn henkilötietojen suojan kannalta ja tähän liittyviä takeita.

7.           Jäsenvaltioiden on kuultava valvontaviranomaista, kun ne valmistelevat kansallisen parlamentin hyväksyntää varten lainsäädäntöä tai tällaiseen lainsäädäntöön perustuvaa toimenpidettä, jossa määritellään käsittelyn luonne, sen varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja että erityisesti rekisteröidyille mahdollisesti aiheutuvia riskejä lievennetään.

8.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 2 kohdan a alakohdassa tarkoitettujen merkittävien riskien määrittämistä varten.

9.           Komissio voi laatia vakiolomakkeet ja ‑menettelyt sekä 1 ja 2 kohdassa tarkoitettua ennakkohyväksyntää ja ‑kuulemista että 6 kohdassa tarkoitettua valvontaviranomaisille tehtävää ilmoitusta varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 JAKSO TIETOSUOJAVASTAAVA

35 artikla Tietosuojavastaavan nimittäminen

1.           Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun

a)      tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin; tai

b)      tietojenkäsittelyä suorittaa yritys, jossa on vähintään 250 työntekijää; tai

c)      rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.

2.           Edellä 1 kohdan b alakohdassa tarkoitetussa tapauksessa yritysryhmä voi nimittää vain yhden tietosuojavastaavan.

3.           Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, tietosuojavastaava voidaan nimittää sen useampaa yksikköä varten, kyseisen viranomaisen tai elimen organisaatiorakenne huomioon ottaen.

4.           Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan.

5.           Rekisterinpitäjän tai henkilötietojen käsittelijän on tietosuojavastaavaa nimitettäessä otettava huomioon ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa 37 artiklassa tarkoitetut tehtävät. Tarvittavan erityisasiantuntemuksen taso määräytyy etenkin rekisterinpitäjän ja henkilötietojen käsittelijän suorittaman tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan perusteella.

6.           Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut ammatilliset velvollisuudet voidaan sovittaa yhteen tietosuojavastaavan tehtävien ja velvollisuuksien kanssa eturistiriitoja aiheuttamatta.

7.           Rekisterinpitäjän tai henkilötietojen käsittelijän on nimitettävä tietosuojavastaava vähintään kahden vuoden ajaksi. Tietosuojavastaava voidaan nimittää tehtäväänsä uudelleen. Tietosuojavastaava voidaan erottaa toimestaan vain jos hän ei enää täytä tehtäviensä suorittamisen edellyttämiä vaatimuksia.

8.           Rekisterinpitäjä tai henkilötietojen käsittelijä voi ottaa tietosuojavastaavan palvelukseensa tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.

9.           Rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava tietosuojavastaavan nimi ja yhteystiedot valvontaviranomaiselle ja yleisölle.

10.         Rekisteröidyillä on oikeus ottaa yhteyttä tietosuojavastaavaan kaikissa tietojensa käsittelyyn liittyvissä asioissa ja pyytää saada käyttää tähän asetukseen perustuvia oikeuksiaan.

11.         Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan c alakohdassa tarkoitettuja rekisterinpitäjän ja henkilötietojen käsittelijän keskeisiä tehtäviä koskevat kriteerit ja vaatimukset sekä 5 kohdassa tarkoitettua tietosuojavastaavan ammattipätevyyttä koskevat vaatimukset.

36 artikla Tietosuojavastaavan asema

1.           Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2.           Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava täyttää velvollisuutensa ja tehtävänsä riippumattomasti eikä ota vastaan ohjeita tehtäviensä hoitamisen yhteydessä. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän johdolle.

3.           Rekisterinpitäjän tai henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän tehtävien suorittamisessa ja annettava tälle henkilöstö, toimitilat, varusteet ja muut resurssit, jotka ovat tarpeen 37 artiklassa tarkoitettujen velvollisuuksien ja tehtävien täyttämistä varten.

37 artikla Tietosuojavastaavan tehtävät

1.           Rekisterinpitäjän tai henkilötietojen käsittelijän on osoitettava tietosuojavastaavalle ainakin seuraavat tehtävät:

a)      antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen mukaisia velvollisuuksia, sekä dokumentoida tämä toiminta ja saadut vastaukset;

b)      seurata rekisterinpitäjän tai henkilötietojen käsittelijän henkilötietojen suojaan liittyvien toimintamenetelmien täytäntöönpanoa ja soveltamista, kuten vastuunjakoa, käsittelyyn osallistuvan henkilöstön koulutusta ja tarkastuksia;

c)      seurata tämän asetuksen täytäntöönpanoa ja soveltamista ja erityisesti sisäänrakennettuun tietosuojaan, oletusarvoiseen tietosuojaan ja tietoturvallisuuteen liittyviä vaatimuksia sekä rekisteröidylle ilmoittamista ja rekisteröityjen esittämiä pyyntöjä, jotka koskevat tähän asetukseen pohjautuvien oikeuksien käyttöä;

d)      varmistaa, että 28 artiklassa tarkoitetut asiakirjat säilytetään;

e)      seurata 31 ja 32 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksiin liittyvien asiakirjojen säilyttämistä ja tietoturvaloukkauksista ilmoittamista;

f)       seurata tietosuojaa koskevan vaikutustenarvioinnin laatimista rekisterinpitäjän tai henkilötietojen käsittelijän toimesta sekä ennakkohyväksynnän tai ennakkokuulemisen soveltamista, jos ne vaaditaan 33 ja 34 artiklan nojalla;

g)      seurata valvontaviranomaisen pyyntöihin vastaamista ja tietosuojavastaavan toimivaltuuksien mukaisesti tehdä yhteistyötä valvontaviranomaisen kanssa jälkimmäisen pyynnöstä tai tietosuojavastaavan omasta aloitteesta;

h)      toimia valvontaviranomaisen yhteyspisteenä tietojenkäsittelyyn liittyvissä kysymyksissä ja tarvittaessa kuulla valvontaviranomaista tietosuojavastaavan omasta aloitteesta.     

2.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitetut tietosuojavastaavan tehtäviä, sertifiointia, asemaa, toimivaltuuksia ja resursseja koskevat kriteerit ja vaatimukset.

5 JAKSO KÄYTÄNNESÄÄNNÖT JA SERTIFIOINTI

38 artikla Käytännesäännöt

1.           Jäsenvaltioiden, valvontaviranomaisten ja komission on edistettävä sellaisten käytännesääntöjen laatimista, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon tietojenkäsittelyn eri sektorien erityispiirteet ja erityisesti seuraavat seikat:

a)      tietojenkäsittelyn oikeudenmukaisuus ja läpinäkyvyys;

b)      tietojen kerääminen;

c)      yleisölle ja rekisteröidyille tarkoitettu tiedotus;

d)      rekisteröityjen pyynnöt, jotka koskevat heille kuuluvien oikeuksien käyttöä;

e)      lapsille tarkoitettu tiedotus ja lasten suojelu;

f)       tietojen siirtäminen kolmansiin maihin tai kansainvälisille järjestöille;

g)      mekanismit, joiden avulla seurataan ja varmistetaan, että rekisterinpitäjät noudattavat niitä koskevia käytännesääntöjä;

h)      tuomioistuinten ulkopuoliset ja muut riidanratkaisumenettelyt henkilötietojen käsittelyä koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen välillä, 73–75 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta.

2.           Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä jossakin jäsenvaltiossa ja jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, voivat esittää ne kyseisen jäsenvaltion valvontaviranomaiselle lausunnon saamista varten. Valvontaviranomainen voi antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tämän asetuksen mukainen. Valvontaviranomaisen on pyydettävä tällaisista luonnoksista rekisteröityjen tai näiden edustajien näkemyksiä.

3.           Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä useissa jäsenvaltioissa, voivat esittää käytännesääntöjen luonnokset tai voimassa olevien käytännesääntöjen tarkistus- tai laajennusehdotukset komissiolle.

4.           Komissio voi antaa täytäntöönpanosäädöksiä, joissa se toteaa, että sille 3 kohdan nojalla esitetyt käytännesäännöt tai voimassa olevien käytännesääntöjen tarkistukset tai laajennukset ovat yleisesti päteviä unionissa. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5.           Komissio huolehtii niiden käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut yleisesti päteviksi 4 kohdan mukaisesti.

39 artikla Sertifiointi

1.           Jäsenvaltiot ja komissio edistävät tietosuojaa koskevien sertifiointimekanismien sekä tietosuojasinettien ja ‑merkkien käyttöönottoa erityisesti unionin tasolla, jotta rekisteröidyt voivat nopeasti arvioida rekisterinpitäjien ja henkilötietojen käsittelijöiden tarjoaman tietosuojan tasoa. Nämä tietosuojaa koskevat sertifiointimekanismit edistävät tämän asetuksen asianmukaista soveltamista, tietojenkäsittelyn eri sektorien ja erilaisten käsittelytoimien erityispiirteet huomioon ottaen.

2.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdassa tarkoitettuja tietosuojaa koskevia sertifiointimekanismeja koskevat kriteerit ja vaatimukset, mukaan lukien niiden myöntämistä ja peruuttamista koskevat edellytykset sekä vaatimukset niiden tunnustamiseksi unionissa ja kolmansissa maissa.

3.           Komissio voi vahvistaa tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja ‑merkkejä varten ja menettelyt niiden edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

V LUKU HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE

40 artikla Siirtoja koskeva yleinen periaate

Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, voidaan toteuttaa vain jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle.

41 artikla Siirto tietosuojan tason riittävyyttä koskevan päätöksen perusteella

1.           Siirto voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erillistä lupaa.

2.           Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon seuraavat seikat:

a)      oikeusvaltioperiaate, voimassa oleva yleinen ja alakohtainen lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä ammatillisia sääntöjä ja suojatoimia, joita kyseisessä maassa tai kansainvälisessä järjestössä noudatetaan, sekä tehokkaat ja täytäntöönpanokelpoiset oikeudet, kuten tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot rekisteröityjä ja erityisesti niitä unionin alueella asuvia rekisteröityjä varten, joiden tietoja siirretään;

b)      se, onko kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisesta, tarjoaa rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tekee yhteistyötä EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; ja

c)      kyseisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset.

3.           Komissio voi päättää, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö tarjoaa 2 kohdassa tarkoitetun riittävän tietosuojan tason. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4.           Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja mahdollisuuksien mukaan nimetään 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen.

5.           Komissio voi päättää, että kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai kansainvälinen järjestö ei tarjoa tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, varsinkin jos kolmannen maan tai kansainvälisen järjestön yleisessä ja alakohtaisessa lainsäädännössä ei taata rekisteröidyille ja erityisesti niille unionin alueella asuville rekisteröidyille, joiden tietoja siirretään, tehokkaita ja täytäntöönpanokelpoisia oikeuksia, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen tai, jos yksilön oikeus henkilötietojen suojaan sitä kiireellisesti edellyttää, 87 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen.

6.           Jos komissio päättää 5 kohdan nojalla kieltää kaikki henkilötietojen siirrot kolmanteen maahan tai kyseisen kolmannen maan alueelle tai tietojenkäsittelyn sektorille tai kansainväliselle järjestölle, tämä päätös ei rajoita 42–44 artiklan soveltamista. Komissio aloittaa sopivalla hetkellä neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa 5 kohdan mukaisesti tehdystä päätöksestä aiheutuneen tilanteen korjaamiseksi.

7.           Komissio julkaisee Euroopan unionin virallisessa lehdessä luettelon niistä kolmansista maista, kolmannen maan alueista ja tietojenkäsittelyn sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei ole riittävä.

8.           Päätökset, jotka komissio on tehnyt direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes komissio muuttaa niitä tai korvaa tai kumoaa ne.

42 artikla Siirto asianmukaisten takeiden perusteella

1.           Jos komissio ei ole tehnyt päätöstä 41 artiklan nojalla, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on antanut oikeudellisesti sitovassa välineessä asianmukaiset takeet, joilla varmistetaan henkilötietojen suoja.

2.           Edellä 1 kohdassa tarkoitettuja asianmukaisia takeita ovat erityisesti seuraavat:

a)      43 artiklassa tarkoitetut yritystä koskevat sitovat säännöt; tai

b)      komission hyväksymät tietosuojaa koskevat vakiolausekkeet; nämä täytäntöönpanosäännökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen; tai

c)      tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa 57 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti, jos komissio toteaa ne 62 artiklan 1 kohdan b alakohdan nojalla yleisesti päteviksi; tai

d)      rekisterinpitäjän tai henkilötietojen käsittelijän ja tietojen vastaanottajan väliset sopimuslausekkeet, jotka valvontaviranomainen on vahvistanut 4 kohdan mukaisesti.

3.           Siirrot, jotka perustuvat tietosuojaa koskeviin vakiolausekkeisiin tai 2 kohdan a–c alakohdassa tarkoitettuihin yritystä koskeviin sitoviin sääntöihin, eivät tarvitse muuta hyväksyntää.

4.           Jos siirto perustuu tämän artiklan 2 kohdan d alakohdassa tarkoitettuihin sopimuslausekkeisiin, rekisterinpitäjän tai henkilötietojen käsittelijän on saatava sopimuslausekkeille valvontaviranomaisen ennakkohyväksyntä 34 artiklan 1 kohdan mukaisesti. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia.

5.           Jos henkilötietojen suojaa koskevia asianmukaisia takeita ei anneta oikeudellisesti sitovassa välineessä, rekisterinpitäjän tai henkilötietojen käsittelijän on saatava ennakkohyväksyntä siirrolle tai siirtojen sarjalle tai säännöksille, jotka sisällytetään tällaisen siirron perusteet muodostaviin hallinnollisiin järjestelyihin. Valvontaviranomainen antaa tämän ennakkohyväksynnän 34 artiklan 1 kohdan mukaisesti. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia. Ennakkohyväksynnät, jotka valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes valvontaviranomainen muuttaa niitä tai korvaa tai kumoaa ne.

43 artikla Siirto yritystä koskevien sitovien sääntöjen perusteella

1.           Valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 58 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos

a)      säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijän yritysryhmän jäseniin, niiden työntekijät mukaan lukien, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;

b)      säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia oikeuksia;

c)      säännöt täyttävät 2 kohdassa säädetyt vaatimukset.

2.           Yritystä koskevissa sitovissa säännöissä on täsmennettävä vähintään seuraavat seikat:

a)      yritysryhmän ja sen jäsenten rakenne ja yhteystiedot;

b)      tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietojen ryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;

c)      sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;

d)      yleiset tietosuojaperiaatteet, erityisesti käsittelytarkoituksen rajoittaminen, tietojen laatu, käsittelyn oikeusperusta, arkaluonteisten henkilötietojen käsittely; toimenpiteet tietoturvan varmistamiseksi; ja vaatimukset tietojen siirtämiseksi edelleen järjestöille, joita nämä menettelyt eivät sido;

e)      rekisteröityjen oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta 20 artiklassa tarkoitetun profilointiin perustuvan toimenpiteen kohteeksi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 75 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;

f)       jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän on sitouduttava kantamaan vastuu siitä, että jokin yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;

g)      se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 11 artiklan mukaisesti;

h)      edellä olevan 35 artiklan mukaisesti nimitetyn tietosuojavastaavan tehtävät, mukaan lukien yritystä koskevien sitovien sääntöjen noudattamisen valvonta yritysryhmässä, sekä koulutuksen ja valitusten käsittelyn seuranta;

i)       mekanismit, joiden avulla yritysryhmässä pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen tarkistetaan;

j)       mekanismit toimintamenetelmiin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;

k)      yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki yritysryhmän jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön tämän kohdan i alakohdassa tarkoitettujen toimenpiteiden tarkistamisen tulokset.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin tässä artiklassa tarkoitettuja yritystä koskevia sitovia sääntöjä koskevat kriteerit ja vaatimukset, erityisesti kriteerit niiden hyväksymiselle ja 2 kohdan b, d, e ja f alakohdan soveltamiselle henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin sekä muut tarvittavat vaatimukset asianomaisille rekisteröidyille kuuluvien henkilötietojen suojan varmistamiseksi.

4.           Komissio voi vahvistaa muodon ja menettelyt rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä sähköisin keinoin käytävää tietojenvaihtoa varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

44 artikla Poikkeukset

1.           Jos 41 artiklan nojalla ei ole tehty tietosuojan tason riittävyyttä koskevaa päätöstä tai 42 artiklassa tarkoitettuja asianmukaisia takeita ei ole annettu, henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain sillä edellytyksellä, että

a)      rekisteröity on suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu riskeistä, joita tällaisiin siirtoihin liittyy tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten takeiden puuttumisen vuoksi; tai

b)      siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; tai

c)      siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen tai oikeushenkilön välisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi rekisteröidyn edun mukaisesti; tai

d)      siirto on tarpeen yleistä etua koskevan tärkeän syyn vuoksi; tai

e)      siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai

f)       siirto on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

g)      siirto tehdään julkisesta rekisteristä, joka on unionin tai jäsenvaltion lainsäädännön mukaisesti yleisön käytettävissä tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytettävissä olemisen edellytykset, joista säädetään unionin tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa; tai

h)      siirto on tarpeen sellaisten rekisterinpitäjän tai henkilötietojen käsittelijän oikeutettujen etujen toteuttamiseksi, joita ei voida pitää toistuvina tai laajamittaisina, kun rekisterinpitäjä tai henkilötietojen käsittelijä on arvioinut kaikkia tiettyyn tiedonsiirtoon tai siirtojen sarjaan liittyviä olosuhteita ja on tämän arvioinnin pohjalta tarvittaessa antanut henkilötietojen suojaa koskevat asianmukaiset takeet.

2.           Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietojen ryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

3.           Jos käsittely perustuu 1 kohdan h alakohtaan, rekisterinpitäjän tai henkilötietojen käsittelijän on kiinnitettävä erityistä huomiota tietojen luonteeseen sekä ehdotetun käsittelytoimen tai ehdotettujen käsittelytoimien tarkoitukseen ja kestoon sekä tilanteeseen tietojen alkuperämaassa, kolmannessa maassa ja lopullisessa kohdemaassa, ja annettava tarvittaessa henkilötietojen suojaa koskevat asianmukaiset takeet.

4.           Edellä olevan 1 kohdan b, c ja h alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.

5.           Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin lainsäädännössä tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.

6.           Rekisterinpitäjän tai henkilötietojen käsittelijän on tallennettava sekä arviointi että tämän artiklan 1 kohdan h alakohdassa tarkoitetut asianmukaiset takeet 28 artiklassa tarkoitettuihin asiakirjoihin ja ilmoitettava siirrosta valvontaviranomaiselle.

7.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan d alakohdassa tarkoitetut tärkeät julkista etua koskevat syyt sekä 1 kohdan h alakohdassa tarkoitettuja asianmukaisia takeita koskevat kriteerit ja vaatimukset.

45 artikla Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

1.           Komission ja valvontaviranomaisten on toteutettava kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla:

a)      kehitetään tehokkaita kansainvälisiä yhteistyökeinoja, joilla edistetään henkilötietojen suojaamista koskevan lainsäädännön täytäntöönpanoa;

b)      tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoittamalla tapauksista, siirtämällä valituksia, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen että on annettu asianmukaiset takeet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja ‑vapauksia;

c)      saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)      edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia.

2.           Komissio toteuttaa 1 artiklan soveltamista varten asianmukaiset toimet edistääkseen suhteita kolmansiin maihin tai kansainvälisiin järjestöihin ja erityisesti niiden valvontaviranomaisiin, jos komissio on päättänyt, että ne tarjoavat 41 artiklan 3 kohdassa tarkoitetun riittävän tasoisen tietosuojan.

VI LUKU RIIPPUMATTOMAT VALVONTAVIRANOMAISET

1 JAKSO RIIPPUMATON ASEMA

46 artikla Valvontaviranomainen

1.           Jäsenvaltioiden on säädettävä, että yhden tai useamman viranomaisen on seurattava tämän asetuksen soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi unionissa. Näitä tarkoituksia varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa.

2.           Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, jäsenvaltion on nimettävä valvontaviranomainen, joka toimii yhteyspisteenä viranomaisten osallistuessa Euroopan tietosuojaneuvostoon, ja perustettava mekanismi sen varmistamiseksi, että muut valvontaviranomaiset noudattavat 57 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä.

3.           Jäsenvaltioiden on toimitettava tämän luvun perusteella antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

47 artikla Riippumattomuus

1.           Valvontaviranomainen hoitaa tehtäviään ja käyttää sille annettuja valtuuksia täysin riippumattomasti.

2.           Valvontaviranomaisen jäsenet eivät tehtäviään hoitaessaan pyydä eivätkä ota ohjeita miltään taholta.

3.           Valvontaviranomaisen jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

4.           Valvontaviranomaisen jäsenten on toimikautensa päättymisen jälkeen osoitettava kunniallisuutta ja arvostelukykyä nimitysten ja etujen vastaanottamisessa.

5.           Jäsenvaltioiden on varmistettava, että valvontaviranomaiselle osoitetaan riittävät tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen Euroopan tietosuojaneuvoston toimintaan.

6.           Jäsenvaltioiden on varmistettava, että valvontaviranomaisella on oma henkilöstö, jonka nimittämisestä ja valvonnasta vastaa valvontaviranomaisen päällikkö.

7.           Jäsenvaltioiden on varmistettava, että valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen. Jäsenvaltioiden on varmistettava, että valvontaviranomaisella on erillinen vuotuinen talousarvio. Talousarvio on julkistettava.

48 artikla Valvontaviranomaisen jäseniä koskevat yleiset edellytykset

1.           Jäsenvaltioiden on säädettävä, että valvontaviranomaisen jäsenet nimittää joko jäsenvaltion parlamentti tai hallitus.

2.           Jäsenet valitaan sellaisten henkilöiden joukosta, joiden riippumattomuudesta ei ole epäilystä ja joilla on yleisesti tunnustettu kokemus ja pätevyys erityisesti henkilötietojen suojaa koskevien tehtävien hoitamiseen.

3.           Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hänet erotetaan 5 kohdan mukaisesti.

4.           Kansallinen tuomioistuin voi erottaa jäsenen tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan virheeseen.

5.           Kun toimikausi päättyy tai jäsen eroaa tehtävästään, hän jatkaa kuitenkin tehtävässään, kunnes uusi jäsen on nimitetty.

49 artikla Valvontaviranomaisen perustamista koskevat säännöt

Jäsenvaltioiden on säädettävä laissa tässä asetuksessa asetetuissa rajoissa

a)      valvontaviranomaisen perustamisesta ja asemasta;

b)      valvontaviranomaisen jäsenten tehtävien hoitamiseen tarvittavasta pätevyydestä, kokemuksesta ja ammattitaidosta;

c)      valvontaviranomaisen jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä sekä tehtävien hoitamisen kanssa yhteensopimatonta toimintaa tai ammattia koskevista säännöistä;

d)      valvontaviranomaisen jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä tämän asetuksen voimaantulon jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla;

e)      siitä, voidaanko valvontaviranomaisen jäsenet nimetä uudeksi toimikaudeksi;

f)       valvontaviranomaisen jäsenten ja henkilöstön tehtäviä koskevista säännöistä ja yhteisistä edellytyksistä;

g)      valvontaviranomaisen jäsenten tehtävien päättymistä koskevista säännöistä ja menettelyistä, mukaan lukien tapaukset, joissa jäsen ei enää täytä tehtävien suorittamiseen tarvittavia edellytyksiä tai on syyllistynyt vakavaan virheeseen.

50 artikla Vaitiolovelvollisuus

Valvontaviranomaisen jäsenillä ja henkilöstöllä on sekä toimikautensa aikana että sen jälkeen velvollisuus pitää salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän tehtäviensä suorittamisen yhteydessä.

2 JAKSO TOIMIVALTA JA TEHTÄVÄT

51 artikla Toimivalta

1.           Jokainen valvontaviranomainen käyttää sille tämän asetuksen mukaisesti annettua toimivaltaa oman jäsenvaltionsa alueella.

2.           Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan valvontaviranomaisella on toimivalta valvoa rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintaa kaikissa jäsenvaltioissa, tämän asetuksen VII luvun säännösten soveltamista kuitenkaan rajoittamatta.

3.           Valvontaviranomaisella ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.

52 artikla Tehtävät

1.           Valvontaviranomainen

a)      valvoo tämän asetuksen soveltamista ja varmistaa sen;

b)      käsittelee rekisteröidyn tai tätä 73 artiklan mukaisesti edustavan yhdistyksen tekemiä valituksia, tutkii mahdollisuuksien mukaan asiaa ja ilmoittaa rekisteröidylle tai yhdistykselle asian etenemisestä sekä valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

c)      jakaa tietoa ja tarjoaa keskinäistä apua muille valvontaviranomaisille ja varmistaa tämän asetuksen johdonmukaisen soveltamisen täytäntöönpanon;

d)      suorittaa tutkimuksia omasta aloitteestaan tai valituksen perusteella tai toisen valvontaviranomaisen pyynnöstä ja, jos rekisteröity on tehnyt valituksen tälle valvontaviranomaiselle, ilmoittaa rekisteröidylle tutkimusten tuloksesta kohtuullisen ajan kuluessa;

e)      seuraa erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä, siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

f)       esittää jäsenvaltioiden toimielimille ja elimille näkemyksiään yksilön oikeuksien ja vapauksien suojelua henkilötietojen käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

g)      hyväksyy 34 artiklassa tarkoitetut käsittelytoimet ja antaa niistä lausuntoja;

h)      antaa lausunnon käytännesääntöjen luonnoksista 38 artiklan 2 kohdan mukaisesti;

i)       hyväksyy yritystä koskevat sitovat säännöt 43 artiklan mukaisesti;

j)       osallistuu Euroopan tietosuojaneuvoston toimintaan.

2.           Kaikkien valvontaviranomaisten on edistettävä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, takeista ja oikeuksista tiedottamista kansalaisille. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin.

3.           Valvontaviranomaisen on pyynnöstä autettava rekisteröityä käyttämään tässä asetuksessa vahvistettuja oikeuksia ja tarvittaessa tehtävä tätä varten yhteistyötä muiden jäsenvaltioiden valvontaviranomaisten kanssa.

4.           Kun on kyse 1 kohdan b alakohdassa tarkoitetuista valituksista, valvontaviranomaisen on toimitettava valituslomake, joka voidaan täyttää sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

5.           Valvontaviranomaisen tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle.

6.           Jos pyynnöt ovat ilmeisen kohtuuttomia erityisesti toistuvuutensa takia, valvontaviranomainen voi periä maksun pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Valvontaviranomaisen on todistettava pyynnön kohtuuttomuus.

53 artikla Valtuudet

1.           Jokaisella valvontaviranomaisella on valtuudet:

a)      ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle henkilötietojen käsittelyä koskevien sääntöjen väitetystä rikkomisesta ja tarvittaessa määrätä rekisterinpitäjä tai henkilötietojen käsittelijä korjaamaan tämä rikkominen määrätyllä tavalla rekisteröidyn suojelun parantamiseksi;

b)      määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien oikeuksien käyttöä;

c)      määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa näiden edustaja antamaan tehtäviensä suorittamiseen liittyvät tarvittavat tiedot;

d)      varmistaa 34 artiklassa tarkoitetun ennakkohyväksynnän ja ennakkokuulemisen noudattaminen;

e)      antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle varoitus tai huomautus;

f)       määrätä sellaisten tietojen oikaisemisesta, poistamisesta tai tuhoamisesta, joita on käsitelty tämän asetuksen säännösten vastaisesti, sekä näistä toimenpiteistä ilmoittamisesta niille kolmansille osapuolille, joille tietoja on luovutettu;

g)      kieltää käsittely väliaikaisesti tai lopullisesti;

h)      keskeyttää tiedonsiirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

i)       antaa lausuntoja kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

j)       tiedottaa kansalliselle parlamentille, hallitukselle tai muille poliittisille elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä.

2.           Jokaisella valvontaviranomaisella on tutkintavaltuudet saada rekisterinpitäjältä tai henkilötietojen käsittelijältä:

a)      pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

b)      pääsy kaikkiin sen tiloihin, tietojenkäsittelylaitteet ja ‑keinot mukaan lukien, jos on kohtuulliset perusteet olettaa, että siellä suoritetaan tämän asetuksen vastaista toimintaa.

Edellä b alakohdassa tarkoitettuja valtuuksia on käytettävä unionin ja jäsenvaltion lainsäädännön mukaisesti.

3.           Jokaisella valvontaviranomaisella on valtuudet saattaa tämän asetuksen vastaiset toimet lainkäyttöviranomaisten tietoon ja käynnistää oikeustoimet, erityisesti 74 artiklan 4 kohdan ja 75 artiklan 2 kohdan mukaisesti.

4.           Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia, erityisesti 79 artiklan 4–6 kohdassa tarkoitettuja seuraamuksia.

54 artikla Toimintakertomus

Jokaisen valvontaviranomaisen on laadittava vuosittain toimintakertomus. Kertomus esitetään kansalliselle parlamentille ja toimitetaan yleisön, komission ja Euroopan tietosuojaneuvoston saataville.

VII LUKU

YHTEISTYÖ JA YHDENMUKAISUUS

1 jakso Yhteistyö

55 artikla Keskinäinen avunanto

1.           Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja ‑kuulemista sekä tarkastusten toteuttamista koskevat pyynnöt, sekä nopea tiedottaminen tutkimusten aloittamisesta ja niiden etenemisestä, jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin.

2.           Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön viipymättä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voivat kuulua erityisesti tietojen välittäminen vireillä olevasta tutkimuksesta tai täytäntöönpanotoimista tämän asetuksen vastaisten käsittelytoimien keskeyttämistä tai kieltämistä varten.

3.           Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja syy sen esittämiseen. Tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4.           Valvontaviranomainen, jolle avunantopyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain jos

a)      sillä ei ole pyynnön edellyttämää toimivaltaa; tai

b)      pyynnön noudattaminen olisi ristiriidassa tämän asetuksen säännösten kanssa.

5.           Pyynnön vastaanottanut valvontaviranomainen ilmoittaa pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyynnön täyttämiseksi toteutetuista toimenpiteistä.

6.           Valvontaviranomaisten on toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisessä muodossa ja mahdollisimman nopeasti, vakiolomaketta käyttäen.

7.           Keskinäistä avunantoa koskevien pyyntöjen perusteella toteutettavista toimista ei peritä maksua.

8.           Jos valvontaviranomainen ei vastaa toisen valvontaviranomaisen esittämään pyyntöön kuukauden kuluessa, pyynnön esittävällä valvontaviranomaisella on toimivalta toteuttaa väliaikainen toimenpide oman jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti, ja sen on esitettävä asia Euroopan tietosuojaneuvostolle 57 artiklassa tarkoitetun menettelyn mukaisesti.

9.           Valvontaviranomaisen on täsmennettävä tällaisen väliaikaisen toimenpiteen voimassaoloaika. Tämä voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

10.         Komissio voi vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

56 artikla Valvontaviranomaisten yhteiset operaatiot

1.           Yhteistyön ja keskinäisen avunannon tehostamiseksi valvontaviranomaisten on toteutettava yhteisiä tutkintatehtäviä, yhteisiä täytäntöönpanotoimenpiteitä ja muita yhteisiä operaatioita, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten nimitettyjä jäseniä tai muuta henkilöstöä.

2.           Jos käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin. Toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin ja vastaa operaatioihin osallistumista koskeviin valvontaviranomaisten pyyntöihin viipymättä.

3.           Jokainen valvontaviranomainen voi johtavana valvontaviranomaisena toimiessaan oman kansallisen lainsäädäntönsä mukaisesti ja avustavan valvontaviranomaisen hyväksynnän perusteella luovuttaa täytäntöönpanovaltuuksia, kuten tutkintatehtäviä, yhteisiin operaatioihin osallistuvan avustavan valvontaviranomaisen jäsenelle tai henkilöstölle, tai siltä osin kuin se on mahdollista johtavan valvontaviranomaisen lainsäädännön puitteissa, sallia avustavan valvontaviranomaisen jäsenten tai henkilöstön käyttää täytäntöönpanovaltuuksiaan avustavan valvontaviranomaisen lainsäädännön mukaisesti. Näitä täytäntöönpanovaltuuksia voidaan käyttää ainoastaan johtavan valvontaviranomaisen jäsenten tai henkilöstön johdolla ja pääsääntöisesti heidän läsnä ollessaan. Avustavan valvontaviranomaisen jäseniin tai henkilöstöön sovelletaan johtavan valvontaviranomaisen kansallista lainsäädäntöä. Johtava valvontaviranomainen on vastuussa heidän toimistaan.

4.           Valvontaviranomaisten on vahvistettava erityisiä yhteistyötoimia koskevat käytännön järjestelyt.

5.           Jos valvontaviranomainen ei noudata 2 kohdassa säädettyä velvollisuutta kuukauden kuluessa, muilla valvontaviranomaisilla on toimivalta toteuttaa väliaikainen toimenpide oman jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti.

6.           Valvontaviranomaisen on täsmennettävä 5 kohdassa tarkoitetun väliaikaisen toimenpiteen voimassaoloaika. Tämä voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle ja toimitettava asia käsiteltäväksi 57 artiklassa tarkoitetussa mekanismissa.

2 jakso Yhdenmukaisuus

57 artikla Yhdenmukaisuusmekanismi

Valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa tässä jaksossa perustettavan yhdenmukaisuusmekanismin välityksellä 46 artiklan 1 kohdassa esitettyjä tarkoituksia varten.

58 artikla Euroopan tietosuojaneuvoston lausunto

1.           Ennen kuin valvontaviranomainen hyväksyy 2 kohdassa tarkoitetun toimenpiteen, sen on annettava toimenpideluonnos tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

2.           Edellä 1 kohdassa säädettyä velvollisuutta sovelletaan toimenpiteisiin, joiden tarkoituksena on tuottaa oikeusvaikutuksia ja

a)      jotka koskevat käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seuraamiseen; tai

b)      jotka saattavat merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa; tai

c)      joiden tarkoituksena on hyväksyä luettelo käsittelytoimista, jotka edellyttävät 34 artiklan 5 kohdassa tarkoitettua ennakkokuulemista; tai

d)      joiden tarkoituksena on 42 artiklan 2 kohdan c alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden määrittäminen; tai

e)      joiden tarkoituksena on 42 artiklan 2 kohdan d alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

f)       joiden tarkoituksena on 43 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

3.           Jokainen valvontaviranomainen tai Euroopan tietosuojaneuvosto voi pyytää minkä tahansa asian käsittelyä yhdenmukaisuusmekanismissa, etenkin jos valvontaviranomainen ei toimita 2 kohdassa tarkoitettua toimenpideluonnosta tai ei noudata keskinäistä avunantoa koskevia velvollisuuksia 55 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 56 artiklan mukaisesti.

4.           Komissio voi pyytää minkä tahansa asian käsittelyä yhdenmukaisuusmekanismissa tämän asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi.

5.           Valvontaviranomaisten ja komission on toimitettava sähköisesti kaikki tarvittavat tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, toimenpideluonnos sekä perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, vakiomuodossa.

6.           Euroopan tietosuojaneuvoston puheenjohtajan on ilmoitettava Euroopan tietosuojaneuvoston jäsenille ja komissiolle välittömästi sähköisesti kaikista sille toimitetuista asiaa koskevista tiedoista vakiolomaketta käyttäen. Euroopan tietosuojaneuvoston puheenjohtaja toimittaa tarvittaessa myös käännöksen näistä tiedoista.

7.           Euroopan tietosuojaneuvosto antaa asiasta lausuntonsa viikon kuluessa siitä, kun asiaa koskevat tiedot on toimitettu sille 5 kohdan mukaisesti, jos Euroopan tietosuojaneuvosto niin päättää jäsentensä yksinkertaisella enemmistöllä tai jos joku valvontaviranomainen tai komissio sitä pyytää. Lausunto on vahvistettava kuukauden kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. Euroopan tietosuojaneuvoston puheenjohtaja antaa lausunnon ilman aiheetonta viivytystä tiedoksi 1 tai 3 kohdassa tarkoitetulle valvontaviranomaiselle, komissiolle ja 51 artiklan nojalla toimivaltaiselle valvontaviranomaiselle sekä julkaisee sen.

8.           Edellä 1 kohdassa tarkoitettu valvontaviranomainen ja 51 artiklan nojalla toimivaltainen valvontaviranomainen ottavat huomioon Euroopan tietosuojaneuvoston lausunnon ja ilmoittavat Euroopan tietosuojaneuvoston puheenjohtajalle ja komissiolle sähköisesti kahden viikon kuluessa siitä, kun Euroopan tietosuojaneuvoston puheenjohtaja on antanut lausunnon tiedoksi, pitäytyvätkö ne toimenpideluonnokseen vai muuttavatko ne sitä, ja toimittavat näille mahdollisesti muutetun toimenpideluonnoksen vakiomuodossa.

59 artikla Komission lausunto

1.           Komissio voi antaa tämän asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi lausunnon 58 tai 61 artiklan nojalla esiin nostetuista asioista, kymmenen viikon kuluessa siitä, kun asia on otettu esiin 58 artiklan mukaisesti, tai kuuden viikon kuluessa siitä, kun asia on otettu esiin 61 artiklan mukaisesti.

2.           Jos komissio on antanut 1 kohdan mukaisen lausunnon, asianomaisen valvontaviranomaisen on otettava komission lausunto huomioon mahdollisimman suuressa määrin ja ilmoitettava komissiolle ja Euroopan tietosuojaneuvostolle, aikooko se pitäytyä toimenpideluonnokseen vai muuttaa sitä.

3.           Valvontaviranomainen ei saa hyväksyä toimenpideluonnosta 1 kohdassa tarkoitetun ajan kuluessa.

4.           Jos valvontaviranomainen ei aio noudattaa komission lausuntoa, sen on ilmoitettava tästä komissiolle ja Euroopan tietosuojaneuvostolle 1 kohdassa tarkoitetun määräajan kuluessa ja esitettävä perustelut. Siinä tapauksessa toimenpideluonnoksen hyväksymisestä on pidättäydyttävä vielä yhden kuukauden ajan.

60 artikla Toimenpideluonnoksen hyväksymisen keskeyttäminen

1.           Jos komissiolla on vakavia epäilyksiä sen suhteen, takaisiko toimenpideluonnos tämän asetuksen asianmukaisen soveltamisen vai johtaisiko se päinvastoin asetuksen epäyhtenäiseen soveltamiseen, se voi kuukauden kuluessa 59 artiklan 4 kohdassa tarkoitetun ilmoituksen tekemisestä antaa perustellun päätöksen, jossa se vaatii valvontaviranomaista keskeyttämään toimenpideluonnoksen hyväksymisen, ottaen huomioon Euroopan tietosuojaneuvoston 58 artiklan 7 kohdan tai 61 artiklan 2 kohdan nojalla antaman lausunnon, jos tämä näyttää olevan tarpeen, jotta voidaan

a)      sovittaa yhteen valvontaviranomaisen ja Euroopan tietosuojaneuvoston eriävät kannat, jos tämä näyttäisi olevan vielä mahdollista; tai

b)      hyväksyä toimenpide 62 artiklan 1 kohdan a alakohdan nojalla.

2.           Komissio täsmentää keskeytyksen keston, joka ei saa olla enempää kuin 12 kuukautta.

3.           Valvontaviranomainen ei saa hyväksyä toimenpideluonnosta 2 kohdassa tarkoitetun ajan kuluessa.

61 artikla Kiireellinen menettely

1.           Poikkeuksellisissa olosuhteissa, jos valvontaviranomainen katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, valvontaviranomainen voi 58 artiklassa tarkoitetusta menettelystä poiketen hyväksyä väliaikaisia toimenpiteitä, joiden voimassaoloaika määritetään erikseen, etenkin jos on olemassa vaara, että jokin vallitsevan tilanteen muutos voisi merkittävästi haitata jonkin rekisteröidyille kuuluvan oikeuden täytäntöönpanoa tai huomattavien haittojen ehkäisemiseksi tai muista syistä. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle.

2.           Jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää Euroopan tietosuojaneuvostolta kiireellistä lausuntoa esittämällä perustelut tällaisen lausunnon pyytämiselle ja lopullisten toimenpiteiden kiireellisyydelle.

3.           Jokainen valvontaviranomainen voi pyytää kiireellistä lausuntoa, jos toimivaltainen valvontaviranomainen ei ole toteuttanut tarvittavia toimenpiteitä tilanteessa, jossa on toteutettava kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, esittämällä perustelut tällaisen lausunnon pyytämiselle ja kiireellisten toimenpiteiden toteuttamiselle.

4.           Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto hyväksytään 58 artiklan 7 kohdasta poiketen kahden viikon kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä.

62 artikla Täytäntöönpanosäädökset

1.           Komissio antaa täytäntöönpanosäädöksiä, joissa

a)      säädetään tämän asetuksen asianmukaisesta soveltamisesta sen tavoitteiden ja vaatimusten mukaisesti ja jotka koskevat valvontaviranomaisten 58 tai 61 artiklan nojalla ilmoittamia asioita, asiaa josta on annettu perusteltu päätös 60 artiklan 1 kohdan nojalla, tai asiaa, jonka osalta valvontaviranomainen ei ole esittänyt toimenpideluonnosta, vaan on ilmoittanut, ettei aio noudattaa komission 59 artiklan nojalla antamaa lausuntoa;

b)      se päättää 59 artiklan 1 kohdassa tarkoitetussa määräajassa 58 artiklan 2 kohdan d alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden yleisestä pätevyydestä;

c)      täsmennetään muoto ja menettelyt tässä jaksossa tarkoitetun yhdenmukaisuusmenettelyn soveltamista varten;

d)      täsmennetään järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten ja erityisesti 58 artiklan 5, 6 ja 8 kohdassa tarkoitettu vakiolomake.

Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2.           Komissio hyväksyy asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät 1 kohdan a alakohdassa tarkoitettuihin toimenpiteisiin, välittömästi sovellettavia täytäntöönpanosäädöksiä 87 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen. Näiden toimenpiteiden voimassaoloaika ei saa olla enempää kuin 12 kuukautta.

3.           Se, annetaanko tämän jakson mukaisesti toimenpiteitä, ei vaikuta muihin toimenpiteisiin, joita komissio antaa perussopimusten mukaisesti.

63 artikla Täytäntöönpano

1.           Jonkin jäsenvaltion valvontaviranomaisen hyväksymä täytäntöönpanokelpoinen toimenpide on tämän asetuksen tarkoitusten toteuttamista varten pantava täytäntöön kaikissa jäsenvaltioissa, joita asia koskee.

2.           Jos valvontaviranomainen ei esitä toimenpideluonnosta yhdenmukaisuusmekanismissa käsiteltäväksi, mikä on vastoin 58 artiklan 1–5 kohdan säännöksiä, kyseinen valvontaviranomaisen toimenpide ei ole oikeudellisesti pätevä eikä täytäntöönpanokelpoinen.

3 jakso Euroopan tietosuojaneuvosto

64 artikla Euroopan tietosuojaneuvosto

1.           Perustetaan Euroopan tietosuojaneuvosto.

2.           Euroopan tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu.

3.           Jos jäsenvaltiossa on useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten soveltamisen valvonnasta, näiden valvontaviranomaisten yhteiseksi edustajaksi nimitetään joku niiden johtajista.

4.           Komissiolla on oikeus osallistua Euroopan tietosuojaneuvoston toimintaan ja kokouksiin ja nimittää sinne edustaja. Euroopan tietosuojaneuvoston puheenjohtaja ilmoittaa viipymättä komissiolle kaikesta Euroopan tietosuojaneuvoston toiminnasta.

65 artikla Riippumattomuus

1.           Euroopan tietosuojaneuvosto hoitaa 66 ja 67 artiklan mukaisia tehtäviään riippumattomasti.

2.           Euroopan tietosuojaneuvosto ei tehtäviään hoitaessaan pyydä eikä ota ohjeita miltään taholta, sanotun rajoittamatta 66 artiklan 1 ja 2 kohdan b alakohdassa tarkoitettuja komission pyyntöjä.

66 artikla Euroopan tietosuojaneuvoston tehtävät

1.           Euroopan tietosuojaneuvosto varmistaa tämän asetuksen yhdenmukaisen soveltamisen. Tätä varten Euroopan tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai komission pyynnöstä erityisesti seuraavia tehtäviä:

a)      antaa komissiolle neuvoja kaikissa henkilötietojen suojaan unionissa liittyvissä kysymyksissä, myös tämän asetuksen mahdollisessa muuttamisessa;

b)      tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa valvontaviranomaisille osoitettuja suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

c)      tarkastelee b alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön ja raportoi asiasta komissiolle säännöllisesti;

d)      antaa lausuntoja valvontaviranomaisten päätösluonnoksista 57 artiklassa tarkoitetun mekanismin mukaisesti;

e)      edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja käytänteiden vaihtamista;

f)       edistää yhteisiä koulutusohjelmia ja tukee henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

g)      edistää tietosuojalainsäädäntöä ja käytänteitä koskevien tietojen ja asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa.

2.           Jos komissio pyytää Euroopan tietosuojaneuvostolta neuvoja, se voi asettaa määräajan, jonka kuluessa tietosuojaneuvoston on annettava neuvot, asian kiireellisyys huomioon ottaen.

3.           Euroopan tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 87 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4.           Komission on ilmoitettava Euroopan tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden perusteella.

67 artikla Kertomukset

1.           Euroopan tietosuojaneuvoston on tiedotettava komissiolle toimintansa tuloksista säännöllisesti ja oikea-aikaisesti. Sen on laadittava vuosittain kertomus luonnollisten henkilöiden tietosuojan tilanteesta henkilötietojen käsittelyn yhteydessä unionissa ja kolmansissa maissa.

Kertomuksessa on tarkasteltava 66 artiklan 1 kohdan c alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden käytännön soveltamista.

2.           Kertomus julkaistaan ja toimitetaan Euroopan parlamentille, neuvostolle ja komissiolle.

68 artikla Menettely

1.           Euroopan tietosuojaneuvosto antaa päätöksensä jäsentensä yksinkertaisella enemmistöllä.

2.           Euroopan tietosuojaneuvosto hyväksyy työjärjestyksensä ja omat operatiiviset järjestelynsä. Se säätää erityisesti tehtävien hoidon jatkamisesta silloin kun jäsenen toimikausi päättyy tai jäsen eroaa tehtävistään, alaryhmien perustamisesta erityiskysymysten käsittelemistä tai erityisaloja varten sekä 57 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyvistä menettelyistään.

69 artikla Puheenjohtaja

1.           Euroopan tietosuojaneuvosto valitsee jäsentensä keskuudesta puheenjohtajan ja kaksi varapuheenjohtajaa. Toinen varapuheenjohtajista on Euroopan tietosuojavaltuutettu, paitsi jos tämä on valittu puheenjohtajaksi.

2.           Puheenjohtajan ja varapuheenjohtajan toimikausi on viisi vuotta, ja samat henkilöt voidaan valita tehtäviinsä uudelleen.

70 artikla Puheenjohtajan tehtävät

1.           Puheenjohtajalla on seuraavat tehtävät:

a)      kutsua koolle Euroopan tietosuojaneuvoston kokoukset ja valmistella kokouksen asialista;

b)      varmistaa, että Euroopan tietosuojaneuvosto täyttää tehtävänsä oikea-aikaisesti, erityisesti suhteessa 57 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin.

2.           Euroopan tietosuojaneuvoston on vahvistettava työjärjestyksessään puheenjohtajan ja varapuheenjohtajien tehtävänjako.

71 artikla Sihteeristö

1.           Euroopan tietosuojaneuvostolla on oltava sihteeristö. Sihteeristön tehtävistä vastaa Euroopan tietosuojavaltuutettu.

2.           Sihteeristö antaa Euroopan tietosuojaneuvostolle analyysi-, hallinto- ja logistiikkatukea puheenjohtajan ohjauksessa.

3.           Sihteeristöllä on erityisesti seuraavat tehtävät:

a)      hoitaa Euroopan tietosuojaneuvoston juoksevia asioita;

b)      hoitaa Euroopan tietosuojaneuvoston, sen puheenjohtajan ja komission välistä viestintää sekä tiedottamista muille toimielimille ja yleisölle;

c)      käyttää sähköisiä viestintävälineitä sekä sisäisessä että ulkoisessa viestinnässä;

d)      kääntää tarvittavat tiedot;

e)      valmistella ja seurata Euroopan tietosuojaneuvoston kokouksia;

f)       valmistella, laatia ja julkaista Euroopan tietosuojaneuvoston lausuntoja ja muita asiakirjoja.

72 artikla Luottamuksellisuus

1.           Euroopan tietosuojaneuvoston keskustelut ovat luottamuksellisia.

2.           Euroopan tietosuojaneuvoston jäsenille, asiantuntijoille ja kolmansien osapuolten edustajille toimitetut asiakirjat ovat luottamuksellisia, paitsi jos niihin myönnetään pääsy asetuksen (EY) N:o 1049/2001 mukaisesti tai Euroopan tietosuojaneuvosto julkistaa ne muulla tavoin.

3.           Euroopan tietosuojaneuvoston jäsenten, asiantuntijoiden ja kolmansien osapuolten edustajien on noudatettava tässä artiklassa säädettyjä asiakirjojen luottamuksellisuutta koskevia velvoitteita. Puheenjohtaja varmistaa, että asiantuntijat ja kolmansien osapuolten edustajat ovat tietoisia heitä koskevista asiakirjojen luottamuksellisuutta koskevista vaatimuksista.

VIII LUKU

OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET

73 artikla Oikeus tehdä valitus valvontaviranomaiselle

1.           Jokaisella rekisteröidyllä on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittelyssä ei ole noudatettu tämän asetuksen säännöksiä, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2.           Millä tahansa elimellä, järjestöllä tai yhdistyksellä, jonka tarkoituksena on suojella rekisteröidyn henkilötietojen suojaan liittyviä oikeuksia ja etuja ja joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, on oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle yhden tai useamman rekisteröidyn puolesta, jos se katsoo, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu henkilötietojen käsittelyssä.

3.           Edellä 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn valituksesta riippumatta oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos se katsoo, että on tapahtunut henkilötietojen tietoturvaloukkaus.

74 artikla Oikeus oikeussuojakeinoihin valvontaviranomaista vastaan

1.           Jokaisella luonnollisella tai oikeushenkilöllä on oikeus oikeussuojakeinoihin itseään koskevia valvontaviranomaisen päätöksiä vastaan.

2.           Jokaisella rekisteröidyllä on oikeus oikeussuojakeinoihin, joilla valvontaviranomainen voidaan velvoittaa käsittelemään valitus, ellei valvontaviranomainen ole tehnyt rekisteröidyn oikeuksien suojaamista koskevaa päätöstä tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai ratkaisustaan 52 artiklan 1 kohdan b alakohdan mukaisesti.

3.           Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

4.           Rekisteröity, jota koskee muun kuin hänen asuinjäsenvaltionsa valvontaviranomaisen tekemä päätös, voi pyytää asuinjäsenvaltionsa valvontaviranomaista aloittamaan puolestaan oikeudelliset menettelyt toisen jäsenvaltion toimivaltaista valvontaviranomaista vastaan.

5.           Jäsenvaltioiden on pantava täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset päätökset.

75 artikla Oikeus oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan

1.           Jokaisella luonnollisella henkilöllä on oikeus oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen käyttöä, mukaan lukien 73 artiklassa tarkoitettu oikeus tehdä valitus valvontaviranomaiselle.

2.           Kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti tällainen kanne voidaan nostaa sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä on viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

3.           Jos 58 artiklassa tarkoitetussa yhdenmukaisuusmekanismissa on vireillä menettely, joka koskee samaa toimenpidettä, päätöstä tai käytännettä, tuomioistuin voi keskeyttää sille esitetyn kanteen käsittelyn, paitsi jos rekisteröidyn oikeuksien suojelu edellyttää kiireellistä käsittelyä eikä ole mahdollista odottaa yhdenmukaisuusmekanismissa vireillä olevan menettelyn tulosta.

4.           Jäsenvaltioiden on pantava täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset päätökset.

76 artikla Tuomioistuinmenettelyjä koskevat yhteiset säännöt

1.           Jokaisella 73 artiklan 2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on oikeus käyttää 74 ja 75 artiklassa tarkoitettuja oikeuksia yhden tai useamman rekisteröidyn puolesta.

2.           Jokaisella valvontaviranomaisella on oikeus panna vireille oikeudellisia menettelyjä ja nostaa kanne tuomioistuimessa tämän asetuksen säännösten täytäntöönpanon tai henkilötietojen johdonmukaisen suojan varmistamiseksi unionissa.

3.           Jos jäsenvaltion toimivaltaisella tuomioistuimella on perusteltu syy uskoa, että toisessa jäsenvaltiossa on vireillä rinnakkainen menettely, sen on otettava yhteyttä kyseisen jäsenvaltion toimivaltaiseen tuomioistuimeen varmistaakseen tällaisen rinnakkaisen menettelyn vireilläolon.

4.           Jos toisessa jäsenvaltiossa vireillä oleva rinnakkainen menettely koskee samaa asiaa, päätöstä tai käytäntöä, tuomioistuin voi keskeyttää oman menettelynsä.

5.           Jäsenvaltioiden on varmistettava, että niiden kansallisen lainsäädännön mukaisesti käytettävissä olevat oikeussuojakeinot mahdollistavat nopeat toimenpiteet, turvaamistoimenpiteet mukaan lukien, joilla lopetetaan väitetyt väärinkäytökset ja estetään suuremman haitan koituminen asianomaisille tahoille.

77 artikla Vastuu ja oikeus korvauksen saamiseen

1.           Jos kenelle tahansa henkilölle aiheutuu vahinkoa lainvastaisesta käsittelystä tai minkä tahansa toiminnan yhteensopimattomuudesta tämän asetuksen säännösten kanssa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.           Jos käsittelyyn on osallistunut useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on yhteisvastuullisesti vastuussa korvauksen koko määrästä.

3.           Rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa, ettei ole vastuussa vahingon aiheuttaneesta tapahtumasta.

78 artikla Seuraamukset

1.           Jäsenvaltioiden on vahvistettava säännöt tämän asetuksen säännösten rikkomisen vuoksi määrättäviä seuraamuksia varten ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi, myös silloin kun rekisterinpitäjä ei ole noudattanut velvollisuutta nimittää edustaja. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

2.           Jos rekisterinpitäjä on nimittänyt edustajan, seuraamuksia sovelletaan edustajaan, sanotun rajoittamatta seuraamuksia, joita voidaan määrätä rekisterinpitäjää itseään vastaan.

3.           Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

79 artikla Hallinnolliset seuraamukset

1.           Jokaisella valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia tämän artiklan mukaisesti.

2.           Hallinnollisten seuraamusten on oltava kussakin tapauksessa tehokkaita, oikeasuhteisia ja varoittavia. Hallinnollisen sakon määrä vahvistetaan ottaen huomioon sääntöjen rikkomisen luonne, vakavuus ja kesto, tahallisuus tai tuottamuksellisuus, luonnollisen tai oikeushenkilön vastuun aste ja kyseisen henkilön mahdolliset aiemmat rikkomiset, 23 artiklan nojalla toteutetut tekniset ja organisatoriset toimenpiteet ja menettelyt sekä valvontaviranomaisen yhteistyön aste rikkomisen korjaamiseksi.

3.           Kun kyseessä on ensimmäinen ja tahaton asetuksen rikkominen, voidaan antaa kirjallinen varoitus ja jättää seuraamus määräämättä, jos

a)      luonnollinen henkilö käsittelee henkilötietoja ilman kaupallista intressiä; tai

b)      yritys tai järjestö, jonka palveluksessa on alle 250 työntekijää, käsittelee henkilötietoja ainoastaan pääasiallisen toimintansa aputoimintona.

4.           Valvontaviranomaisen on määrättävä sakkoa enintään 250 000 euroa, tai jos kyseessä on yritys, enintään 0,5 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

a)      ei perusta menettelyjä rekisteröityjen esittämiä pyyntöjä varten tai ei vastaa viipymättä tai vaaditussa muodossa rekisteröityjen 12 artiklan 1 ja 2 kohdan nojalla esittämiin pyyntöihin;

b)      perii 12 artiklan 4 kohdan vastaisesti maksun tiedoista tai rekisteröityjen pyyntöihin vastaamisesta.

5.           Valvontaviranomaisen on määrättävä sakkoa enintään 500 000 euroa, tai jos kyseessä on yritys, enintään 1 prosentti sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

a)      ei anna rekisteröidylle 11 artiklan, 12 artiklan 3 kohdan ja 14 artiklan nojalla tietoja tai antaa puutteellisia tietoja tai ei anna tietoja riittävän läpinäkyvästi;

b)      ei anna rekisteröidylle pääsyä tai ei oikaise henkilötietoja 15 ja 16 artiklan nojalla tai ei toimita 13 artiklan mukaisesti tarvittavia tietoja tietojen vastaanottajalle;

c)      ei noudata oikeutta tulla unohdetuksi tai poistaa tiedot, tai jättää toteuttamatta mekanismit määräaikojen noudattamisen varmistamiseksi, tai ei toteuta kaikkia tarvittavia toimenpiteitä, joiden avulla kolmansille osapuolille ilmoitetaan rekisteröidyn pyynnöstä poistaa 17 artiklan nojalla kaikki linkit henkilötietoihin tai niiden kopiot tai jäljennökset;

d)      ei toimita jäljennöstä henkilötiedoista sähköisessä muodossa tai estää 18 artiklan vastaisesti rekisteröityä siirtämästä henkilötietonsa toiseen sovellukseen;

e)      ei määritä 24 artiklassa tarkoitettuja yhteisten rekisterinpitäjien vastuualueita lainkaan tai ei määritä niitä riittävästi;

f)       ei säilytä 28 artiklassa, 31 artiklan 4 kohdassa tai 44 artiklan 3 kohdassa tarkoitettuja asiakirjoja tai ei säilytä niitä riittävässä määrin;

g)      ei noudata tapauksissa, joihin ei liity erityisiä tietoryhmiä, 80, 82 ja 83 artiklan mukaisesti sääntöjä, jotka koskevat sananvapautta tai työntekijän henkilötietojen käsittelyä tai historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten suoritettavan käsittelyn edellytyksiä.

6.           Valvontaviranomaisen on määrättävä sakkoa enintään 1 000 000 euroa, tai jos kyseessä on yritys, enintään 2 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta:

a)      käsittelee henkilötietoja ilman mitään tai ilman riittävää oikeusperustaa tai ei noudata 6–8 artiklassa säädettyjä suostumusta koskevia edellytyksiä;

b)      käsittelee erityisiä tietoryhmiä 9 ja 81 artiklan vastaisesti;

c)      ei noudata henkilötietojen käsittelyn vastustamista tai 19 artiklassa säädettyä vaatimusta;

d)      ei noudata 20 artiklassa säädettyjä, profilointiin perustuvia toimenpiteitä koskevia edellytyksiä;

e)      ei vahvista sisäisiä menettelyjä tai ei toteuta tarvittavia toimenpiteitä sääntöjen noudattamisen varmistamiseksi ja sen osoittamiseksi 22, 23 ja 30 artiklan mukaisesti;

f)       ei nimitä edustajaa 25 artiklan mukaisesti;

g)      käsittelee henkilötietoja tai antaa ohjeita henkilötietojen käsittelemiseksi niiden velvoitteiden vastaisesti, jotka koskevat rekisterinpitäjän lukuun suoritettavaa henkilötietojen käsittelyä 26 ja 27 artiklan mukaisesti;

h)      ei anna hälytystä henkilötietojen tietoturvaloukkauksen vuoksi tai ei ilmoita siitä tai ei ilmoita tietoturvaloukkauksesta oikea-aikaisesti tai kokonaan valvontaviranomaiselle tai rekisteröidylle 31 ja 32 artiklan mukaisesti;

i)       ei laadi tietosuojaa koskevaa vaikutustenarviointia 33 artiklan mukaisesti tai käsittelee henkilötietoja ilman 34 artiklassa säädettyä valvontaviranomaisen ennakkohyväksyntää tai ‑kuulemista;

j)       ei nimitä tietosuojavastaavaa tai varmista edellytyksiä 35–37 artiklassa säädettyjen tehtävien suorittamiseksi;

k)      käyttää väärin 39 artiklassa tarkoitettuja tietosuojasinettejä tai ‑merkkejä;

l)       toteuttaa tiedonsiirtoja tai antaa ohjeita sellaisten tiedonsiirtojen toteuttamiseksi kolmanteen maahan tai kansainväliselle järjestölle, joita varten ei ole tehty tietosuojan riittävyyttä koskevaa päätöstä tai annettu asianmukaisia takeita tai 40–44 artiklan mukaista poikkeusta;

m)     ei noudata valvontaviranomaisen 53 artiklan 1 kohdan nojalla antamaa määräystä tai väliaikaista tai lopullista käsittelykieltoa tai tietovirtojen keskeyttämismääräystä;

n)      ei noudata velvollisuutta avustaa valvontaviranomaista tai vastata tai antaa sille tarvittavat tiedot tai sallia sen pääsy tiloihin 28 artiklan 3 kohdan, 29 artiklan, 34 artiklan 6 kohdan ja 53 artiklan 2 kohdan mukaisesti;

o)      ei noudata 84 artiklassa säädettyjä salassapitovelvollisuuden takaamista koskevia sääntöjä.

7.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päivitetään 4–6 artiklassa tarkoitettujen hallinnollisten sakkojen määrä 2 kohdassa tarkoitetut kriteerit huomioon ottaen.

IX LUKU TIETOJENKÄSITTELYYN LIITTYVIÄ ERITYISTILANTEITA KOSKEVAT SÄÄNNÖKSET

80 artikla Henkilötietojen käsittely ja sananvapaus

1.           Jäsenvaltioiden on säädettävä ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettua henkilötietojen käsittelyä varten poikkeuksista ja vapautuksista II luvussa säädetyistä yleisistä periaatteista, III luvussa säädetyistä rekisteröidyn oikeuksista, IV luvussa säädetyistä rekisterinpitäjää ja henkilötietojen käsittelijää koskevista säännöistä, V luvussa säädetyistä henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille koskevista säännöistä, VI luvussa säädetyistä riippumattomia valvontaviranomaisia koskevista säännöistä ja VII luvussa säädetyistä yhteistyötä ja yhdenmukaisuutta koskevista säännöistä, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja sananvapautta koskevat säännöt.

2.           Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

81 artikla Terveyttä koskevien henkilötietojen käsittely

1.           Terveyttä koskevia henkilötietoja voidaan käsitellä tässä asetuksessa asetetuissa rajoissa ja 9 artiklan 2 kohdan h alakohdan mukaisesti unionin tai jäsenvaltion lainsäädännön nojalla, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi, jos käsittely on tarpeen

a)      ennalta ehkäisevää tai työterveydenhuoltoa tai lääketieteellisiä diagnooseja koskevia tarkoituksia, hoidon tai käsittelyn suorittamista tai terveydenhuollon palvelujen hallintoa varten ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota koskee vaitiolovelvollisuus, tai muu henkilö, jota koskee vastaava velvoite jäsenvaltion lain tai toimivaltaisten kansallisten viranomaisten vahvistamien sääntöjen nojalla; tai

b)      kansanterveyteen liittyvän yleisen edun vuoksi, kuten rajatylittävien vakavien terveysuhkien estämiseksi tai esimerkiksi lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi; tai

c)      muista yleistä etua koskevista syistä esimerkiksi sosiaalisen suojelun alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä.

2.           Terveyttä koskevien henkilötietojen käsittelyyn, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, esimerkiksi diagnoosien parantamista varten perustettavia potilasrekistereitä ja samantyyppisten sairauksien erottamiseksi toisistaan tai selvitysten laatimiseksi hoitoja varten, sovelletaan 83 artiklassa tarkoitettuja edellytyksiä ja takeita.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin 1 kohdan b alakohdassa tarkoitetut muut yleistä etua kansanterveyden alalla koskevat syyt sekä kriteerit ja vaatimukset 1 kohdassa tarkoitettuja tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita varten.

82 artikla Henkilötietojen käsittely työsuhteen yhteydessä

1.           Jäsenvaltiot voivat antaa tässä asetuksessa asetetuissa rajoissa erityissäännöksiä työntekijän terveystietojen käsittelystä työsuhteen yhteydessä, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisistä tai työehtosopimukseen perustuvista velvollisuuksista vapauttaminen, työn johto, suunnittelu ja organisointi, työterveys ja ‑turvallisuus sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.

2.           Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset 1 kohdassa tarkoitettuja tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita varten.

83 artikla Henkilötietojen käsittely historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten

1.           Henkilötietoja voidaan käsitellä historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten tässä asetuksessa asetetuissa rajoissa vain, jos

a)      näitä tarkoituksia ei voida muutoin täyttää käsittelemällä tietoja, joiden perusteella rekisteröityä ei voida tunnistaa tai ei voida enää tunnistaa;

b)      tiedot, joiden avulla tiedot voidaan kohdentaa tunnistettuun tai tunnistettavissa olevaan rekisteröityyn, pidetään erillään muista tiedoista siltä osin kuin nämä tarkoitukset voidaan täyttää tällä tavoin.

2.           Elimet, jotka suorittavat historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimuksia, voivat julkaista tai muulla tavoin julkistaa henkilötietoja vain, jos

a)      rekisteröity on antanut siihen suostumuksensa 7 artiklassa säädettyjen edellytysten mukaisesti;

b)      henkilötietojen julkaiseminen on tarpeen tutkimustulosten esittämistä varten tai tutkimuksen helpottamiseksi siltä osin kuin rekisteröidyn edut tai perusoikeudet tai ‑vapaudet eivät syrjäytä näitä etuja; tai

c)      rekisteröity on itse julkistanut tiedot.

3.           Siirretään komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen käsittelylle 1 ja 2 kohdassa tarkoitettuja tarkoituksia varten sekä mahdolliset rekisteröidyn tiedonsaantioikeutta koskevat rajoitukset ja täsmennetään rekisteröidyn oikeuksia näissä olosuhteissa koskevat edellytykset ja takeet.

84 artikla Salassapitovelvollisuus

1.           Jäsenvaltiot voivat tässä asetuksessa asetetuissa rajoissa antaa erityissääntöjä valvontaviranomaisten 53 artiklan 2 kohdassa säädetyistä tutkintavaltuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee kansalliseen lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen ja oikeasuhteista henkilötietojen suojan ja salassapitovelvollisuuden yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan toiminnan yhteydessä.

2.           Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

85 artikla Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt

1.           Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat yksilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen säännösten mukaisiksi.

2.           Edellä 1 kohdassa tarkoitettuja kattavia sääntöjä soveltavien kirkkojen ja uskonnollisten yhdistysten on säädettävä riippumattoman valvontaviranomaisen perustamisesta tämän asetuksen VI luvun mukaisesti.

X LUKU DELEGOIDUT SÄÄDÖKSET JA TÄYTÄNTÖÖNPANOSÄÄDÖKSET

86 artikla Siirretyn säädösvallan käyttäminen

1.           Siirretään komissiolle valta antaa delegoituja säädöksiä tässä artiklassa säädetyin edellytyksin.

2.           Siirretään 6 artiklan 5 kohdassa, 8 artiklan 3 kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa, 14 artiklan 7 kohdassa, 15 artiklan 3 kohdassa, 17 artiklan 9 kohdassa, 20 artiklan 6 kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26 artiklan 5 kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31 artiklan 5 kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 6 kohdassa, 34 artiklan 8 kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 39 artiklan 2 kohdassa, 43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79 artiklan 6 kohdassa, 81 artiklan 3 kohdassa, 82 artiklan 3 kohdassa ja 83 artiklan 3 kohdassa tarkoitettu valta antaa delegoituja säädöksiä komissiolle määräämättömäksi ajaksi tämän asetuksen voimaantulopäivästä alkaen.

3.           Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 6 artiklan 5 kohdassa, 8 artiklan 3 kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa, 14 artiklan 7 kohdassa, 15 artiklan 3 kohdassa, 17 artiklan 9 kohdassa, 20 artiklan 6 kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26 artiklan 5 kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31 artiklan 5 kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 6 kohdassa, 34 artiklan 8 kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 39 artiklan 2 kohdassa, 43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79 artiklan 6 kohdassa, 81 artiklan 3 kohdassa, 82 artiklan 3 kohdassa ja 83 artiklan 3 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, päätöksessä mainittuna päivänä. Päätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4.           Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

5.           Edellä olevien 6 artiklan 5 kohdan, 8 artiklan 3 kohdan, 9 artiklan 3 kohdan, 12 artiklan 5 kohdan, 14 artiklan 7 kohdan, 15 artiklan 3 kohdan, 17 artiklan 9 kohdan, 20 artiklan 6 kohdan, 22 artiklan 4 kohdan, 23 artiklan 3 kohdan, 26 artiklan 5 kohdan, 28 artiklan 5 kohdan, 30 artiklan 3 kohdan, 31 artiklan 5 kohdan, 32 artiklan 5 kohdan, 33 artiklan 6 kohdan, 34 artiklan 8 kohdan, 35 artiklan 11 kohdan, 37 artiklan 2 kohdan, 39 artiklan 2 kohdan, 43 artiklan 3 kohdan, 44 artiklan 7 kohdan, 79 artiklan 6 kohdan, 81 artiklan 3 kohdan, 82 artiklan 3 kohdan ja 83 artiklan 3 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella.

87 artikla Komiteamenettely

1.           Komissiota avustaa komitea. Kyseinen komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.           Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3.           Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä 5 artiklan kanssa.

XI LUKU

LOPPUSÄÄNNÖKSET

88 artikla Direktiivin 95/46/EY kumoaminen

1.           Kumotaan direktiivi 95/46/EY.

2.           Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin 95/46/EY 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.

89 artikla Suhde direktiiviin 2002/58/EY ja direktiivin muuttaminen

1.           Tällä asetuksella ei aseteta luonnollisille tai oikeushenkilöille lisävelvoitteita sellaisen henkilötietojen käsittelyn osalta, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa, suhteessa sellaisiin seikkoihin, joiden osalta niiden on noudatettava direktiivissä 2002/58/EY säädettyjä erityisiä velvoitteita, joilla on sama tavoite.

2            Kumotaan direktiivin 2002/58/EY 1 artiklan 2 kohta.

90 artikla Arviointi

Komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomukset tämän asetuksen arvioinnista ja uudelleentarkastelusta. Ensimmäinen kertomus annetaan viimeistään neljän vuoden kuluttua tämän asetuksen voimaantulosta. Sen jälkeen kertomukset annetaan neljän vuoden välein. Komissio esittää tarvittaessa ehdotuksia tämän asetuksen muuttamiseksi ja sen yhdenmukaistamiseksi muiden säädösten kanssa, ottaen erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuvan kehityksen. Kertomukset julkaistaan.

91 artikla Voimaantulo ja soveltaminen

1.           Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.           Sitä sovelletaan [kahden vuoden kuluttua 1 kohdassa tarkoitetusta päivämäärästä alkaen].

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 25.1.2012.

Euroopan parlamentin puolesta                    Neuvoston puolesta

Puhemies                                                       Puheenjohtaja

SÄÄDÖKSEEN LIITTYVÄ RAHOITUSSELVITYS

1.           PERUSTIEDOT EHDOTUKSESTA/ALOITTEESTA

              1.1.    Ehdotuksen/aloitteen nimi

              1.2.    Toimintalohko(t) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä (ABM/ABB)

              1.3.    Ehdotuksen/aloitteen luonne

              1.4.    Tavoitteet

              1.5.    Ehdotuksen/aloitteen perustelut

              1.6.    Toiminnan ja sen rahoitusvaikutusten kesto

              1.7.    Hallinnointitapa (hallinnointitavat)

2.           HALLINNOINTI

              2.1.    Seuranta- ja raportointisäännöt

              2.2.    Hallinnointi- ja valvontajärjestelmä

              2.3.    Toimenpiteet petosten ja sääntöjenvastaisuuksien ehkäisemiseksi

3.           EHDOTUKSEN/ALOITTEEN ARVIOIDUT RAHOITUSVAIKUTUKSET

              3.1.    Kyseeseen tulevat monivuotisen rahoituskehyksen otsakkeet ja menopuolen budjettikohdat

              3.2.    Arvioidut vaikutukset menoihin

              3.2.1. Yhteenveto arvioiduista vaikutuksista menoihin

              3.2.2. Arvioidut vaikutukset toimintamäärärahoihin

              3.2.3. Arvioidut vaikutukset hallintomäärärahoihin

              3.2.4. Yhteensopivuus nykyisen monivuotisen rahoituskehyksen kanssa

              3.2.5. Ulkopuolisten tahojen osallistuminen rahoitukseen

              3.3.    Arvioidut vaikutukset tuloihin

SÄÄDÖKSEEN LIITTYVÄ RAHOITUSSELVITYS

1. PERUSTIEDOT EHDOTUKSESTA/ALOITTEESTA

Tässä rahoitusselvityksessä selvitetään yksityiskohtaisesti vaikutustenarvioinnissa esiteltyjä tietosuojauudistuksen vaikutuksia hallintomenoihin. Uudistus käsittää kaksi säädösehdotusta: yleisen tietosuoja-asetuksen ja direktiivin yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Tämä rahoitusselvitys kattaa molempien säädösten talousarviovaikutukset.

Tehtävänjaon perusteella resursseja tarvitsevat sekä komissio että Euroopan tietosuojavaltuutettu.

Komission osalta tarvittavat resurssit sisältyvät jo vuosien 2014–2020 rahoitusnäkymiä koskevaan ehdotukseen. Tietosuoja on yksi perusoikeus- ja kansalaisuusohjelman tavoitteista, ja ohjelmasta tuetaan myös säädöskehyksen täytäntöönpanoon liittyviä toimenpiteitä. Hallintomäärärahat ja tarvittava henkilöstö sisältyvät oikeusasioiden pääosaston (PO JUST) hallintobudjettiin.

Euroopan tietosuojavaltuutetun tarvitsemat resurssit on sisällytettävä tietosuojavaltuutetun vuotuisiin talousarvioihin. Nämä resurssit esitellään yksityiskohtaisesti tämän rahoitusselvityksen liitteessä. Euroopan tietosuojavaltuutetun on myös määrä huolehtia Euroopan tietosuojaneuvoston sihteeristön tehtävistä. Näiden uusien tehtävien hoitamiseen tarvittavat resurssit edellyttävät vuosien 2014–2020 rahoitusnäkymien otsakkeen 5 rahoitussuunnitelman muuttamista.

1.1. Ehdotuksen/aloitteen nimi

Ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus).

Ehdotus Euroopan parlamentin ja neuvoston direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta.

1.2. Toimintalohko(t) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä (ABM/ABB)[49]

Oikeusasiat – Henkilötietojen suoja

Talousarviovaikutukset koskevat komissiota ja Euroopan tietosuojavaltuutettua. Vaikutusta komission talousarvioon selvitetään tarkemmin tämän rahoitusselvityksen taulukoissa. Toimintamenot sisältyvät perusoikeus- ja kansalaisuusohjelmaan, ja ne on jo otettu huomioon ohjelman rahoitusselvityksessä, kun taas hallintomenot sisältyvät oikeusasioiden pääosaston kokonaismäärärahoihin. Euroopan tietosuojavaltuutettua koskevat tiedot esitetään liitteessä.

1.3. Ehdotuksen/aloitteen luonne

¨ Ehdotus/aloite liittyy uuteen toimeen.

¨ Ehdotus/aloite liittyy uuteen toimeen, joka perustuu pilottihankkeeseen tai valmistelutoimeen[50].

þ Ehdotus/aloite liittyy käynnissä olevan toimen jatkamiseen.

¨ Ehdotus/aloite liittyy toimeen, joka on suunnattu uudelleen.

1.4. Tavoitteet 1.4.1. Komission monivuotinen strateginen tavoite (monivuotiset strategiset tavoitteet), jonka (joiden) saavuttamista ehdotus/aloite tukee

Uudistuksen tarkoituksena on saattaa päätökseen alkuperäisten tavoitteiden toteuttaminen uusien kehityssuuntausten ja haasteiden valossa, eli

- parantaa tietosuojaa koskevan perusoikeuden vaikuttavuutta ja antaa yksilöille mahdollisuus valvoa henkilötietojensa käyttöä erityisesti teknologian kehityksen ja etenevän globalisoitumisen yhteydessä;

- vahvistaa tietosuojan sisämarkkinaulottuvuutta vähentämällä lainsäädännön hajanaisuutta, lisäämällä yhdenmukaisuutta ja yksinkertaistamalla sääntely-ympäristöä ja poistamalla siten tarpeettomia kustannuksia ja keventämällä hallinnollista rasitusta.

Lisäksi Lissabonin sopimuksen voimaantulo ja erityisesti uuden oikeusperustan (SEUT-sopimuksen 16 artikla) käyttöönotto tarjoavat tilaisuuden toteuttaa uusi tavoite, eli

- luoda kattava tietosuojakehys, jota voidaan soveltaa kaikilla unionin toiminta-aloilla.

1.4.2. Erityistavoite (erityistavoitteet) sekä toiminto (toiminnot) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä

Erityistavoite nro 1

Varmistaa tietosuojasääntöjen yhdenmukainen täytäntöönpano

Erityistavoite nro 2

Järkeistää nykyistä hallintojärjestelmää, jotta voidaan helpottaa yhdenmukaisen täytäntöönpanon varmistamista

Toiminto (toiminnot) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä

[…]

1.4.3. Odotettavissa olevat tulokset ja vaikutukset

Selvitys siitä, miten ehdotuksella/aloitteella on tarkoitus vaikuttaa edunsaajien/kohderyhmän tilanteeseen

Sekä julkisille että yksityisille rekisterinpitäjille on hyötyä siitä, että oikeusvarmuus paranee, kun otetaan käyttöön yhdenmukaiset ja selkeämmät EU:n tietosuojasäännöt ja ‑menettelyt, joiden avulla luodaan tasavertaiset toimintaedellytykset ja varmistetaan tietosuojasääntöjen yhdenmukainen täytäntöönpano. Tämä myös keventää merkittävästi hallinnollista rasitusta.

Yksilöt voivat valvoa henkilötietojensa käyttöä paremmin, mikä lisää luottamusta verkkoympäristössä toimimiseen. Yksilöiden tietosuojan taso on turvattu myös silloin, kun heidän henkilötietojaan käsitellään EU:n ulkopuolella. Lisäksi henkilötietojen käsittelyyn liittyvää tilivelvollisuutta tiukennetaan.

Kattavaa tietosuojajärjestelmää sovelletaan myös poliisiyhteistyön ja oikeudellisen yhteistyön alalla, entisen kolmannen pilarin puitteissa ja laajemminkin.

1.4.4. Tulos- ja vaikutusindikaattorit

Selvitys siitä, millaisin indikaattorein ehdotuksen/aloitteen toteuttamista seurataan

(Ks. vaikutustenarvioinnin kohta 8.)

Indikaattoreita arvioidaan säännöllisesti. Niihin kuuluvat mm. seuraavat seikat:

•        muiden jäsenvaltioiden lainsäädännön noudattamisesta rekisterinpitäjille aiheutuvat kustannukset ja toimintaan kuluva aika

•        tietosuojaviranomaisille osoitetut resurssit

•        julkisissa ja yksityisissä organisaatioissa nimitetyt tietosuojavastaavat

•        tietosuojaa koskevien vaikutustenarviointien käyttö

•        rekisteröityjen tekemien valitusten määrä ja heille maksetut korvaukset

•        niiden tapausten määrä, jotka johtavat rekisterinpitäjiin kohdistuviin syytetoimiin

•        tietoturvaloukkauksista vastuussa oleville rekisterinpitäjille määrätyt sakot.

1.5. Ehdotuksen/aloitteen perustelut 1.5.1. Tarpeet, joihin ehdotuksella/aloitteella vastataan lyhyellä tai pitkällä aikavälillä

Voimassa olevan tietosuojadirektiivin saattamisessa osaksi kansallista lainsäädäntöä sekä sen tulkinnassa ja täytäntöönpanossa on jäsenvaltioiden välillä eroavuuksia, jotka haittaavat sisämarkkinoiden toimintaa ja EU:n politiikkoihin liittyvää viranomaisten yhteistyötä. Tämä on vastoin direktiivin perustavoitetta, joka on henkilötietojen vapaan liikkuvuuden helpottaminen sisämarkkinoilla. Teknologian nopea kehitys ja globalisoituminen ovat vain pahentaneet tätä ongelmaa.

Yksilöiden tietosuojaoikeudet poikkeavat toisistaan, mikä johtuu lainsäädännön hajanaisuudesta ja epäyhtenäisestä soveltamisesta ja täytäntöönpanosta eri jäsenvaltioissa. Lisäksi yksilöt eivät aina tiedä, mitä heidän henkilötiedoillaan tehdään, eivätkä pysty valvomaan henkilötietojensa käyttöä, minkä vuoksi he eivät voi käyttää oikeuksiaan tehokkaasti.

1.5.2. EU:n osallistumisesta saatava lisäarvo

Jäsenvaltiot eivät nykytilanteessa voi korjata näitä puutteita yksinään. Tämä koskee erityisesti puutteita, jotka johtuvat EU:n tietosuojakehyksen täytäntöönpanoa koskevien kansallisten lainsäädäntöjen hajanaisuudesta. Siksi on vahvat perusteet laatia tietosuojaa koskeva lainsäädäntökehys EU:n tasolla. On tarpeen luoda yhtenäinen ja johdonmukainen kehys, jonka perusteella henkilötietoja voidaan siirtää sujuvasti yli rajojen EU:n sisällä ja varmistaa samalla kaikkien yksilöiden tehokas suojelu kaikkialla EU:ssa.

1.5.3. Vastaavista toimista saadut kokemukset

Nämä ehdotukset perustuvat direktiivistä 95/46/EY saatuun kokemukseen ja sen saattamisessa osaksi kansallista lainsäädäntöä ja sen täytäntöönpanossa esiin tulleisiin ongelmiin, joiden vuoksi direktiivin tavoitteita eli korkeatasoista tietosuojaa ja tietosuojan sisämarkkinoita ei ole voitu toteuttaa.

1.5.4. Yhteensopivuus muiden kyseeseen tulevien välineiden kanssa ja mahdolliset synergiaedut

Tietosuojan uudistamista koskevan lainsäädäntöpaketin tarkoituksena on luoda vahva, yhtenäinen ja ajanmukainen EU:n tietosuojakehys, joka on teknologianeutraali ja vastaa tulevien vuosikymmenten tarpeisiin. Uudistuksesta on hyötyä yksilöille, koska se lujittaa heidän tietosuojaoikeuksiaan erityisesti verkkoympäristössä. Lisäksi uudistus yksinkertaistaa yritysten ja julkisen sektorin oikeudellista toimintaympäristöä, mikä tukee digitaalisen talouden kehitystä EU:n sisämarkkinoilla ja muuallakin Eurooppa 2020 ‑strategian tavoitteiden mukaisesti.

Tietosuojalainsäädännön uudistamista koskevan paketin keskeiset osat ovat

–        asetus, jolla korvataan direktiivi 95/46/EY, ja

–        direktiivi yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta.

Näiden säädösehdotusten lisäksi pakettiin kuuluu kertomus puitepäätöksen 2008/977/YOS täytäntöönpanosta jäsenvaltioissa. Puitepäätös on tällä hetkellä EU:n tärkein tietosuojasäädös poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla.

1.6. Toiminnan ja sen rahoitusvaikutusten kesto

¨ Ehdotuksen/aloitteen mukaisen toiminnan kesto on rajattu.

¨ Ehdotuksen/aloitteen mukainen toiminta alkaa [PP/KK]VVVV ja päättyy [PP/KK]VVVV.

¨ Rahoitusvaikutukset alkavat vuonna VVVV ja päättyvät vuonna VVVV.

þ Ehdotuksen/aloitteen mukaisen toiminnan kestoa ei ole rajattu.

Käynnistysvaihe alkaa vuonna 2014 ja päättyy vuonna 2016,

minkä jälkeen toteutus täydessä laajuudessa.

1.7. Hallinnointitapa (hallinnointitavat)[51]

þ komissio hallinnoi suoraan keskitetysti

¨ välillinen keskitetty hallinnointi, jossa täytäntöönpanotehtäviä on siirretty

¨ toimeenpanovirastoille

¨ yhteisöjen perustamille elimille[52]

¨ kansallisille julkisoikeudellisille elimille tai julkisen palvelun tehtäviä hoitaville elimille

¨ henkilöille, joille on annettu tehtäväksi toteuttaa Euroopan unionista tehdyn sopimuksen V osaston mukaisia erityistoimia ja jotka nimetään varainhoitoasetuksen 49 artiklan mukaisessa perussäädöksessä

¨ hallinnointi yhteistyössä jäsenvaltioiden kanssa

¨ hajautettu hallinnointi yhteistyössä kolmansien maiden kanssa

¨ hallinnointi yhteistyössä kansainvälisten järjestöjen kanssa (tarkennettava)

Jos käytetään useampaa kuin yhtä hallinnointitapaa, huomautuksille varatussa kohdassa olisi annettava lisätietoja.

Huomautukset:

//

2. HALLINNOINTI 2.1. Seuranta- ja raportointisäännöt

Ilmoitetaan sovellettavat aikavälit ja edellytykset

Ensimmäinen arviointi tehdään neljän vuoden kuluttua säädösten voimaantulosta. Säädöksiin sisältyy uudelleentarkastelua koskeva lauseke, jonka nojalla komissio arvioi niiden täytäntöönpanoa. Komissio laatii arvioinnista kertomuksen Euroopan parlamentille ja neuvostolle. Seuraavat arvioinnit suoritetaan neljän vuoden välein. Komissio soveltaa omaa arviointimenettelyään. Arvioinnit perustuvat säädösten täytäntöönpanoa koskeviin selvityksiin, kansallisille tietosuojaviranomaisille osoitettaviin kyselyihin, asiantuntijakeskusteluihin, työpajoihin, eurobarometritutkimuksiin jne.

2.2. Hallinnointi- ja valvontajärjestelmä 2.2.1. Todetut riskit

EU:n tietosuojakehyksen uudistuksesta on laadittu vaikutustenarviointi, joka esitetään asetus- ja direktiiviehdotusten liitteenä.

Uudessa säädöksessä otetaan käyttöön yhdenmukaisuusmekanismi, jonka avulla varmistetaan, että jäsenvaltioiden riippumattomat valvontaviranomaiset soveltavat säädöskehystä yhdenmukaisesti ja yhtenäisesti. Mekanismi toimii Euroopan tietosuojaneuvoston kautta, jonka muodostavat kansallisten valvontaviranomaisten päälliköt ja Euroopan tietosuojavaltuutettu. Tietosuojaneuvosto korvaa nykyisen tietosuojatyöryhmän. Euroopan tietosuojavaltuutettu hoitaa tietosuojaneuvoston sihteeristön tehtävät.

Jos jäsenvaltioiden tietosuojaviranomaiset tekevät keskenään ristiriitaisia päätöksiä, Euroopan tietosuojaneuvostolta pyydetään asiasta lausunto. Jos asiaa ei saada ratkaistua tällä tavoin tai jos joku valvontaviranomaisista kieltäytyy noudattamasta tietosuojaneuvoston lausuntoa, komissio voi tämän asetuksen asianmukaisen ja yhdenmukaisen soveltamisen varmistamiseksi antaa asiasta oman lausuntonsa tai tarvittaessa antaa päätöksen, jos sillä on vakavia epäilyksiä sen suhteen, takaisiko valvontaviranomaisen toimenpideluonnos tämän asetuksen asianmukaisen soveltamisen vai johtaisiko se päinvastoin sen epäyhtenäiseen soveltamiseen.

Yhdenmukaisuusmekanismin vuoksi on lisättävä sekä Euroopan tietosuojavaltuutetun resursseja sihteeristön tehtävien hoitamista varten (12 kokoaikaista työntekijää ja tarvittavat hallinto- ja toimintamäärärahat esim. tietojärjestelmiä ja operaatioita varten) että komission resursseja yhdenmukaisuutta koskevien tapausten käsittelyä varten (5 kokoaikaista työntekijää ja tarvittavat hallinto- ja toimintamäärärahat).

2.2.2. Valvontamenetelmä(t)

Euroopan tietosuojavaltuutetun ja komission nykyisiä valvontamenetelmiä voidaan soveltaa myös lisämäärärahoihin.

2.3. Toimenpiteet petosten ja sääntöjenvastaisuuksien ehkäisemiseksi

Ilmoitetaan käytössä olevat ja suunnitellut torjunta- ja suojatoimenpiteet

Euroopan tietosuojavaltuutetun ja komission nykyisiä petostentorjuntatoimenpiteitä voidaan soveltaa myös lisämäärärahoihin.

3. EHDOTUKSEN/ALOITTEEN ARVIOIDUT RAHOITUSVAIKUTUKSET 3.1. Kyseeseen tulevat monivuotisen rahoituskehyksen otsakkeet ja menopuolen budjettikohdat

Talousarviossa jo olevat budjettikohdat

Monivuotisen rahoituskehyksen otsakkeiden ja budjettikohtien mukaisessa järjestyksessä

Moniv. rahoitus­kehyksen otsake || Budjettikohta || Määrä­­rahalaji || Rahoitusosuudet

Numero [Nimi………………………...……….] || JM/EI-JM ([53]) || EFTA-mailta[54] || ehdokas­mailta[55] || kolman­silta mailta || varainhoito­­asetuksen 18 artiklan 1 kohdan aa alakohdassa tarkoitetut rahoitusosuudet

|| || || || || ||

3.2. Arvioidut vaikutukset menoihin 3.2.1. Yhteenveto arvioiduista vaikutuksista menoihin

milj. euroa (kolmen desimaalin tarkkuudella)

Monivuotisen rahoituskehyksen otsake: || Numero ||

|| || || vuosi n[56] = 2014 || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ

Ÿ Toimintamäärärahat || || || || || || || ||

Budjettikohdan numero || Sitoumukset || (1) || || || || || || || ||

Maksut || (2) || || || || || || || ||

Budjettikohdan numero || Sitoumukset || (1a) || || || || || || || ||

Maksut || (2a) || || || || || || || ||

Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat[57] || || || || || || || ||

Budjettikohdan numero || || (3) || || || || || || || ||

<…….> PO:n määrärahat YHTEENSÄ || Sitoumukset || =1+1a +3 || || || || || || || ||

Maksut || =2+2a+3 || || || || || || || ||

Ÿ Toimintamäärärahat YHTEENSÄ || Sitoumukset || (4) || || || || || || || ||

Maksut || (5) || || || || || || || ||

Ÿ Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat YHTEENSÄ || (6) || || || || || || || ||

Monivuotisen rahoituskehyksen OTSAKKEESEEN 3 kuuluvat määrärahat YHTEENSÄ || Sitoumukset || =4+ 6 || || || || || || || ||

Maksut || =5+ 6 || || || || || || || ||

Jos ehdotuksella/aloitteella on vaikutuksia useampaan otsakkeeseen:

Ÿ Toimintamäärärahat YHTEENSÄ || Sitoumukset || (4) || || || || || || || ||

Maksut || (5) || || || || || || || ||

Ÿ Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat YHTEENSÄ || (6) || || || || || || || ||

Monivuotisen rahoituskehyksen OTSAKKEISIIN 1–4 kuuluvat määrärahat YHTEENSÄ (viitemäärä) || Sitoumukset || =4+ 6 || || || || || || || ||

Maksut || =5+ 6 || || || || || || || ||

Monivuotisen rahoituskehyksen otsake: || 5 || ”Hallintomenot”

milj. euroa (kolmen desimaalin tarkkuudella)

|| || || vuosi n 2014 || vuosi 2015 || vuosi 2016 || vuosi 2017 || vuosi 2018 || vuosi 2019 || vuosi 2020 || YHTEENSÄ

PO: JUST ||

Ÿ Henkilöresurssit || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Muut hallintomenot || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

PO JUST YHTEENSÄ || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 kuuluvat määrärahat YHTEENSÄ || (Sitoumukset yhteensä = = maksut yhteensä) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

milj. euroa (kolmen desimaalin tarkkuudella)

|| || || vuosi n[58] || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ

Monivuotisen rahoituskehyksen OTSAKKEISIIN 1–5 kuuluvat määrärahat YHTEENSÄ || Sitoumukset || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Maksut || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2. Arvioidut vaikutukset toimintamäärärahoihin

þ Ehdotus/aloite ei edellytä toimintamäärärahoja.

Henkilötietojen korkeatasoinen suoja kuuluu myös perusoikeus- ja kansalaisuusohjelman tavoitteisiin.

¨ Ehdotus/aloite edellyttää toimintamäärärahoja seuraavasti:

Maksusitoumusmäärärahat, milj. euroa (kolmen desimaalin tarkkuudella)

Tavoitteet ja tuotokset ò || || || vuosi n=2014 || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ

TUOTOKSET

Tyyppi[59] || Keskimäär. kustannukset || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä yhteensä || Kustan­nukset yhteensä

ERITYISTAVOITE 1 ||

- tuotos || asiat[60] || || || || || || || || || || || || || || || || ||

Välisumma erityistavoite 1 || || || || || || || || || || || || || || || ||

ERITYISTAVOITE 2 ||

- tuotos || tapaukset[61] || || || || || || || || || || || || || || || || ||

Välisumma erityistavoite 2 || || || || || || || || || || || || || || || ||

KUSTANNUKSET YHTEENSÄ || || || || || || || || || || || || || || || ||

3.2.3. Arvioidut vaikutukset hallintomäärärahoihin 3.2.3.1. Yhteenveto

¨ Ehdotus/aloite ei edellytä hallintomäärärahoja.

þ Ehdotus/aloite edellyttää hallintomäärärahoja seuraavasti:

milj. euroa (kolmen desimaalin tarkkuudella)

|| vuosi n[62] 2014 || vuosi 2015 || vuosi 2016 || vuosi 2017 || vuosi 2018 || vuosi 2019 || vuosi 2020 || YHTEENSÄ

Monivuotisen rahoituskehyksen OTSAKE 5 || || || || || || || ||

Henkilöresurssit || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Muut hallintomenot || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Monivuotisen rahoituskehyksen OTSAKE 5, välisumma || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät[63] || || || || || || || ||

Henkilöresurssit || || || || || || || ||

Muut hallintomenot || || || || || || || ||

Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät, välisumma || || || || || || || ||

YHTEENSÄ || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.3.2.  Henkilöresurssien arvioitu tarve

¨ Ehdotus/aloite ei edellytä henkilöresursseja.

þ Ehdotus/aloite edellyttää henkilöresursseja seuraavasti:

Arvio kokoaikaiseksi muutettuna (tai enintään yhden desimaalin tarkkuudella)

|| vuosi 2014 || vuosi 2015 || vuosi 2016 || vuosi 2017 || vuosi 2018 || vuosi 2019 || vuosi 2020

Ÿ Henkilöstötaulukkoon sisältyvät virat/toimet (virkamiehet ja väliaikaiset toimihenkilöt)

XX 01 01 01 (päätoimipaikka ja komission edustustot EU:ssa) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (edustustot EU:n ulkopuolella) || || || || || || ||

Ÿ Ulkopuolinen henkilöstö (kokoaikaiseksi muutettuna)[64]

XX 01 02 01 (kokonaismäärärahoista katettavat sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (sopimussuhteiset ja paikalliset toimihenkilöt, vuokrahenkilöstö, nuoremmat asiantuntijat ja kansalliset asiantuntijat EU:n ulkopuolisissa edustustoissa) || || || || || || ||

XX 01 04 yy[65] || - päätoimipaikassa[66] || || || || || || ||

- EU:n ulkop. edustustoissa || || || || || || ||

XX 01 05 02 (epäsuora tutkimustoiminta: sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || || || || || || ||

10 01 05 02 (suora tutkimustoiminta: sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || || || || || || ||

Muu budjettikohta (mikä?) || || || || || || ||

YHTEENSÄ || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX viittaa kyseessä olevaan toimintalohkoon eli talousarvion osastoon.

Uudistuksen myötä komissio saa hoitaakseen uusia tehtäviä yksilöiden suojelemiseksi henkilötietojen käsittelyssä. Uudet tehtävät muodostuvat lähinnä uuden yhdenmukaisuusmekanismin täytäntöönpanosta, jonka tarkoituksena on varmistaa yhdenmukaisen tietosuojalainsäädännön yhtenäinen soveltaminen, kolmansien maiden tietosuojan riittävyyden arviointi, mikä on yksinomaan komission vastuulla, sekä täytäntöönpanosäädösten ja delegoitujen säädösten valmistelu. Komissio jatkaa nykyisten tehtäviensä hoitamista (esim. politiikan suunnittelu, täytäntöönpanon seuranta, tietoisuuden lisääminen, valitusten käsittely).

Henkilöresurssien tarve katetaan toimen hallinnointiin jo osoitetulla pääosaston henkilöstöllä ja/tai pääosastossa toteutettujen henkilöstön uudelleenjärjestelyjen tuloksena saadulla henkilöstöllä sekä tarvittaessa sellaisilla lisäresursseilla, jotka toimea hallinnoiva pääosasto voi saada käyttöönsä vuotuisessa määrärahojen jakomenettelyssä talousarvion puitteissa.

Kuvaus henkilöstön tehtävistä:

Virkamiehet ja väliaikaiset toimihenkilöt || Tietosuojaa koskevasta yhdenmukaisuusmekanismista vastaavien työntekijöiden tehtävänä on varmistaa EU:n tietosuojasääntöjen yhdenmukainen soveltaminen. Tehtäviin kuuluu jäsenvaltioiden viranomaisten ratkaistavaksi toimittamien tapausten tutkiminen, jäsenvaltioiden kanssa neuvotteleminen ja komission päätösten valmisteleminen. Viimeaikaisten kokemusten perusteella odotetaan, että yhdenmukaisuusmekanismin puitteissa käsitellään 5–10 tapausta vuodessa. Tietosuojan riittävyyttä koskevien pyyntöjen käsittely kattaa suorat yhteydenotot asianomaiseen maahan, maassa vallitsevista edellytyksistä mahdollisesti laadittavien asiantuntijaselvitysten hallinnoinnin, edellytysten arvioinnin, asiaa koskevien komission päätösten ja menettelyn valmistelun, mukaan lukien komissiota avustavan komitean ja mahdollisten asiantuntijaelinten työn hallinnointi. Kokemusten perusteella vuosittain laaditaan enintään 4 tietosuojan riittävyyden arviointia. Täytäntöönpanosäädösten antamiseen sisältyy valmistelutoimien, kuten keskusteluasiakirjojen ja tutkimusten laatiminen ja julkisten kuulemisten järjestäminen sekä varsinaisen säädösluonnoksen laatiminen ja neuvotteluprosessin hallinnointi asiaa käsittelevissä komiteoissa ja muissa työryhmissä ja yleensäkin yhteyksien hoitaminen sidosryhmiin. Tiukempaa ohjausta vaativilla aloilla voidaan käsitellä vuodessa enintään kolme täytäntöönpanotoimenpidettä, koska menettely voi kestää neuvottelutiheydestä riippuen jopa 24 kuukautta.

Ulkopuolinen henkilöstö || Hallinnollinen ja sihteeristön tarjoama tuki

3.2.4. Yhteensopivuus nykyisen monivuotisen rahoituskehyksen kanssa

¨ Ehdotus/aloite on seuraavan monivuotisen rahoituskehyksen mukainen.

þ Ehdotus/aloite edellyttää rahoituskehyksen asianomaisen otsakkeen rahoitussuunnitelman muuttamista.

Seuraavassa taulukossa esitetään vuotuiset määrärahat, jotka Euroopan tietosuojavaltuutettu tarvitsee nykyisten suunnitelmien lisäksi voidakseen hoitaa Euroopan tietosuojaneuvoston sihteeristön tehtäviin liittyvät uudet tehtävänsä ja tähän liittyvät menettelyt ja työvälineet seuraavien rahoitusnäkymien aikana.

Vuosi || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Yhteensä

Henkilöstö ym. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Toiminta || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250

Yhteensä || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073

¨ Ehdotus/aloite edellyttää joustovälineen varojen käyttöön ottamista tai monivuotisen rahoituskehyksen tarkistamista.[67]

3.2.5. Ulkopuolisten tahojen osallistuminen rahoitukseen

þEhdotuksen/aloitteen rahoittamiseen ei osallistu ulkopuolisia tahoja.

¨Ehdotuksen/aloitteen rahoittamiseen osallistuu ulkopuolisia tahoja seuraavasti (arvio):

määrärahat, milj. euroa (kolmen desimaalin tarkkuudella)

|| vuosi n || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || Yhteensä

Rahoitukseen osallistuva taho || || || || || || || ||

Yhteisrahoituksella katettavat määrärahat YHTEENSÄ || || || || || || || ||

3.3. Arvioidut vaikutukset tuloihin

þ Ehdotuksella/aloitteella ei ole vaikutuksia tuloihin.

¨ Ehdotuksella/aloitteella on vaikutuksia tuloihin seuraavasti:

· ¨         vaikutukset omiin varoihin

· ¨         vaikutukset sekalaisiin tuloihin

milj. euroa (kolmen desimaalin tarkkuudella)

Tulopuolen budjettikohta || Käytettävissä olevat määrärahat kuluvana varainhoito­vuonna || Ehdotuksen/aloitteen vaikutus[68]

vuosi n || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6)

|| || || || || || || ||

Vastaava(t) menopuolen budjettikohta (budjettikohdat) käyttötarkoitukseensa sidottujen sekalaisten tulojen tapauksessa:

Selvitys tuloihin kohdistuvan vaikutuksen laskentamenetelmästä

Liite rahoitusselvitykseen, joka koskee ehdotusta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä.

Sovellettu menetelmä ja keskeiset perusoletukset

Kustannukset, jotka liittyvät säädösehdotuksista Euroopan tietosuojavaltuutetulle aiheutuviin uusiin tehtäviin, on arvioitu vastaaviin tehtäviin liittyvien komission henkilöstömenojen perusteella.

Euroopan tietosuojavaltuutettu huolehtii tietosuojatyöryhmän korvaavan Euroopan tietosuojaneuvoston sihteeristön tehtävistä. Komission tähän tehtävään käyttämän nykyisen työmäärän perusteella näihin tehtäviin tarvitaan kolme kokoaikaista työntekijää sekä vastaavat hallinto- ja toimintamäärärahat. Työtehtävät alkavat asetuksen voimaantulosta.

Lisäksi Euroopan tietosuojavaltuutetulla on yhdenmukaisuusmekanismiin liittyviä tehtäviä, joihin odotetaan tarvittavan viisi kokoaikaista työntekijää. Lisäksi kansallisten tietosuojaviranomaisten yhteisen tietojärjestelmän kehittämiseen ja käyttöön tarvitaan kaksi henkilöstön jäsentä lisää.

Seuraavassa taulukossa esitetään tarkemmin ensimmäisten seitsemän vuoden aikana tarvittavien määrärahojen lisäystarpeen laskutapa. Toisessa taulukossa esitetään tarvittavat toimintamäärärahat. Tämä on otettava huomioon Euroopan tietosuojavaltuutettua koskevassa EU:n yleisen talousarvion pääluokassa 9.

Kustannuslaji || Laskutapa || Määrä (tuhansia euroja)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Yht.

Palkka ja korvaukset || || || || || || || || ||

tietosuoja­neuvoston puheenjohtaja || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

virkamiehiä ja väliaikaisia toimihenkilöitä || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

kansallisia asiantuntijoita || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

sopimussuhteisia toimihenkilöitä || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

Palvelukseenoton kustannukset || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Virkamatkakulut || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Muut menot, koulutus || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Hallintomenot yhteensä || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Kuvaus henkilöstön tehtävistä:

Virkamiehet ja väliaikaiset toimihenkilöt || Tietosuojaneuvoston sihteeristön tehtävistä vastaavat työntekijät. Työtehtäviin kuuluu logistiikkatuen, kuten talousarvioon ja sopimuksentekoon liittyvien kysymysten, ohella kokousten asialistojen valmistelu, asiantuntijoiden kutsuminen, työryhmän asialistalla olevia kysymyksiä koskevat selvitykset, työryhmän työskentelyyn liittyvien asiakirjojen hallinnointi, mukaan lukien siihen liittyvät tietosuojaa, luottamuksellisuutta ja yleisön tiedonsaantia koskevat vaatimukset. Kaikki alatyöryhmät ja asiantuntijatyöryhmät mukaan lukien kokouksia ja päätöksentekomenettelyjä on vuosittain jopa 50. Tietosuojaa koskevasta yhdenmukaisuusmekanismista vastaavien työntekijöiden tehtävänä on varmistaa EU:n tietosuojasääntöjen yhdenmukainen soveltaminen. Tehtäviin kuuluu jäsenvaltioiden viranomaisten ratkaistavaksi toimittamien tapausten tutkiminen, jäsenvaltioiden kanssa neuvotteleminen ja komission päätösten valmisteleminen. Viimeaikaisten kokemusten perusteella yhdenmukaisuusmekanismin puitteissa käsitellään 5–10 tapausta vuodessa. Tietojärjestelmä helpottaa operatiivista yhteydenpitoa kansallisten tietosuojaviranomaisten kesken ja niiden rekisterinpitäjien välillä, joiden on jaettava tietoja viranomaisten kanssa. Tietojärjestelmästä vastaavan henkilön tai henkilöiden tehtävänä on varmistaa järjestelmään liittyvien vaatimusten suunnittelua, täytäntöönpanoa ja toimintaa koskevien prosessien laadunvalvonta, projektihallinta ja talousarvion täytäntöönpanon seuranta.

Ulkopuolinen henkilöstö || Hallinnollinen ja sihteeristön tarjoama tuki

Euroopan tietosuojavaltuutetun erityistehtäviin liittyvät menot

Tavoitteet ja tuotokset ò || || || vuosi n=2014 || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ

TUOTOKSET

Tyyppi[69] || Keski­määr. kustan­nukset || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Lukumäärä || Kus­tannus || Luku­määrä yhteensä || Kustan­­­nukset yhteensä

ERITYISTAVOITE 1[70] || Tietosuojaneuvoston sihteeristön tehtävät

- tuotos || tapauk­set[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3.200

Välisumma erityistavoite 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

ERITYISTAVOITE 2 || Yhdenmukaisuusmekanismi

- tuotos || asiat[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2.950

Välisumma erityis­tavoite 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

ERITYISTAVOITE 3 || Tietosuojavastaavien yhteinen tietojärjestelmä (Euroopan tietosuojavaltuutettu)

- tuotos || tapauk­set[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4.100

Välisumma erityistavoite 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

KUSTANNUKSET YHTEENSÄ || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               Yksityisyydensuoja verkottuvassa maailmassa – Uusi eurooppalainen tietosuojakehys, COM(2012) 9 final.

[2]               KOM(2012) 10 final.

[3]               Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281, 23.11.1995, s. 31.

[4]               Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä marraskuuta 2008, rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta, EUVL L 350, 30.12.2008, s. 60, jäljempänä ’puitepäätös’.

[5]               KOM(2010) 245 lopullinen.

[6]               KOM(2010) 2020 lopullinen.

[7]               Tukholman ohjelma – Avoin ja turvallinen Eurooppa kansalaisia ja heidän suojeluaan varten, EUVL C 115, 4.5.2010, s. 1.

[8]               Euroopan parlamentin päätöslauselma komission tiedonannosta Euroopan parlamentille ja neuvostolle Vapauden, turvallisuuden ja oikeuden alue kansalaisia varten – Tukholman ohjelma, annettu 25.11.2009, (P7_TA(2009)0090).

[9]               KOM(2010) 171 lopullinen.

[10]             KOM(2010) 609 lopullinen.

[11]             Erityiseurobarometritutkimus (EB) 359 Data Protection and Electronic Identity in the EU (2011), http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Kaikki kannanotot, jotka eivät ole luottamuksellisia, ovat nähtävissä komission verkkosivustolla osoitteessa http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Kaikki kannanotot, jotka eivät ole luottamuksellisia, ovat nähtävissä komission verkkosivustolla osoitteessa http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Euroopan verkko- ja tietoturvavirasto, joka käsittelee viestintäverkkojen ja tietojärjestelmien turvallisuuteen liittyviä asioita.

[18]             Ks. http://www.enisa.europa.eu/act/it/data-breach-notification.

[19]             Erityiseurobarometritutkimus (EB) 359 Data Protection and Electronic Identity in the EU (2011), http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Ks. Study on the economic benefits of privacy enhancing technologies tai Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, tammikuu 2010.                (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Tietosuojatyöryhmä on perustettu vuonna 1996 tietosuojadirektiivin (95/46/EY) 29 artiklan nojalla. Se on neuvoa-antava ryhmä, jossa ovat edustettuina kansalliset tietosuojaviranomaiset, Euroopan tietosuojavaltuutettu ja komissio. Lisätietoja työryhmän toiminnasta, ks.    http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Ks. erityisesti seuraavat lausunnot: aiheesta ”yksityisyydensuoja tulevaisuudessa” (2009, WP 168); rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä (1/2010, WP 169); käyttötottumuksia seuraavasta internetmainonnasta (2/2010, WP 171); tilivelvollisuuden periaatteesta (3/2010, WP 173); sovellettavasta lainsäädännöstä (8/2010, WP 179); ja suostumuksen määritelmästä (15/2011, WP 187). Komission pyynnöstä työryhmä esitti myös kolme neuvoa-antavaa asiakirjaa ilmoituksista, arkaluonteisista tiedoista ja tietosuojadirektiivin 28 artiklan 6 kohdan käytännön täytäntöönpanosta. Nämä asiakirjat ovat saatavilla osoitteessa                 http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Saatavilla Euroopan tietosuojavaltuutetun verkkosivustolla osoitteessa  http://www.edps.europa.eu/EDPSWEB.

[24]             Euroopan parlamentin päätöslauselma, 6.7.2011, kattavasta lähestymistavasta henkilötietojen suojaan Euroopan unionissa (2011/2025(INI),    http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (esittelijä: Euroopan parlamentin jäsen Axel Voss (EPP/DE)).

[25]             SEC(2012) 72.

[26]             CESE 999/2011.

[27]             Yhteisöjen tuomioistuimen yhdistetyt asiat C-92/09 ja C-93/09, Volker und Markus Schecke ja Eifert, tuomio 9.11.2010 (Kok., s. I-0000).

[28]             Perusoikeuskirjan 52 artiklan 1 kohdan mukaan tietosuojaoikeuden käyttämistä voidaan rajoittaa, jos näistä rajoituksista säädetään lailla, jos niissä kunnioitetaan kyseisten oikeuksien ja vapauksien olennaista sisältöä ja jos ne suhteellisuusperiaatteen mukaisesti ovat välttämättömiä ja vastaavat tosiasiallisesti Euroopan unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

[29]             Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi), EYVL L 201, 31.7.2002, s. 37.

[30]             Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY, annettu 25 päivänä marraskuuta 2009, yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY ja kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta (ETA:n kannalta merkityksellinen teksti), EUVL L 337, 18.12.2009, s. 11.

[31]             YK:n yleiskokous hyväksyi yleissopimuksen ja avasi sen allekirjoittamista, ratifiointia ja liittymistä varten 20.11.1989 antamallaan päätöslauselmalla 44/25.

[32]             Päätöslauselman on antanut tietosuojavaltuutettujen kansainvälinen konferenssi 5. marraskuuta 2009. Ks. yhteistä eurooppalaista kauppalakia koskevan asetusehdotuksen 13 artiklan 3 kohta, KOM(2011) 635 lopullinen.

[33]             CM/Rec (2010)13.

[34]             Yhteisöjen tuomioistuimen asia C-518/07, komissio v. Saksa, tuomio 9.3.2010 (Kok., s. I-1885).

[35]             Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 8, 12.1.2001, s. 1.

[36]             Ks. alaviite 34.

[37]             Neuvoston päätös 2008/615/YOS, tehty 23 päivänä kesäkuuta 2008, rajatylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajatylittävän rikollisuuden torjumiseksi, EUVL L 210, 6.8.2008, s. 1.

[38]             Säännös perustuu rikosoikeudellisia menettelyjä koskevien toimivaltaristiriitojen ehkäisemisestä ja ratkaisemisesta 30 päivänä marraskuuta 2009 tehdyn neuvoston puitepäätöksen 2009/948/YOS 5 artiklan 1 kohtaan, EUVL L 328, 15.12.2009, s. 42; ja perustamissopimuksen 81 ja 82 artiklassa vahvistettujen kilpailusääntöjen täytäntöönpanosta 16 päivänä joulukuuta 2002 annetun neuvoston asetuksen (EY) N:o 1/2003 13 artiklan 1 kohtaan, EYVL L 1, 4.1.2003, s. 1.

[39]             Säännös perustuu tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista 8 päivänä kesäkuuta 2000 annetun Euroopan parlamentin ja neuvoston direktiivin 2000/31/EY (”direktiivi sähköisestä kaupankäynnistä”) 18 artiklan 1 kohtaan, EYVL L 178, 17.7.2000, s. 1.

[40]             Tulkinnan osalta ks. yhteisöjen tuomioistuimen asia C-73/07, Satakunnan Markkinapörssi ja Satamedia, tuomio 16.12.2008 (Kok., s. I-9831).

[41]             EUVL C , s..

[42]             EUVL C , s..

[43]             EYVL L 281, 23.11.1995, s. 31.

[44]             EYVL L 8, 12.1.2001, s. 1.

[45]             Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, EUVL L 55, 28.2.2011, s. 13.

[46]             EYVL L 176, 10.7.1999, s. 36.

[47]             EUVL L 53, 27.2.2008, s. 52.               

[48]             EUVL L 160, 18.6.2011, s. 19.

[49]             ABM: toimintoperusteinen johtaminen; ABB: toimintoperusteinen budjetointi.

[50]             Sellaisina kuin nämä on määritelty varainhoitoasetuksen 49 artiklan 6 kohdan a ja b alakohdassa.

[51]             Kuvaukset eri hallinnointitavoista ja viittaukset varainhoitoasetukseen ovat saatavilla budjettipääosaston verkkosivuilla osoitteessa http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[52]             Sellaisina kuin nämä on määritelty varainhoitoasetuksen 185 artiklassa.

[53]             JM = jaksotetut määrärahat; EI-JM = jaksottamattomat määrärahat.

[54]             EFTA: Euroopan vapaakauppaliitto.

[55]             Ehdokasmaat ja soveltuvin osin Länsi-Balkanin mahdolliset ehdokasmaat.

[56]             Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi.

[57]             Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat), epäsuora ja suora tutkimustoiminta.

[58]             Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi.

[59]             Tuotokset ovat tuloksena olevia tuotteita ja palveluita (esim. rahoitettujen opiskelijavaihtojen määrä tai rakennetut tiekilometrit).

[60]             Tietosuojaneuvoston lausunnot, päätökset, menettelyt ja kokoukset.

[61]             Yhdenmukaisuusmekanismin puitteissa käsitellyt tapaukset.

[62]             Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi.

[63]             Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat), epäsuora ja suora tutkimustoiminta.

[64]             Sopimussuhteiset toimihenkilöt, vuokrahenkilöstö, nuoremmat asiantuntijat EU:n ulkopuolisissa edustustoissa, paikalliset toimihenkilöt ja kansalliset asiantuntijat.

[65]             Toimintamäärärahoista katettavan ulkopuolisen henkilöstön enimmäismäärä (entiset BA-budjettikohdat).

[66]             Etenkin rakennerahastot, Euroopan maaseudun kehittämisen maatalousrahasto (maaseuturahasto) ja Euroopan kalatalousrahasto.

[67]             Katso toimielinten sopimuksen 19 ja 24 kohta.

[68]             Perinteiset omat varat (tulli- ja sokerimaksut) on ilmoitettava nettomääräisinä eli bruttomäärästä on vähennettävä kantokuluja vastaava 25 prosentin osuus.

[69]             Tuotokset ovat tuloksena olevia tuotteita ja palveluita (esim. rahoitettujen opiskelijavaihtojen määrä tai rakennetut tiekilometrit).

[70]             Kuten kuvattu kohdassa 1.4.2 ”Erityistavoitteet”.

[71]             Yhdenmukaisuusmekanismin puitteissa käsitellyt tapaukset.

[72]             Tietosuojaneuvoston lausunnot, päätökset, menettelyt ja kokoukset.

[73]             Tietojärjestelmien kehittämistä ja käyttöä koskevien vuosiarvioiden kokonaismäärät.