32001R0045

Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta

Virallinen lehti nro L 008 , 12/01/2001 s. 0001 - 0022


Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001,

annettu 18 päivänä joulukuuta 2000,

yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta

EUROOPAN PARLAMENTTI ja EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan yhteisön perustamissopimuksen ja erityisesti sen 286 artiklan,

ottavat huomioon komission ehdotuksen(1),

ottavat huomioon talous- ja sosiaalikomitean lausunnon(2),

noudattavat perustamissopimuksen 251 artiklassa määrättyä menettelyä(3),

sekä katsovat seuraavaa:

(1) Perustamissopimuksen 286 artiklassa määrätään, että yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettuja yhteisön säädöksiä sovelletaan yhteisön toimielimiin ja elimiin.

(2) Kehittyneessä henkilötietojen suojajärjestelmässä on vahvistettava paitsi rekisteröityjen oikeudet ja henkilötietoja käsittelevien velvollisuudet myös asianmukaiset seuraamukset tietosuojaa loukanneille sekä asetettava riippumaton valvontaviranomainen.

(3) Perustamissopimuksen 286 artiklan 2 kohdassa edellytetään, että perustetaan riippumaton valvontaelin, joka valvoo yhteisön säädösten soveltamista yhteisön toimielimiin ja elimiin.

(4) Perustamissopimuksen 286 artiklan 2 kohdassa edellytetään lisäksi muiden aiheellisten säännösten antamista tarvittaessa.

(5) Asetus on tarpeen täytäntöönpanokelpoisten oikeuksien antamiseksi yksilöille, yhteisöjen toimielimissä ja elimissä toimivien rekisterinpitäjien tietojen käsittelyä koskevien velvollisuuksien määrittelemiseksi sekä yhteisöjen toimielinten ja elinten suorittaman henkilötietojen käsittelyn valvonnasta vastuussa olevan riippumattoman valvontaviranomaisen perustamiseksi.

(6) Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(4) 29 artiklassa perustetulta tietosuojatyöryhmältä on pyydetty lausuntoa.

(7) Suojeltavia ovat henkilöt, joiden henkilötietoja yhteisöjen toimielimet tai elimet käsittelevät missä tahansa yhteydessä, esimerkiksi siitä syystä, että nämä henkilöt toimivat kyseisten toimielimien tai elimien palveluksessa.

(8) Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä. Sen ratkaisemiseksi, onko henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi. Suojaperiaatteita ei olisi sovellettava tietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista.

(9) Direktiivissä 95/46/EY jäsenvaltioita vaaditaan varmistamaan luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelu, erityisesti heidän oikeutensa yksityisyyteen, henkilötietojen käsittelyssä henkilötietojen vapaan liikkuvuuden varmistamiseksi yhteisössä.

(10) Henkilötietojen käsittelystä ja yksityisyyden suojasta televiestinnän alalla 15 päivänä joulukuuta 1997 annetulla Euroopan parlamentin ja neuvoston direktiivillä 97/66/EY(5) täsmennetään ja täydennetään direktiiviä 95/46/EY televiestinnän alalla tapahtuvan henkilötietojen käsittelyn osalta.

(11) Myös monilla muilla yhteisön toimenpiteillä, kuten kansallisten viranomaisten ja komission keskinäisellä avunannolla, pyritään täsmentämään ja täydentämään direktiiviä 95/46/EY niillä aloilla, joihin nämä toimenpiteet liittyvät.

(12) Yksilöiden perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava koko yhteisössä.

(13) Tavoitteena on varmistaa sekä yksilöiden perusoikeuksien ja -vapauksien suojelua koskevien sääntöjen tosiasiallinen noudattaminen että henkilötietojen vapaa liikkuvuus jäsenvaltioiden sekä yhteisöjen toimielinten ja elinten kesken tai yhteisöjen toimielinten ja elinten välillä niiden toimivaltaan kuuluvien tehtävien hoitamisessa.

(14) Tämän vuoksi olisi annettava yhteisöjen toimielimiä ja elimiä velvoittavia säännöksiä. Näitä säännöksiä olisi sovellettava kaikkeen henkilötietojen käsittelyyn, jota yhteisöjen toimielimet ja elimet suorittavat, jos käsittely suoritetaan yhteisön oikeuden soveltamisalaan kokonaan tai osittain kuuluvien toimien toteuttamiseksi.

(15) Kun yhteisöjen toimielimet ja elimet käsittelevät henkilötietoja tämän asetuksen soveltamisalaan kuulumattomien, erityisesti Euroopan unionista tehdyn sopimuksen V ja VI osastossa tarkoitettujen toimien toteuttamiseksi, yksilöiden perusoikeuksien ja -vapauksien suojelu varmistetaan noudattamalla Euroopan unionista tehdyn sopimuksen 6 artiklan määräyksiä. Oikeutta tutustua asiakirjoihin sekä henkilötietoja sisältäviin asiakirjoihin tutustumisen edellytyksiä koskevat säännökset annetaan Euroopan yhteisön perustamissopimuksen 255 artiklan perusteella, jonka soveltamisala ulottuu Euroopan unionista tehdyn sopimuksen V ja VI osastoihin.

(16) Näitä säännöksiä ei sovelleta yhteisön ulkopuolisiin elimiin eikä Euroopan tietosuojavaltuutetulla ole toimivaltaa valvoa näiden elinten suorittamaa henkilötietojen käsittelyä.

(17) Jotta yksilöitä voitaisiin tehokkaasti suojata unionissa suoritettavan henkilötietojen käsittelyn osalta, olisi erilaisiin asiaa koskeviin oikeusaloihin liittyviin toimiin sovellettava yhdenmukaisia sääntöjä ja menettelyjä. Tätä varten olisi ensi vaiheessa laadittava perusperiaatteet, jotka koskevat henkilötietojen suojaa rikosasioissa tehtävässä oikeudellisessa yhteistyössä sekä poliisi- ja tulliyhteistyössä, ja perustettava sihteeristö Europol-yleissopimuksella, tietotekniikan käyttöä tullialalla koskevalla yleissopimuksella ja Schengenin yleissopimuksella perustetuille yhteisille valvontaviranomaisille.

(18) Tällä asetuksella ei saisi olla vaikutusta direktiiveissä 95/46/EY ja 97/66/EY säädettyihin jäsenvaltioiden oikeuksiin ja velvollisuuksiin. Sen tavoitteena ei ole muuttaa menettelyjä ja käytäntöjä, joita jäsenvaltiot ovat luoneet lain mukaisesti, ja jotka koskevat kansallista turvallisuutta, yleisen järjestyksen suojaamista sekä rikosten torjuntaa, tutkintaa, selvittämistä ja syytteeseenpanoa Euroopan yhteisöjen erioikeuksista ja vapauksista tehdyn pöytäkirjan määräyksiä sekä kansainvälistä oikeutta noudattaen.

(19) Yhteisöjen toimielimet ja elimet ilmoittavat jäsenvaltioiden toimivaltaisille viranomaisille, kun ne katsovat, että telekuuntelua on soveltuvien kansallisten säädösten mukaisesti suoritettava näiden televiestintäverkoissa.

(20) Yhteisöjen toimielimiin ja elimiin sovellettavien säännösten olisi vastattava kansallisten lainsäädäntöjen yhdenmukaistamista tai yhteisöjen muiden politiikkojen täytäntöönpanoa varten annettuja säännöksiä erityisesti keskinäisen avunannon alalla. Voi olla kuitenkin tarpeen täsmentää ja täydentää näitä säännöksiä yhteisöjen toimielinten tai elinten suorittamaan henkilötietojen käsittelyyn liittyvän suojelun täytäntöönpanon osalta.

(21) Tämä koskee sekä niiden yksilöiden oikeuksia, joita koskevia tietoja käsitellään, että tietojen käsittelystä vastaavien yhteisöjen toimielinten ja elinten velvollisuuksia, samoin kuin tämän asetuksen asianmukaisesta soveltamisesta vastuussa olevan riippumattoman valvontaviranomaisen toimivaltuuksia.

(22) Rekisteröidylle annetut oikeudet ja niiden käyttö eivät saisi vaikuttaa rekisterinpitäjän velvollisuuksiin.

(23) Riippumaton valvontaviranomainen harjoittaa valvontatoimintaansa perustamissopimuksen mukaisesti sekä ihmisoikeuksia ja perusvapauksia kunnioittaen. Se suorittaa tutkimuksensa erioikeuksista ja vapauksista tehtyä pöytäkirjaa sekä Euroopan yhteisöjen virkamiehiin sovellettavia henkilöstösääntöjä ja muuhun henkilöstöön sovellettavia palvelussuhteen ehtoja noudattaen.

(24) Olisi toteutettava tarvittavat tekniset toimenpiteet, joilla varmistetaan pääsy tietosuojasta vastaavien henkilöiden pitämiin rekistereihin riippumattoman valvontaviranomaisen kautta.

(25) Riippumattoman valvontaviranomaisen päätökset, jotka koskevat tietojen käsittelyyn liittyviä, tässä asetuksessa määriteltyjä poikkeuksia, takuita, lupia ja ehtoja, olisi julkaistava toimintakertomuksessa. Vuosittain julkaistavan toimintakertomuksen lisäksi riippumaton valvontaviranomainen voi julkaista kertomuksia erityisaiheista.

(26) Riippumattoman valvontaviranomaisen on tarkastettava ennakolta ne käsittelytoimet, joihin saattaa liittyä erityisiä rekisteröityjen oikeuksiin ja vapauksiin liittyviä riskejä. Tämän ennakkotarkastuksen yhteydessä annettava lausunto tai lausunto, jonka katsotaan tulleen annetuksi säädetyn määräajan kuluttua umpeen ilman, että on saatu vastausta, ei saisi rajoittaa riippumattoman valvontaviranomaisen toimivallan myöhempää käyttöä kyseisten käsittelytoimien osalta.

(27) Henkilötietojen käsittelyyn yhteisöjen toimielimissä ja elimissä yleisen edun edellyttämien tehtävien suorittamiseksi sisältyy toimielinten ja elinten hallinnolle ja toiminnalle tarpeellisten henkilötietojen käsittely.

(28) Tiettyjen tapausten osalta olisi säädettävä, että tietojen käsittely on sallittua yhteisön säännöksissä tai säädöksissä, joilla yhteisön säännökset saatetaan osaksi kansallista lainsäädäntöä. Tällaisten säännösten puuttuessa ja ennen niiden antamista Euroopan tietosuojavaltuutettu voi siirtymävaiheen aikana kuitenkin sallia tällaisten tietojen käsittelyn, jos toteutetaan asianmukaiset suojatoimet. Tällöin tietosuojavaltuutettu ottaa erityisesti huomioon säännökset, joita jäsenvaltioissa on annettu samanlaisten tapausten ratkaisemiseksi.

(29) Nämä tapaukset koskevat sellaisten tietojen käsittelyä, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta, ammattiliittoon kuulumista, sekä sellaisten terveyttä ja seksuaalista käyttäytymistä koskevien tietojen käsittelyä, joita tarvitaan rekisterinpitäjän erityisten työoikeudellisten velvoitteiden ja oikeuksien täytäntöönpanemiseksi tai tärkeää yleistä etua koskevasta syystä. Kyse on myös rikoksiin, rikosasioissa annettaviin tuomioihin tai turvallisuutta koskeviin toimenpiteisiin liittyvästä tietojen käsittelystä tai luvasta, jonka nojalla rekisteröity voi joutua sellaisen päätöksen kohteeksi, jolla on oikeusvaikutuksia häneen nähden tai joka vaikuttaa häneen merkittävällä tavalla ja joka on tehty ainoastaan sellaisten tietojen automaattisen käsittelyn perusteella, jotka on tarkoitettu hänen tiettyjen henkilökohtaisten ominaisuuksiensa arviointiin.

(30) Voi olla tarpeen valvoa yhteisöjen toimielinten ja elinten alaisuudessa toimivia tietoverkkoja luvattoman käytön torjumiseksi. Euroopan tietosuojavaltuutettu päättää missä määrin ja millaisin edellytyksin tämä on mahdollista.

(31) Tämän asetuksen rikkomisen seuraamuksista määrätään perustamissopimuksen 288 artiklan toisessa kohdassa.

(32) Yksi tai useampi tietosuojavaltuutettu valvoo kussakin yhteisöjen toimielimessä tai elimessä tämän asetuksen säännösten soveltamista ja neuvoo rekisterinpitäjiä näiden velvoitteiden noudattamisessa.

(33) Yhteisön tilastoista 17 päivänä helmikuuta 1997 annetun neuvoston asetuksen (EY) N:o 322/97(6) 21 artiklan mukaan mainittua asetusta sovelletaan rajoittamatta direktiivin 95/46/EY säännösten soveltamista.

(34) Euroopan keskuspankin valtuuksista kerätä tilastotietoja 23 päivänä marraskuuta 1998 annetun neuvoston asetuksen (EY) N:o 2533/98(7) 8 artiklan 8 kohdan mukaan mainittua asetusta sovelletaan rajoittamatta direktiivin 95/46/EY soveltamista.

(35) Salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle 11 päivänä kesäkuuta 1990 annetun neuvoston asetuksen (Euratom, ETY) N:o 1588/90(8) 1 artiklan 2 kohdan mukaan mainittu asetus ei vaikuta yhteisön tai kansallisiin erityissäännöksiin, joilla turvataan muuta salassapitoa kuin tilastosalaisuutta.

(36) Tällä asetuksella ei rajoiteta jäsenvaltioiden liikkumavaraa niiden laatiessa kansallista direktiivin 95/46/EY 32 artiklan nojalla annettavaa tietosuojalainsäädäntöään perustamissopimuksen 249 artiklan mukaisesti,

OVAT ANTANEET TÄMÄN ASETUKSEN:

I LUKU

YLEISET SÄÄNNÖKSET

1 artikla

Asetuksen tavoite

1. Euroopan yhteisöjen perustamissopimuksilla tai niiden nojalla perustetut toimielimet ja elimet, jäljempänä "yhteisöjen toimielimet ja elimet", suojelevat tämän asetuksen mukaisesti luonnollisten henkilöiden perusoikeuksia ja -vapauksia sekä erityisesti heidän oikeuttaan yksityisyyteen henkilötietojen käsittelyssä, eivätkä ne rajoita tai estä henkilötietojen vapaata liikkuvuutta välillään tai vastaanottajille, joihin sovelletaan sitä jäsenvaltioiden lainsäädäntöä, jolla pannaan täytäntöön direktiivi 95/46/EY.

2. Tällä asetuksella perustettu riippumaton valvontaviranomainen, jäljempänä "Euroopan tietosuojavaltuutettu", valvoo tämän asetuksen säännösten soveltamista kaikkiin yhteisöjen toimielimen ja elimen suorittamiin käsittelytoimiin.

2 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan:

a) "henkilötiedoilla" kaikenlaisia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, jäljempänä "rekisteröity", koskevia tietoja; tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa, erityisesti henkilönumeron taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

b) "henkilötietojen käsittelyllä", jäljempänä "käsittely", kaikkia sellaisia toimia tai toimien kokonaisuuksia, joita kohdistetaan henkilötietoihin joko automaattisen tietojenkäsittelyn avulla tai muutoin, kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, tiedon haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai asettamalla muutoin saataville, yhteensovittaminen tai yhdistäminen sekä suojaaminen, poistaminen tai tuhoaminen;

c) "henkilötietojen rekisteröintijärjestelmällä", jäljempänä "rekisteröintijärjestelmä", kaikkia sellaisia järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin perustein, oli kokoelma sitten keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu;

d) "rekisterinpitäjällä" yhteisöjen toimielintä tai elintä, pääosastoa, yksikköä tai muuta organisatorista kokonaisuutta, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos käsittelyn tarkoitukset ja keinot määritellään erityisellä yhteisön säädöksellä, rekisterinpitäjä tai erityiset perusteet rekisterinpitäjän nimeämiseksi voidaan vahvistaa tällaisella yhteisön säädöksellä;

e) "henkilötietojen käsittelijällä" luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

f) "sivullisella" luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä paitsi rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöitä, joilla on oikeus käsitellä tietoja rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena;

g) "vastaanottajalla" luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle tietoja luovutetaan, oli kyseessä sivullinen tai ei; niitä viranomaisia, jotka mahdollisesti saavat tietoja erityisen tutkimuksen puitteissa, ei kuitenkaan pidetä vastaanottajina;

h) "rekisteröidyn suostumuksella" vapaaehtoista, yksilöityä ja tietoista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn.

3 artikla

Soveltamisala

1. Tätä asetusta sovelletaan kaikkien yhteisöjen toimielinten ja elinten suorittamaan henkilötietojen käsittelyyn silloin, kun käsittely suoritetaan yhteisön oikeuden soveltamisalaan kokonaan tai osittain kuuluvien toimien toteuttamiseksi.

2. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka suoritetaan kokonaan tai osittain automaattisesti, sekä sellaisten henkilötietojen muuhun kuin automaattiseen käsittelyyn, jotka muodostavat rekisteröintijärjestelmän osan tai joiden on tarkoitus muodostaa rekisteröintijärjestelmän osa.

II LUKU

YLEISET SÄÄNNÖT HENKILÖTIETOJEN KÄSITTELYN LAILLISUUDESTA

1 JAKSO

TIETOJEN LAATUA KOSKEVAT PERIAATTEET

4 artikla

Tietojen laatu

1. Henkilötietojen osalta on noudatettava seuraavaa:

a) henkilötietoja on käsiteltävä asianmukaisesti ja laillisesti;

b) henkilötiedot on kerättävä perusteltua ja nimenomaisesti määriteltyä tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Myöhempää käsittelyä historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten ei pidetä yhteensopimattomana, sillä edellytyksellä, että rekisterinpitäjä toteuttaa asianmukaiset suojatoimet varmistaakseen erityisesti sen, ettei tietoja käsitellä mitään muita tarkoituksia varten ja ettei tietoja käytetä ketään tiettyä henkilöä koskevien toimenpiteiden tai päätösten tukena;

c) henkilötietojen on oltava asianmukaisia ja olennaisia eivätkä ne saa olla liian laajoja suhteessa tarkoituksiin, joihin ne on kerätty ja/tai joihin niitä myöhemmin käsitellään;

d) henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki aiheelliset toimenpiteet sen varmistamiseksi, että niihin tarkoituksiin nähden virheelliset tai puutteelliset tiedot, joita varten tiedot kerättiin tai joita varten niitä myöhemmin käsitellään, poistetaan tai oikaistaan;

e) henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan sen ajan, kuin on tarpeen niitä tarkoituksia varten, joihin tiedot kerättiin tai joihin niitä myöhemmin käsitellään. Yhteisöjen toimielimen tai elimen on määrättävä, että henkilötiedot, joita säilytetään tätä kauemmin historiantutkimusta taikka tilastollisia tai tieteellisiä tarkoituksia varten, säilytetään nimettömässä muodossa tai, jos tämä ei ole mahdollista, ne säilytetään ainoastaan sillä edellytyksellä, että rekisteröidyn henkilöllisyys salataan. Tietoja ei kuitenkaan saa käyttää muuhun kuin historian tutkimukseen taikka tilastollisiin tai tieteellisiin tarkoituksiin.

2. Rekisterinpitäjän on huolehdittava 1 kohdan noudattamisesta.

2 JAKSO

TIETOJENKÄSITTELYN LAILLISUUTTA KOSKEVAT PERIAATTEET

5 artikla

Henkilötietojen käsittelyn laillisuus

Henkilötietoja voidaan käsitellä ainoastaan

a) jos käsittely on tarpeen sellaisen tehtävän suorittamiselle, joka tehdään yleisen edun vuoksi Euroopan yhteisöjen perustamissopimusten tai näiden perustamissopimusten perusteella annettujen muiden säädösten perusteella, tai sellaisen julkisen vallan lainmukaista käyttöä varten, joka kuuluu yhteisöjen toimielimelle tai elimelle taikka sivulliselle, jolle tiedot luovutetaan; tai

b) jos käsittely on tarpeen rekisterinpitäjän lakiin perustuvan velvoitteen noudattamiseksi; tai

c) jos käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; tai

d) jos rekisteröity on yksiselitteisesti antanut suostumuksensa; tai

e) jos käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi.

6 artikla

Tarkoituksen muuttuminen

Rajoittamatta 4, 5 ja 10 artiklan soveltamista:

1) Henkilötietoja voidaan käsitellä muuta kuin sitä tarkoitusta varten, johon ne on kerätty, ainoastaan, jos tarkoituksen muutos on nimenomaisesti sallittu yhteisöjen toimielimen tai elimen sisäisissä säännöissä.

2) Henkilötietoja, jotka on kerätty yksinomaan käsittelyjärjestelmien tai -toimintojen turvallisuuden tai valvonnan varmistamiseksi, ei saa käyttää mihinkään muuhun tarkoitukseen, vakavien rikosten torjuntaa, tutkintaa, selvittämistä ja syyteharkintaa lukuun ottamatta.

7 artikla

Henkilötietojen siirtäminen yhteisöjen toimielinten tai elinten kesken taikka niiden sisällä

Rajoittamatta 4, 5, 6 ja 10 artiklan soveltamista:

1) Henkilötietoja voidaan siirtää yhteisöjen toimielinten tai elinten kesken taikka niiden sisällä ainoastaan, jos tiedot ovat tarpeen vastaanottajan toimivaltaan kuuluvien tehtävien lainmukaista suorittamista varten.

2) Jos tiedot siirretään vastaanottajan pyynnöstä, sekä rekisterinpitäjä että vastaanottaja ovat vastuussa siirron laillisuudesta.

Rekisterinpitäjän on varmistettava, että vastaanottaja on toimivaltainen ja arvioitava alustavasti tietojen siirron tarpeellisuus. Jos tarpeellisuudesta on epäilyksiä, rekisterinpitäjän on pyydettävä vastaanottajalta lisäselvityksiä.

Vastaanottajan on varmistettava, että tietojen siirron tarpeellisuus voidaan myöhemmin todentaa.

3) Vastaanottajan on käsiteltävä henkilötietoja ainoastaan sitä tarkoitusta varten, jonka vuoksi ne on siirretty.

8 artikla

Henkilötietojen siirtäminen vastaanottajille, jotka eivät ole yhteisöjen toimielimiä tai elimiä ja joihin sovelletaan direktiiviä 95/46/EY

Rajoittamatta 4, 5, 6 ja 10 artiklan soveltamista henkilötietoja voidaan siirtää vastaanottajille, joihin sovelletaan direktiivin 95/46/EY täytäntöönpanemiseksi annettua kansallista lainsäädäntöä, ainoastaan, jos:

a) vastaanottaja osoittaa, että tiedot ovat tarpeen yleisen edun vuoksi suoritettavan tai julkisen vallan käyttöön liittyvän toimen toteuttamiseksi; tai

b) vastaanottaja osoittaa, että tietojen siirto on tarpeen, eikä ole syytä olettaa, että rekisteröidyn oikeutetut edut voivat joutua vaaraan.

9 artikla

Henkilötietojen siirtäminen vastaanottajille, jotka eivät ole yhteisöjen toimielimiä tai elimiä ja joihin ei sovelleta direktiiviä 95/46/EY

1. Henkilötietoja voidaan siirtää vastaanottajille, jotka eivät ole yhteisöjen toimielimiä tai elimiä ja joihin ei sovelleta direktiivin 95/46/EY täytäntöönpanemiseksi annettua kansallista lainsäädäntöä, ainoastaan siinä tapauksessa, että vastaanottajan maassa tai vastaanottavassa kansainvälisessä järjestössä varmistetaan tietosuojan riittävä taso ja että tiedot siirretään yksinomaan sen vuoksi, että rekisterinpitäjän toimivaltaan kuuluvien tehtävien hoito tulee mahdolliseksi.

2. Kolmannen maan tai kansainvälisen järjestön antaman tietosuojan tason riittävyys arvioidaan tiedonsiirtotoimen tai tiedonsiirtotoimien sarjaan liittyvien olosuhteiden mukaisesti. Huomiota on kiinnitettävä erityisesti tietojen luonteeseen, suunnitellun yhden tai useamman käsittelytoimen tarkoitukseen ja kestoon, vastaanottajana olevaan kolmanteen maahan tai kansainväliseen järjestöön, kolmannessa maassa voimassa olevaan tai kansainväliseen järjestöön sovellettavaan sekä yleiseen että alakohtaiseen lainsäädäntöön sekä ammatillisiin sääntöihin ja suojatoimenpiteisiin, joita tässä kolmannessa maassa tai kansainvälisessä järjestössä noudatetaan.

3. Yhteisöjen toimielimet ja elimet ilmoittavat komissiolle ja Euroopan tietosuojavaltuutetulle tapauksista, joiden osalta ne katsovat, ettei kyseinen kolmas maa tai kansainvälinen järjestö varmista 2 kohdassa tarkoitettua riittävää suojan tasoa.

4. Komissio ilmoittaa jäsenvaltioille 3 kohdassa tarkoitetuista tapauksista.

5. Yhteisöjen toimielimet tai elimet toteuttavat tarpeelliset toimenpiteet noudattaakseen komission päätöksiä, joilla direktiivin 95/46/EY 25 artiklan 4 ja 6 kohtaa soveltaen todetaan, taataanko tietyssä kolmannessa maassa tai kansainvälisessä järjestössä riittävä tietosuojan taso vai ei.

6. Poiketen siitä, mitä 1 ja 2 kohdassa säädetään, yhteisöjen toimielin tai elin voi siirtää henkilötietoja, jos

a) rekisteröity on yksiselitteisesti antanut suostumuksensa suunniteltuun siirtoon; tai

b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; tai

c) siirto on tarpeen rekisterinpitäjän ja sivullisen välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöön panemiseksi; tai

d) siirto on tarpeen tai laissa edellytetty joko tärkeän yleisen edun johdosta taikka oikeudellisen vaateen perustelemiseksi, esittämiseksi tai puolustamiseksi tuomioistuimessa; tai

e) siirto on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi; tai

f) siirto tehdään rekisteristä, jonka tarkoituksena yhteisön lainsäädännön mukaan on tarjota tietoa yleisölle ja joka on avoin yleisölle tai kenelle tahansa henkilölle, joka voi osoittaa, että kyse on hänen oikeutetusta edustaan, jos yhteisön lainsäädännössä säädetyt tiedonsaannin edellytykset täyttyvät kulloisessakin tapauksessa.

7. Rajoittamatta 6 kohdan soveltamista Euroopan tietosuojavaltuutettu voi sallia yhden tai useamman henkilötietojen siirron sellaiseen kolmanteen maahan tai kansainväliseen järjestöön, joka ei varmista 1 ja 2 kohdassa tarkoitettua riittävää suojan tasoa, jos rekisterinpitäjä pystyy antamaan riittävät takeet rekisteröityjen yksityisyyden sekä perusoikeuksien ja -vapauksien suojan sekä vastaavien oikeuksien toteutumisen osalta. Nämä takeet voivat perustua esimerkiksi asianmukaisiin sopimuslausekkeisiin.

8. Yhteisöjen toimielinten ja elinten on ilmoitettava Euroopan tietosuojavaltuutetulle tietoryhmistä, joiden osalta ne ovat soveltaneet 6 ja 7 kohtaa.

3 JAKSO

TIETOJENKÄSITTELYN ERITYISET RYHMÄT

10 artikla

Erityisiä tietoryhmiä koskeva käsittely

1. Sellaisten henkilötietojen, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä terveyteen ja seksuaaliseen käyttäytymiseen liittyvien tietojen käsittely on kielletty.

2. Edellä 1 kohtaa ei sovelleta, jos

a) rekisteröity on antanut nimenomaisen suostumuksensa tällaiseen tietojen käsittelyyn, paitsi jos 1 kohdassa tarkoitettua kieltoa ei yhteisöjen toimielimen tai elimen sisäisten sääntöjen mukaan voida poistaa rekisteröidyn suostumuksella; tai

b) käsittely on tarpeen rekisterinpitäjän velvollisuuksien ja erityisten oikeuksien täytäntöönpanemiseksi työoikeuden alalla, jos Euroopan yhteisöjen perustamissopimukset tai näiden perustamissopimusten nojalla annetut muut säädökset sen sallivat tai, jos se on tarpeen, Euroopan tietosuojavaltuutettu on hyväksynyt käsittelyn soveltaen riittäviä suojatoimia; tai

c) käsittely on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai

d) käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi, tai jos käsittely on tarpeen oikeudellisen vaateen perustelemiseksi, esittämiseksi tai puolustamiseksi tuomioistuimessa; tai

e) käsittely tehdään lainmukaisen toiminnan yhteydessä ja soveltaen asianmukaisia suojatoimia ja sen suorittaa voittoa tavoittelematon elin, joka muodostaa yhteisöjen toimielimeen tai elimeen kuuluvan kokonaisuuden, johon ei sovelleta direktiivin 95/46/EY 4 artiklan mukaista kansallista tietosuojalainsäädäntöä ja jolla on poliittisia, filosofisia, uskonnollisia tai ammattiyhdistystoimintaan liittyviä tavoitteita, edellyttäen, että tietojen käsittely koskee ainoastaan tämän elimen jäseniä tai sellaisia henkilöitä, jotka ovat siihen säännöllisessä yhteydessä ja edellyttäen, että tietoja ei luovuteta sivullisille ilman rekisteröityjen suostumusta.

3. Edellä 1 kohtaa ei sovelleta, jos tietojen käsittely on tarpeen ennaltaehkäisevää lääketiedettä, lääketieteellisiä diagnooseja, hoidon tai käsittelyn suorittamista taikka terveydenhuollon palvelujen hallintoa koskevia tarkoituksia varten ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut henkilö, jota koskee salassapitovelvollisuus, tai muu henkilö, jolla on vastaava velvoite.

4. Sillä edellytyksellä, että asianmukaiset suojatoimet toteutetaan, voidaan Euroopan yhteisöjen perustamissopimusten tai näiden perustamissopimusten nojalla annettujen muiden säädösten perusteella tai, jos se on tarpeen, Euroopan tietosuojavaltuutetun päätöksellä tärkeää yleistä etua koskevasta syystä vahvistaa muita poikkeuksia 2 kohdassa säädettyjen lisäksi.

5. Rikoksiin, rikosasioissa annettuihin tuomioihin tai turvallisuutta koskeviin toimenpiteisiin liittyvä tietojen käsittely voidaan suorittaa ainoastaan, jos Euroopan yhteisöjen perustamissopimukset tai näiden perustamissopimusten nojalla annetut muut säädökset sallivat sen, tai, jos se on tarpeen, Euroopan tietosuojavaltuutettu antaa siihen luvan edellyttäen, että noudatetaan asianmukaisia erityisiä suojatoimia.

6. Euroopan tietosuojavaltuutettu määrittelee edellytykset, joilla henkilönumeroa tai muuta yleisesti käytettyä tunnistetta voidaan käsitellä yhteisöjen toimielimessä tai elimessä.

4 JAKSO

REKISTERÖIDYLLE ANNETTAVAT TIEDOT

11 artikla

Tietojen antaminen kerättäessä tietoja rekisteröidyltä

1. Rekisterinpitäjän on toimitettava henkilölle, jolta se kerää tätä koskevia tietoja, ainakin seuraavat tiedot, jolleivat ne jo ole henkilön tiedossa:

a) rekisterinpitäjän henkilöllisyys;

b) sen tietojenkäsittelyn tarkoitus, johon tiedot on tarkoitettu;

c) tietojen vastaanottajat tai vastaanottajaryhmät;

d) tieto sitä, onko kysymyksiin vastaaminen pakollista vai vapaaehtoista, sekä vastaamatta jättämisen mahdolliset seuraukset;

e) tieto henkilön oikeudesta saada itseään koskevia tietoja ja oikaista niitä;

f) mahdolliset lisätiedot, kuten

i) sen käsittelyn oikeusperusta, johon tiedot on tarkoitettu;

ii) tietojen säilyttämisen aikarajat;

iii) oikeus saattaa asia milloin tahansa Euroopan tietosuojavaltuutetun käsiteltäväksi,

siltä osin kuin nämä lisätiedot ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn varmistamiseksi ottaen huomioon erityiset olosuhteet, joissa tiedot kerätään.

2. Poiketen siitä, mitä 1 kohdassa säädetään, tiedon tai sen osan, 1 kohdan a, b ja d alakohdassa tarkoitettuja tietoja lukuun ottamatta, antamista voidaan lykätä niin pitkään kuin tämä on tarpeen tilastollisista syistä. Tieto on toimitettava heti kun syy, jonka perusteella tietoa ei ole annettu, on lakannut olemasta.

12 artikla

Tietojen antaminen kerättäessä tietoja muualta kuin rekisteröidyltä

1. Jos tietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on henkilötietoja rekisteröitäessä tai, jos tietoja aiotaan luovuttaa sivulliselle, viimeistään silloin, kun tietoja ensi kerran luovutetaan, annettava rekisteröidylle ainakin seuraavat tiedot, jolleivat ne jo ole henkilön tiedossa:

a) rekisterinpitäjän henkilöllisyys;

b) tietojenkäsittelyn tarkoitus;

c) kyseessä olevat tietoryhmät;

d) tietojen vastaanottajat tai vastaanottajaryhmät;

e) tieto henkilön oikeudesta saada itseään koskevia tietoja ja oikaista niitä;

f) mahdolliset lisätiedot, kuten:

i) sen käsittelyn oikeusperusta, johon tiedot on tarkoitettu;

ii) tietojen säilyttämisen aikarajat;

iii) oikeus saattaa asia milloin tahansa Euroopan tietosuojavaltuutetun käsiteltäväksi;

iv) tietojen alkuperä, paitsi jos rekisterinpitäjä ei voi paljastaa tätä tietoa salassapitovelvollisuuteen liittyvistä syistä,

siltä osin kuin nämä lisätiedot ovat tarpeen rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn varmistamiseksi ottaen huomioon erityiset olosuhteet, joissa tietoja käsitellään.

2. Edellä 1 kohtaa ei sovelleta, jos erityisesti tilastollisia tarkoituksia tai historiallista tai tieteellistä tutkimusta varten suoritettavan käsittelyn osalta tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa tai jos yhteisön lainsäädännössä nimenomaisesti säädetään tietojen tallentamisesta tai luovuttamisesta. Tällöin on yhteisöjen toimielimen tai elimen huolehdittava asianmukaisista suojatoimista kuultuaan Euroopan tietosuojavaltuutettua.

5 JAKSO

REKISTERÖIDYN OIKEUDET

13 artikla

Tiedonsaantioikeus

Rekisteröidyllä on oikeus saada milloin tahansa esteittä rekisterinpitäjältä kolmen kuukauden kuluessa pyynnön vastaanottamisesta ja maksutta

a) vahvistus siitä, käsitelläänkö häntä koskevia tietoja vai ei;

b) tiedot ainakin käsittelyn tarkoituksesta, käsiteltävistä tietoryhmistä ja tietojen vastaanottajista tai vastaanottajaryhmistä, joille tiedot luovutetaan;

c) käsiteltävät tiedot itselleen ymmärrettävässä muodossa sekä kaikki tietojen alkuperästä käytettävissä olevat tiedot;

d) tiedot häntä koskevaan automaattiseen tietojenkäsittelyyn liittyvistä perusteista.

14 artikla

Oikaisu

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä oikaisee viivytyksettä virheelliset tai puutteelliset henkilötiedot.

15 artikla

Suojaaminen

1. Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä suojaa tiedot, jos

a) rekisteröity kiistää tietojen paikkansapitävyyden, jolloin tiedot suojataan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden ja täydellisyyden; tai

b) rekisterinpitäjä ei enää tarvitse niitä tehtäviensä suorittamiseen, mutta ne on säilytettävä todistelua varten; tai

c) käsittely on laitonta ja rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden suojaamista.

2. Automaattisissa rekisteröintijärjestelmissä suojaaminen varmistetaan pääasiassa teknisin keinoin. Henkilötietojen suojaaminen on ilmaistava järjestelmässä siten, että käy selvästi ilmi, ettei henkilötietoja voida käyttää.

3. Tämän artiklan mukaisesti suojattuja henkilötietoja voidaan käsitellä tallentamista lukuun ottamatta ainoastaan joko todistelua varten, rekisteröidyn suostumuksella tai sivullisen oikeuksien suojaamiseksi.

4. Rekisterinpitäjän on ilmoitettava edeltäkäsin suojauksen poistamisesta rekisteröidylle, joka on pyytänyt tietojensa suojaamista, ja jonka tiedot on suojattu.

16 artikla

Poistaminen

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä poistaa tiedot, jos niiden käsittely on laitonta ja erityisesti jos rikotaan II luvun 1, 2 ja 3 jakson säännöksiä.

17 artikla

Ilmoitus sivullisille

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä ilmoittaa sivullisille, joille tietoja on luovutettu, kaikista 13-16 artiklan mukaisista oikaisuista, poistamisista tai suojaamisista, lukuun ottamatta tilanteita, joissa tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa.

18 artikla

Rekisteröidyn oikeus vastustaa henkilötietojensa käsittelyä

Rekisteröidyllä on oikeus:

a) milloin tahansa vastustaa itseään koskevien tietojen käsittelyä tilanteeseensa liittyvien huomattavan tärkeiden ja perusteltujen syiden vuoksi paitsi 5 artiklan b, c ja d alakohdassa tarkoitetuissa tapauksissa. Jos vastustus on perusteltua, kyseisiä tietoja ei enää voida käsitellä;

b) saada ilmoitus ennen kuin henkilötietoja ensi kerran luovutetaan sivulliselle tai käytetään sivullisen lukuun suoramarkkinointitarkoituksessa, ja saada nimenomaisesti oikeus korvauksetta vastustaa mainittua luovutusta tai käyttöä.

19 artikla

Automaattiset yksittäispäätökset

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, jolla on häneen nähden oikeusvaikutuksia tai joka vaikuttaa häneen merkittävällä tavalla ja joka on tehty ainoastaan sellaisten tietojen automaattisen käsittelyn perusteella, jotka on tarkoitettu hänen tiettyjen henkilökohtaisten ominaisuuksiensa, kuten hänen ammatillisen suorituskykynsä, luotettavuutensa tai käyttäytymisensä arviointiin, jollei päätös nimenomaisesti ole kansallisessa tai yhteisön lainsäädännössä sallittu tai, jos se on tarpeen, Euroopan tietosuojavaltuutettu ole antanut siihen suostumusta. Molemmissa tapauksissa on toteutettava rekisteröidyn oikeutetut edut takaavia toimenpiteitä, kuten järjestelyjä, joiden avulla hän voi esittää näkemyksensä.

6 JAKSO

POIKKEUKSET JA RAJOITUKSET

20 artikla

Poikkeukset ja rajoitukset

1. Yhteisöjen toimielimet ja elimet voivat rajoittaa 4 artiklan 1 kohdan, 11 artiklan, 12 artiklan 1 kohdan, 13-17 artiklan ja 37 artiklan 1 kohdan soveltamista, jos tällainen rajoitus on välttämätön, jotta turvataan:

a) rikosten torjunta, tutkinta, selvittäminen ja syytteeseenpano;

b) jäsenvaltiolle tai Euroopan yhteisöille tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahapolitiikkaa, talousarviota ja verotusta koskevat asiat;

c) rekisteröidyn suojelu tai muiden henkilöiden oikeuksien ja vapauksien suojelu;

d) jäsenvaltioiden kansallinen turvallisuus, yleinen turvallisuus ja puolustus;

e) sellaiset valvonta-, tarkastus- ja sääntelytehtävät, jotka liittyvät, vaikka vain satunnaisesti, julkisen vallan käyttämiseen a ja b alakohdassa tarkoitetuissa tapauksissa.

2. Mitä 13-16 artiklassa säädetään, ei sovelleta, jos tietoja käsitellään yksinomaan tieteellistä tutkimusta varten tai säilytetään henkilötietojen muodossa ainoastaan niin kauan kuin on tarpeen tilastojen luomiseksi, edellyttäen, ettei rekisteröidyn yksityisyys millään tavoin vaarannu ja että rekisterinpitäjä antaa asianmukaiset oikeudelliset takeet erityisesti sen varmistamiseksi, ettei tietoja voida käyttää tiettyä henkilöä koskevien toimenpiteiden toteuttamiseen tai päätösten tekemiseen.

3. Jos jotain 1 kohdassa säädettyä rajoitusta sovelletaan, rekisteröidylle on ilmoitettava yhteisön lainsäädännön mukaisesti pääasialliset syyt rajoituksen soveltamiseen, sekä se, että hänellä on oikeus saattaa asia Euroopan tietosuojavaltuutetun käsiteltäväksi.

4. Jos johonkin 1 kohdassa säädettyyn rajoitukseen vedotaan tiedonsaantioikeuden epäämiseksi rekisteröidyltä, Euroopan tietosuojavaltuutettu ilmoittaa hänelle kantelua tutkiessaan ainoastaan, onko tietojenkäsittely suoritettu moitteettomasti ja, jos näin ei ole, onko tarpeelliset oikaisut tehty.

5. Edellä 3 ja 4 kohdassa tarkoitettua ilmoittamista voidaan lykätä niin kauan kuin ilmoittaminen tekisi 1 kohdan nojalla sovellettavan rajoituksen tehottomaksi.

7 JAKSO

KÄSITTELYN LUOTTAMUKSELLISUUS JA TURVALLISUUS

21 artikla

Käsittelyn luottamuksellisuus

Yhteisöjen toimielimen tai elimen palveluksessa oleva henkilö tai yhteisöjen toimielimet tai elimet, jotka itse toimivat käsittelijöinä, ja joilla on pääsy henkilötietoihin, eivät saa käsitellä näitä tietoja muutoin kuin rekisterinpitäjän ohjeiden mukaisesti, paitsi jos kansallisessa tai yhteisön oikeudessa tätä edellytetään.

22 artikla

Käsittelyn turvallisuus

1. Ottaen huomioon tekniikan taso ja toimenpiteiden toteuttamiseen liittyvät kustannukset, rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sellaisen turvallisuustason varmistamiseksi, joka on asianmukainen suhteessa käsittelyn aiheuttamiin vaaroihin ja suojattavien henkilötietojen luonteeseen.

Tällaiset toimenpiteet on toteutettava erityisesti luvattoman luovuttamisen tai pääsyn, tahattoman tai laittoman tuhoamisen tai vahingossa tapahtuvan häviämisen taikka muuttamisen tai minkä tahansa muun laittoman käsittelytavan estämiseksi.

2. Kun henkilötietoja käsitellään automaattisesti, on toteutettava vaarojen kannalta tarpeelliset toimenpiteet, joiden tavoitteena on erityisesti:

a) estää asiattomien henkilöiden pääsy henkilötietoja käsitteleviin tietojärjestelmiin;

b) estää tallennusvälineen luvaton lukeminen, jäljentäminen, muuttaminen tai siirtäminen;

c) estää tietojen luvaton tallentaminen sekä tallennettujen henkilötietojen luvaton luovuttaminen, muuttaminen tai poistaminen;

d) estää asiattomien henkilöiden tiedonsiirtokeinojen avulla suorittama tietojenkäsittelyjärjestelmien käyttö;

e) varmistaa, että tietojenkäsittelyjärjestelmän käyttöön oikeutetut henkilöt eivät voi päästä muihin kuin niihin henkilötietoihin, joihin heillä on kyselyoikeus;

f) tallentaa tieto siitä, mitkä henkilötiedot on ilmoitettu, ilmoituksen ajankohta ja vastaanottaja;

g) varmistaa, että myöhemmin on mahdollista tarkistaa mitä henkilötietoja on käsitelty, mihin aikaan ja kenen toimesta;

h) varmistaa, että sivullisen lukuun käsiteltäviä henkilötietoja voidaan käsitellä ainoastaan sopimuksesta vastaavan toimielimen tai elimen määräämällä tavalla;

i) varmistaa, ettei tietoja voida henkilötietoja ilmoitettaessa ja tallennuslaitteiden kuljetuksen aikana lukea, kopioida tai poistaa ilman lupaa;

j) suunnitella toimielimen tai elimen sisäinen organisatorinen rakenne siten, että se vastaa tietosuojan erityisvaatimuksia.

23 artikla

Rekisterinpitäjän lukuun suoritettava henkilötietojen käsittely

1. Kun käsittely suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen käsittelijä, joka antaa riittävät takeet käsittelyyn liittyvistä 22 artiklassa edellytetyistä teknisistä ja organisatorisista turvatoimista, ja huolehdittava, että nämä toimet toteutetaan asianmukaisesti.

2. Käsittelijän toimesta suoritettavaa käsittelyä on säänneltävä sopimuksella tai oikeudellisella asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään ja jossa erityisesti määrätään, että

a) käsittelijä toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti; ja

b) myös käsittelijän on noudatettava 21 ja 22 artiklassa säädettyjä velvoitteita, jollei direktiivin 95/46/EY 16 artiklan tai 17 artiklan 3 kohdan toisen luetelmakohdan nojalla käsittelijään jo sovelleta jonkin jäsenvaltion kansallisessa lainsäädännössä vahvistettuja luottamuksellisuutta ja turvallisuutta koskevia velvollisuuksia.

3. Todisteiden säilyttämiseksi on sopimusten ja oikeudellisten asiakirjojen osien, jotka liittyvät tietosuojaan ja 22 artiklassa tarkoitettuja toimenpiteitä koskeviin vaatimuksiin, oltava kirjallisia tai muussa vastaavassa muodossa.

8 JAKSO

TIETOSUOJASTA VASTAAVA HENKILÖ

24 artikla

Tietosuojasta vastaavan henkilön nimittäminen ja tehtävät

1. Kunkin yhteisöjen toimielimen ja yhteisöjen elimen on nimitettävä vähintään yksi henkilötietosuojasta vastaava henkilö. Tämän tehtävänä on:

a) varmistaa, että rekisterinpitäjille ja rekisteröidyille tiedotetaan heidän tästä asetuksesta johtuvista oikeuksistaan ja velvollisuuksistaan;

b) vastata Euroopan tietosuojavaltuutetun kysymyksiin ja olla toimivaltansa rajoissa yhteistyössä Euroopan tietosuojavaltuutetun kanssa tämän pyynnöstä tai omasta aloitteestaan;

c) varmistaa itsenäisesti tämän asetuksen säännösten soveltaminen toimielimen tai elimen sisällä;

d) pitää rekisterinpitäjän suorittamista käsittelyistä rekisteriä, joka sisältää 25 artiklan 2 kohdassa tarkoitetut tiedot;

e) ilmoittaa Euroopan tietosuojavaltuutetulle sellaisista käsittelyistä, joihin saattaa liittyä erityisiä 27 artiklassa tarkoitettuja riskejä.

Siten hän varmistaa, että käsittely ei loukkaa rekisteröityjen oikeuksia ja vapauksia.

2. Tietosuojasta vastaava henkilö valitaan hänen henkilökohtaisten ominaisuuksiensa ja ammatillisen pätevyytensä sekä tietosuojaa koskevan erityisen asiantuntemuksensa perusteella.

3. Tietosuojasta vastaavan henkilön valinta ei saa aiheuttaa mahdollista eturistiriitaa tietosuojasta vastaavan henkilön tämän aseman ja hänen muiden virkavelvollisuuksiensa välille, erityisesti tämän asetuksen säännöksiä sovellettaessa.

4. Tietosuojasta vastaava henkilö nimitetään toimikaudeksi, jonka pituus on kahdesta viiteen vuotta. Hänet voidaan nimittää uudeksi toimikaudeksi kuitenkin niin, että yhteenlaskettu toimikausi voi olla enintään kymmenen vuotta. Jos tietosuojasta vastaava henkilö ei enää täytä tehtäviensä suorittamiseksi vaadittavia edellytyksiä, hänet nimittänyt yhteisöjen toimielin tai elin voi erottaa hänet, kuitenkin ainoastaan Euroopan tietosuojavaltuutetun suostumuksella.

5. Nimittämisen jälkeen tietosuojasta vastaavan henkilön nimittäneen toimielimen tai elimen on ilmoitettava hänen nimensä Euroopan tietosuojavaltuutetulle.

6. Tietosuojasta vastaavan henkilön nimittäneen yhteisöjen toimielimen tai elimen on järjestettävä hänen käyttöönsä henkilöstön ja tarvittavat resurssit, joita hänen tehtäviensä suorittaminen edellyttää.

7. Tietosuojasta vastaava henkilö ei saa vastaanottaa mitään tehtäviensä suorittamista koskevia ohjeita.

8. Kukin yhteisöjen toimielin tai elin antaa täytäntöönpanoa koskevat tarkemmat säännöt liitteessä olevien säännösten mukaisesti. Nämä tarkemmat säännöt liittyvät erityisesti tietosuojasta vastaavan henkilön tehtäviin, velvollisuuksiin ja toimivaltuuksiin.

25 artikla

Tietosuojasta vastaavalle henkilölle tehtävä ilmoitus

1. Rekisterinpitäjän on annettava tietosuojasta vastaavalle henkilölle ilmoitus ennen kuin toteutetaan käsittely tai käsittelyjen sarja, joilla on sama tarkoitus tai useita toisiinsa liittyviä tarkoituksia.

2. Ilmoitettavien tietojen on sisällettävä:

a) rekisterinpitäjän nimi ja osoite sekä maininta toimielimen tai elimen yksiköistä, joiden tehtävänä on henkilötietojen käsittely tiettyyn tarkoitukseen;

b) käsittelyn tarkoitus tai tarkoitukset;

c) kuvaus rekisteröityjen ryhmästä tai ryhmistä sekä heihin liittyvistä tiedoista tai tietoryhmistä;

d) sen käsittelyn oikeusperusta, johon tiedot on tarkoitettu;

e) vastaanottajat tai vastaanottajaryhmät, joille tiedot mahdollisesti luovutetaan;

f) yleinen maininta eri tietoryhmien suojaamisen ja poistamisen määräpäivistä;

g) aiotut tietojen siirrot kolmansiin maihin tai kansainvälisiin järjestöihin;

h) yleiskuvaus, jonka perusteella voidaan alustavasti arvioida käsittelyn turvallisuuden varmistamiseksi 22 artiklan mukaisesti toteutettavien toimenpiteiden asianmukaisuus.

3. Kaikista 2 kohdassa tarkoitettuihin tietoihin vaikuttavista muutoksista ilmoitetaan viipymättä tietosuojasta vastaavalle henkilölle.

26 artikla

Rekisteri

Kunkin tietosuojasta vastaavan henkilön on pidettävä rekisteriä 25 artiklan mukaisesti ilmoitetuista käsittelytoimista.

Rekisterien on sisällettävä ainakin 25 artiklan 2 kohdan a-g alakohdassa tarkoitetut tiedot. Kuka tahansa saa suorittaa kyselyjä näistä rekistereistä suoraan tai välillisesti Euroopan tietosuojavaltuutetun kautta.

9 JAKSO

EUROOPAN TIETOSUOJAVALTUUTETUN SUORITTAMA ENNAKKOTARKASTUS JA YHTEISTYÖVELVOLLISUUS

27 artikla

Ennakkotarkastus

1. Euroopan tietosuojavaltuutetun on tarkastettava ennakolta ne käsittelyt, joihin saattaa liittyä erityisiä rekisteröityjen oikeuksiin ja vapauksiin liittyviä vaaroja käsittelyjen luonteen, laajuuden tai tarkoitusten vuoksi.

2. Seuraaviin käsittelyihin saattaa liittyä tällaisia vaaroja:

a) terveyteen sekä rikoksia koskeviin epäilyihin, rikoksiin, rikosasioissa annettaviin tuomioihin tai turvaamistoimiin liittyvät tietojenkäsittelyt;

b) käsittelyt, joiden tarkoituksena on arvioida rekisteröityjen henkilökohtaisia ominaisuuksia, kuten heidän pätevyyttään, suorituskykyään tai käyttäytymistään;

c) käsittelyt, jotka mahdollistavat eri tarkoituksia varten käsiteltyjen tietojen sellaisen yhdistämisen, jota koskevia säännöksiä ei ole kansallisessa tai yhteisön lainsäädännössä;

d) käsittelyt, joiden tarkoituksena on henkilön jättäminen ilman tiettyä oikeutta, etuutta tai sopimusta.

3. Euroopan tietosuojavaltuutettu tekee ennakkotarkastuksia sen jälkeen, kun hän on saanut ilmoituksen tietosuojasta vastaavalta henkilöltä, jonka on neuvoteltava Euroopan tietosuojavaltuutetun kanssa, jos ennakkotarkastuksen tarpeellisuudesta on epäselvyyttä.

4. Euroopan tietosuojavaltuutettu antaa lausuntonsa kahden kuukauden kuluessa ilmoituksen saamisesta. Tämän määräajan kuluminen voidaan keskeyttää, kunnes Euroopan tietosuojavaltuutettu on saanut pyydetyt lisätiedot. Jos asian monimutkaisuus sitä edellyttää, tätä määräaikaa voidaan Euroopan tietosuojavaltuutetun päätöksellä pidentää uudella kahden kuukauden määräajalla. Tästä päätöksestä on ilmoitettava rekisterinpitäjälle ennen alkuperäisen kahden kuukauden määräajan päättymistä.

Jos lausuntoa ei ole annettu kahden kuukauden määräajan kuluessa, jota on mahdollisesti pidennetty, sen katsotaan olevan myönteinen.

Jos ilmoitetulla käsittelyllä Euroopan tietosuojavaltuutetun lausunnon mukaan saatetaan rikkoa tämän asetuksen jotakin säännöstä, hänen on tarvittaessa tehtävä ehdotuksia tämän rikkomisen välttämiseksi. Jos rekisterinpitäjä ei tämän johdosta muuta käsittelyä, Euroopan tietosuojavaltuutettu voi käyttää hänelle 47 artiklan 1 kohdassa uskottua toimivaltaansa.

5. Euroopan tietosuojavaltuutettu pitää rekisteriä kaikista hänelle 2 kohdan nojalla ilmoitetuista käsittelyistä. Rekisterin on sisällettävä 25 artiklassa tarkoitetut tiedot. Rekisteri on vapaasti yleisön saatavilla.

28 artikla

Kuuleminen

1. Yhteisöjen toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle suunnittelemistaan henkilötietojen käsittelyä koskevista hallinnollisista toimenpiteistä, joissa on osallisena yhteisöjen toimielin tai elin yksin tai yhdessä muiden kanssa.

2. Kun komissio antaa yksilöiden oikeuksien ja vapauksien suojeluun henkilötietojen käsittelyssä liittyvän lainsäädäntöä koskevan ehdotuksen, se kuulee Euroopan tietosuojavaltuutettua.

29 artikla

Ilmoittamisvelvollisuus

Yhteisöjen toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle toimenpiteistä, joita on toteutettu 46 artiklan h kohdassa tarkoitettujen tietosuojavaltuutetun päätösten tai lupien johdosta.

30 artikla

Velvollisuus toimia yhteistyössä

Rekisterinpitäjien on avustettava Euroopan tietosuojavaltuutettua hänen pyynnöstään hänen tehtäviensä suorittamisessa, erityisesti antamalla hänelle 47 artiklan 2 kohdan a alakohdassa tarkoitetut tiedot ja 47 artiklan 2 kohdan b alakohdassa tarkoitettu pääsy.

31 artikla

Velvollisuus vastata väitteisiin

Asianomaisen rekisterinpitäjän on ilmoitettava Euroopan tietosuojavaltuutetulle näkemyksensä tämän asettamassa kohtuullisessa määräajassa, kun Euroopan tietosuojavaltuutettu käyttää 47 artiklan 1 kohdan b alakohdan mukaista toimivaltaansa. Annettavan lausunnon on sisällettävä myös kuvaus mahdollisista toimenpiteistä, jotka on tarvittaessa toteutettu Euroopan tietosuojavaltuutetun huomautusten johdosta.

III LUKU

OIKEUSKEINOT

32 artikla

Oikeuskeinot

1. Euroopan yhteisöjen tuomioistuimella on toimivalta ratkaista kaikki riidat, jotka koskevat tämän asetuksen säännöksiä, mukaan lukien vahingonkorvausvaatimukset.

2. Rajoittamatta muiden oikeussuojakeinojen käyttöä jokainen rekisteröity voi tehdä kantelun Euroopan tietosuojavaltuutetulle, jos hän katsoo, että hänelle perustamissopimuksen 286 artiklan nojalla kuuluvia oikeuksia on loukattu yhteisöjen toimielimen tai elimen suorittaman, hänen henkilötietojaan koskevan käsittelyn seurauksena.

Jos Euroopan tietosuojavaltuutettu ei ole antanut vastausta kuuden kuukauden kuluessa, kantelu katsotaan hylätyksi.

3. Euroopan tietosuojavaltuutetun päätöksiin voidaan hakea muutosta Euroopan yhteisöjen tuomioistuimelta.

4. Henkilöllä, jolle on aiheutunut vahinkoa laittomasta käsittelystä tai tämän asetuksen vastaisesta toimesta, on oikeus saada korvaus aiheutuneesta vahingosta perustamissopimuksen 288 artiklan mukaisesti.

33 artikla

Yhteisöjen henkilöstön kantelut

Jokainen yhteisöjen toimielinten tai elinten palveluksessa oleva voi esittää Euroopan tietosuojavaltuutetulle henkilötietojen käsittelyä koskevien tämän asetuksen säännösten väitettyä rikkomista koskevan kantelun käyttämättä virkatietä. Kenellekään ei saa aiheutua haittaa sellaisen Euroopan tietosuojavaltuutetulle esitetyn kantelun johdosta, jossa väitetään, että henkilötietojen käsittelyä koskevia säännöksiä on rikottu.

IV LUKU

HENKILÖTIETOJEN JA YKSITYISYYDEN SUOJA SISÄISISSÄ TELEVIESTINTÄVERKOISSA

34 artikla

Soveltamisala

Tätä lukua sovelletaan niiden henkilötietojen käsittelyyn, jotka liittyvät sellaisten televiestintäverkkojen tai telepäätelaitteiden käyttöön, jotka toimivat yhteisöjen toimielimen tai elimen valvonnassa, sanotun kuitenkaan rajoittamatta tämän asetuksen muiden säännösten soveltamista.

Tässä luvussa "käyttäjällä" tarkoitetaan luonnollista henkilöä, joka käyttää yhteisöjen toimielimen tai elimen valvonnassa toimivaa televiestintäverkkoa tai telepäätelaitetta.

35 artikla

Turvallisuus

1. Yhteisöjen toimielimet ja elimet toteuttavat tarvittavat tekniset ja organisatoriset toimenpiteet varmistaakseen televiestintäverkkojen ja telepäätelaitteiden turvallisen käytön tarvittaessa yhdessä yleisesti saatavilla olevien telepalvelujen tarjoajien ja/tai yleisen televiestintäverkon tarjoajien kanssa. Näiden toimenpiteiden on oltava sellaisia, joilla varmistetaan olemassa olevaan vaaraan nähden suhteutettu turvallisuustaso ottaen huomioon tekniikan viimeisimmät keinot ja toimenpiteiden käyttöönottokustannukset.

2. Jos on olemassa erityinen vaara, jonka vuoksi verkon ja telepäätelaitteiden turvallisuutta ei voida enää taata, yhteisöjen toimielin tai elin ilmoittaa käyttäjille tällaisesta vaarasta ja keinoista sen poistamiseksi sekä muista käytettävissä olevista viestintäkeinoista.

36 artikla

Viestinnän luottamuksellisuus

Yhteisöjen toimielimet ja elimet varmistavat televiestintäverkon ja telepäätelaitteiden välityksellä tapahtuvan viestinnän luottamuksellisuuden yhteisön oikeuden yleisiä periaatteita noudattaen.

37 artikla

Liikenne- ja laskutustiedot

1. Käyttäjiä koskevat liikennetiedot, joita käsitellään ja tallennetaan puhelujen ja muiden yhteyksien muodostamiseksi televiestintäverkossa, on poistettava tai tehtävä nimettömiksi heti puhelun tai muun yhteyden päätyttyä, sanotun kuitenkaan rajoittamatta 2, 3 ja 4 kohdan soveltamista.

2. Liikennetietoja sellaisina, kuin ne esitetään Euroopan tietosuojavaltuutetun hyväksymässä luettelossa, voidaan tarvittaessa käsitellä televiestinnän talousarvion ja liikenteen hallintaa varten, mukaan lukien televiestintäjärjestelmän luvallisen käytön tarkistaminen. Nämä tiedot on poistettava tai tehtävä nimettömiksi mahdollisimman pian ja viimeistään kuusi kuukautta niiden keräämisen jälkeen, jollei ole tarpeen säilyttää niitä pitempään tuomioistuimessa käsiteltävän oikeudellisen vaateen perustelemiseksi, esittämiseksi tai puolustamiseksi.

3. Liikenne- ja laskutustietojen käsittelyä voivat suorittaa ainoastaan laskutuksesta, liikenteestä tai talousarviohallinnosta vastaavat henkilöt.

4. Televiestintäverkkojen käyttäjillä on oikeus saada laskunsa tai muut selvitykset suoritetuista puheluista erittelemättöminä.

38 artikla

Tilaajaluettelot

1. Painetuissa tai sähköisissä käyttäjien luetteloissa olevat henkilötiedot sekä pääsy näihin luetteloihin on rajoitettava siihen, mikä on välttämätöntä luettelolle ominaisten tarkoitusten kannalta.

2. Yhteisöjen toimielimet ja elimet toteuttavat kaikki tarvittavat toimenpiteet estääkseen näiden luetteloiden sisältämien henkilötietojen käytön suoramarkkinointitarkoituksiin riippumatta siitä, ovatko luettelot yleisön saatavilla vai eivät.

39 artikla

Kutsuvan numeron ja kytketyn numeron näyttö ja näytön estäminen

1. Jos kutsuvan numeron näyttöä tarjotaan, kutsuvalla käyttäjällä on oltava mahdollisuus poistaa helposti ja maksutta kutsuvan numeron näyttö.

2. Jos kutsuvan numeron näyttöä tarjotaan, kytketyllä käyttäjällä on oltava mahdollisuus estää helposti ja maksutta tulevien puhelujen kutsuvan numeron näyttö.

3. Jos kytketyn numeron näyttöä tarjotaan, kytketyllä käyttäjällä on oltava mahdollisuus helposti ja maksutta estää kytketyn numeron näyttö kutsuvalle käyttäjälle.

4. Jos kutsuvan tai kytketyn numeron näyttöä tarjotaan, yhteisöjen toimielimet ja elimet ilmoittavat siitä ja 1, 2 ja 3 kohdassa säädetyistä mahdollisuuksista käyttäjille.

40 artikla

Poikkeukset

Yhteisöjen toimielimet ja elimet varmistavat, että on avoimia menettelyjä, joita käyttäen kutsuvan numeron näytön esto voidaan ohittaa:

a) väliaikaisesti, jos käyttäjä pyytää ilkivaltaisten puhelujen tai häirintäsoittojen jäljittämistä; ja

b) liittymäkohtaisesti hätäkutsuja käsitteleville organisaatioille tällaisiin kutsuihin vastaamiseksi.

V LUKU

RIIPPUMATON VALVONTAVIRANOMAINEN: EUROOPAN TIETOSUOJAVALTUUTETTU

41 artikla

Euroopan tietosuojavaltuutettu

1. Perustetaan riippumaton valvontaviranomainen, jota kutsutaan Euroopan tietosuojavaltuutetuksi.

2. Henkilötietojen käsittelyn osalta Euroopan tietosuojavaltuutetun tehtävänä on varmistaa, että yhteisöjen toimielimet ja elimet kunnioittavat luonnollisten henkilöiden perusoikeuksia ja -vapauksia, erityisesti heidän oikeuttaan yksityisyyteen.

Euroopan tietosuojavaltuutetun tehtävänä on seurata tämän asetuksen sellaisten säännösten ja muiden sellaisten yhteisön säädösten, jotka koskevat luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua, soveltamista ja huolehtia niiden täytäntöönpanosta yhteisöjen toimielimen tai elimen suorittaman henkilötietojen käsittelyn osalta sekä antaa ohjeita yhteisöjen toimielimille ja elimille sekä rekisteröidyille kaikista henkilötietojen käsittelyä koskevista seikoista. Tätä varten tietosuojavaltuutettu suorittaa 46 artiklassa säädettyjä tehtäviä ja käyttää 47 artiklassa annettua toimivaltaa.

42 artikla

Nimittäminen

1. Euroopan parlamentti ja neuvosto nimittävät yhteisellä sopimuksella Euroopan tietosuojavaltuutetun viiden vuoden toimikaudeksi komission julkisen hakumenettelyn johdosta laatiman luettelon pohjalta.

Apulaistietosuojavaltuutettu nimitetään samaa menettelyä käyttäen ja samaksi ajaksi. Hän avustaa tietosuojavaltuutettua tämän kaikissa tehtävissä ja toimii hänen sijaisenaan, kun tietosuojavaltuutettu on poissa tai estynyt.

2. Euroopan tietosuojavaltuutettu valitaan sellaisten henkilöiden joukosta, joiden riippumattomuudesta ei ole epäilystä, ja joilla on yleisesti tunnustettu kokemus ja pätevyys Euroopan tietosuojavaltuutetun tehtävien hoitamiseen esimerkiksi sen johdosta, että he kuuluvat tai ovat kuuluneet direktiivin 95/46/EY 28 artiklassa tarkoitettuihin valvontaviranomaisiin.

3. Euroopan tietosuojavaltuutettu voidaan nimittää uudeksi toimikaudeksi.

4. Euroopan tietosuojavaltuutetun tehtävät päättyvät, kun hänen tilalleen on asianmukaisesti nimitetty toinen henkilö, kun hän kuolee tai eroaa, tai kun hänet erotetaan 5 kohdan mukaisesti.

5. Yhteisöjen tuomioistuin voi Euroopan parlamentin, neuvoston ja komission hakemuksesta erottaa Euroopan tietosuojavaltuutetun tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan rikkomukseen.

6. Kun on kyse asianmukaisesta uudesta nimittämisestä tai vapaaehtoisesta tehtävästä luopumisesta, Euroopan tietosuojavaltuutettu jatkaa kuitenkin tehtävässään, kunnes hänen tilalleen on nimitetty toinen henkilö.

7. Euroopan yhteisöjen erioikeuksia ja vapauksia koskevan pöytäkirjan 12-15 sekä 18 artiklaa sovelletaan myös Euroopan tietosuojavaltuutettuun.

8. Edellä 2-7 kohtaa sovelletaan apulaistietosuojavaltuutettuun.

43 artikla

Euroopan tietosuojavaltuutetun tehtävien hoitamista koskeva ohjesääntö ja yleiset ehdot sekä henkilöstö ja rahoitus

1. Euroopan parlamentti, neuvosto ja komissio vahvistavat yhteisellä sopimuksella Euroopan tietosuojavaltuutetun tehtävien hoitamista koskevan ohjesäännön ja yleiset ehdot sekä erityisesti hänelle suoritettavan palkan, lisät ja muut taloudelliset edut.

2. Budjettivallan käyttäjä varmistaa, että Euroopan tietosuojavaltuutetulla on käytössään hänen tehtäviensä suorittamista varten tarvittava henkilöstö ja rahoitus.

3. Euroopan tietosuojavaltuutetun talousarvio otetaan erillisenä kohtana Euroopan unionin yleisen talousarvion pääluokkaan VIII.

4. Euroopan tietosuojavaltuutettua avustaa sihteeristö. Sihteeristön virkamiehet ja muun henkilöstön nimittää Euroopan tietosuojavaltuutettu, joka on heidän esimiehensä, ja he toimivat yksinomaan hänen ohjauksessaan. Henkilöstön määrä vahvistetaan vuosittain talousarviomenettelyn yhteydessä.

5. Euroopan tietosuojavaltuutetun sihteeristön virkamiehiä ja muuta henkilöstöä sitovat Euroopan yhteisöjen virkamiehiin ja muuhun henkilöstöön sovellettavat asetukset ja määräykset.

6. Henkilöstöään koskevissa asioissa Euroopan tietosuojavaltuutetulla on sama asema kuin toimielimillä Euroopan yhteisöjen henkilöstösääntöjen 1 artiklassa tarkoitetussa merkityksessä.

44 artikla

Riippumattomuus

1. Euroopan tietosuojavaltuutettu hoitaa tehtäviään täysin riippumattomana.

2. Tehtäviään hoitaessaan Euroopan tietosuojavaltuutettu ei pyydä eikä ota ohjeita miltään taholta.

3. Euroopan tietosuojavaltuutetun on pidättäydyttävä kaikesta toiminnasta, joka on yhteensopimatonta hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

4. Euroopan tietosuojavaltuutetun on toimikautensa päättymisen jälkeen osoitettava kunniallisuutta ja arvostelukykyä nimitysten ja etujen vastaanottamisessa.

45 artikla

Salassapitovelvollisuus

Euroopan tietosuojavaltuutettu ja hänen henkilöstönsä ovat sekä toimikautensa aikana että sen päätyttyä velvollisia pitämään salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa tehtäviensä suorittamisen yhteydessä.

46 artikla

Tehtävät

Euroopan tietosuojavaltuutettu

a) vastaanottaa ja tutkii kanteluita sekä ilmoittaa rekisteröidylle niiden käsittelyn tuloksesta kohtuullisen määräajan kuluessa;

b) suorittaa tutkimuksia joko omasta aloitteestaan tai kantelun perusteella sekä ilmoittaa rekisteröidyille niiden tuloksista kohtuullisen määräajan kuluessa;

c) valvoo tämän asetuksen ja muiden sellaisten yhteisön säädösten soveltamista, jotka liittyvät luonnollisten henkilöiden suojeluun yhteisöjen toimielimen tai elimen suorittaman henkilötietojen käsittelyn osalta sekä huolehtii niiden täytäntöönpanosta, lukuun ottamatta Euroopan yhteisöjen tuomioistuinta sen lainkäyttötehtävissä;

d) neuvoo kaikkia yhteisöjen toimielimiä ja elimiä joko omasta aloitteestaan tai vastauksena lausuntopyyntöön kaikissa henkilötietojen käsittelyä koskevissa asioissa erityisesti ennen kuin toimielimet ja elimet laativat sisäisiä, yksilön perusvapauksien ja -oikeuksien suojaan liittyviä sääntöjä henkilötietojen käsittelyn osalta;

e) seuraa asiaan liittyvää kehitystä, erityisesti tieto- ja viestintäteknologian osalta, siltä osin kuin sillä on vaikutusta henkilötietojen suojeluun;

f) i) tekee yhteistyötä direktiivin 95/46/EY 28 artiklassa mainittujen, kyseisen direktiivin soveltamisalaan kuuluvien maiden kansallisten valvontaviranomaisten kanssa siinä määrin kuin kullekin viranomaiselle kuuluvien tehtävien hoitaminen sitä edellyttää, erityisesti vaihtamalla hyödyllisiä tietoja, pyytämällä kyseistä viranomaista tai elintä käyttämään toimivaltuuksiaan tai vastaamalla kyseisen viranomaisen tai elimen pyyntöön;

ii) tekee yhteistyötä myös Euroopan unionista tehdyn sopimuksen VI osaston nojalla perustettujen tietosuojasta huolehtivien valvontaelinten kanssa erityisesti parantaakseen niiden sääntöjen ja menettelyjen soveltamisen yhdenmukaisuutta, joiden noudattamisesta huolehtiminen on annettu mainittujen elinten tehtäväksi;

g) osallistuu direktiivin 95/46/EY 29 artiklalla perustetun tietosuojatyöryhmän toimintaan;

h) määrittelee, perustelee ja julkaisee 10 artiklan 2 kohdan b alakohdassa sekä 4, 5 ja 6 kohdassa, 12 artiklan 2 kohdassa, 19 artiklassa sekä 37 artiklan 2 kohdassa tarkoitetut poikkeukset, suojatoimet, luvat ja ehdot;

i) pitää rekisteriä hänelle 27 artiklan 2 kohdan nojalla ilmoitetuista ja 27 artiklan 5 kohdan nojalla rekisteröidyistä käsittelyistä ja järjestää keinot päästä tietosuojasta vastaavien henkilöiden 26 artiklan nojalla pitämiin rekistereihin;

j) suorittaa hänelle ilmoitettuihin käsittelyihin kohdistuvia ennakkotarkastuksia;

k) vahvistaa työjärjestyksensä.

47 artikla

Toimivalta

1. Euroopan tietosuojavaltuutettu voi:

a) antaa rekisteröidyille neuvontaa heille kuuluvien oikeuksien käyttämisessä;

b) ottaa yhteyttä rekisterinpitäjään, jos henkilötietojen käsittelyä koskevia säännöksiä väitetään rikotun ja tehdä tarvittaessa ehdotuksia rikkomisen korjaamiseksi ja rekisteröityjen suojan parantamiseksi;

c) määrätä, että tietoja koskevien tiettyjen oikeuksien käyttöä koskevat pyynnöt täytetään, jos ne on evätty 13-19 artiklan vastaisesti;

d) antaa rekisterinpitäjälle huomautuksen tai varoituksen;

e) määrätä sellaisten tietojen korjaamisesta, suojaamisesta, poistamisesta tai tuhoamisesta, joita on käsitelty henkilötietojen käsittelyä koskevien säännösten vastaisesti sekä näistä toimenpiteistä ilmoittamisesta niille sivullisille, joille tietoja on luovutettu;

f) kieltää käsittelyn väliaikaisesti tai lopullisesti;

g) saattaa asioita asianomaisen yhteisöjen toimielimen tai elimen ja tarvittaessa Euroopan parlamentin, neuvoston ja komission käsiteltäviksi;

h) saattaa asioita yhteisöjen tuomioistuimen käsiteltäväksi perustamissopimuksessa määrättyjen edellytysten mukaisesti;

i) olla väliintulijana käsiteltäessä yhteisöjen tuomioistuimessa nostettuja kanteita.

2. Euroopan tietosuojavaltuutetulla on toimivalta:

a) saada rekisterinpitäjältä tai yhteisöjen toimielimeltä tai elimeltä pääsy kaikkiin henkilötietoihin ja kaikkiin tutkimuksissaan tarvitsemiinsa tietoihin;

b) päästä kaikkiin tiloihin, joissa rekisterinpitäjä tai yhteisöjen toimielin tai elin harjoittaa toimintaansa, kun on olemassa kohtuullinen aihe olettaa, että niissä harjoitetaan tässä asetuksessa tarkoitettua toimintaa.

48 artikla

Toimintakertomus

1. Euroopan tietosuojavaltuutettu antaa Euroopan parlamentille, neuvostolle ja komissiolle vuosikertomuksen toiminnastaan ja julkistaa sen samanaikaisesti.

2. Euroopan tietosuojavaltuutettu toimittaa toimintakertomuksen muille yhteisöjen toimielimille ja elimille, jotka voivat esittää kertomusta koskevia huomautuksia Euroopan parlamentissa mahdollisesti käytävää, kertomusta koskevaa keskustelua varten, erityisesti silloin, kun on kyse niiden toimenpiteiden esittämisestä, jotka on toteutettu Euroopan tietosuojavaltuutetun 31 artiklan nojalla tekemien huomautusten seurauksena.

VI LUKU

LOPPUSÄÄNNÖKSET

49 artikla

Seuraamukset

Jos Euroopan yhteisöjen palveluksessa oleva virkamies tai muu toimihenkilö tahallaan tai tuottamuksellisesti jättää täyttämättä tämän asetuksen mukaiset velvollisuutensa, hänelle voidaan määrätä kurinpitoseuraamus Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja muuhun henkilöstöön sovellettavien palvelussuhteen ehtojen mukaisesti.

50 artikla

Siirtymävaihe

Yhteisöjen toimielimet ja elimet toteuttavat tarvittavat toimenpiteet, jotta tämän asetuksen voimaantulopäivänä suoritettavana olevat käsittelyt saatetaan tämän asetuksen mukaisiksi vuoden kuluessa mainitusta päivästä.

51 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan yhteisöjen virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 18 päivänä joulukuuta 2000.

Euroopan parlamentin puolesta

Puhemies

N. Fontaine

Neuvoston puolesta

Puheenjohtaja

D. Voynet

(1) EYVL C 376 E 28.12.1999, s. 24.

(2) EYVL C 51, 23.2.2000, s. 48.

(3) Euroopan parlamentin lausunto, annettu 14. marraskuuta 2000 ja neuvoston päätös, tehty 30. marraskuuta 2001.

(4) EYVL L 281, 23.11.1995, s. 31.

(5) EYVL L 24, 30.1.1998, s. 1.

(6) EYVL L 52, 22.2.1997, s. 1.

(7) EYVL L 318, 27.11.1998, s. 8.

(8) EYVL L 151, 15.6.1990, s. 1, asetus sellaisena kuin se on muutettuna asetuksella (EY) N:o 322/97 (EYVL L 52, 22.2.1997, s. 1).

LIITE

1. Tietosuojasta vastaava henkilö voi antaa hänet nimittäneelle yhteisöjen toimielimelle tai elimelle suosituksia tietosuojan parantamiseksi käytännössä sekä antaa neuvoja niille ja asianomaiselle rekisterinpitäjälle tietosuojasäännösten soveltamista koskevissa asioissa. Lisäksi hän voi omasta aloitteestaan tai hänet nimittäneen yhteisöjen toimielimen tai elimen, rekisterinpitäjän, asianomaisen henkilöstökomitean tai luonnollisen henkilön pyynnöstä tutkia seikkoja ja tapauksia, jotka välittömästi liittyvät hänen tehtäviinsä ja jotka tulevat hänen tietoonsa sekä antaa asiasta kertomuksen tutkimuksen pyytäjälle tai rekisterinpitäjälle.

2. Tietosuojasta vastaavaa henkilöä voi kuulla hänet nimittänyt yhteisöjen toimielin tai elin, rekisterinpitäjä, asianomainen henkilöstökomitea ja kuka tahansa luonnollinen henkilö suoraan ja virallisia kanavia käyttämättä mistä tahansa asiasta, joka koskee tämän asetuksen tulkintaa tai soveltamista.

3. Kenellekään ei saa aiheutua haittaa sen johdosta, että hän on saattanut tietosuojasta vastaavan toimivaltaisen henkilön tietoon seikan, jonka osalta hän väittää tämän asetuksen säännöksiä rikotun.

4. Jokaisen asianomaisen rekisterinpitäjän on avustettava tietosuojasta vastaavaa henkilöä tämän tehtävien suorittamisessa ja annettava tietoja tämän kysymysten johdosta. Tietosuojasta vastaavalla henkilöllä on tehtäviään suorittaessaan milloin tahansa pääsy tietoihin, jotka ovat käsittelyn kohteena, ja kaikkiin tiloihin, tietojenkäsittelylaitteistoihin ja tietovälineisiin.

5. Tietosuojasta vastaava henkilö on tarvittavassa määrin vapautettava muista tehtävistä. Tietosuojasta vastaava henkilö ja hänen henkilöstönsä, joihin sovelletaan perustamissopimuksen 287 artiklaa, eivät saa luovuttaa tietoja tai asiakirjoja, joita he saavat haltuunsa tehtäviään suorittaessaan.