ISSN 1977-0812

Euroopan unionin

virallinen lehti

L 119

European flag  

Suomenkielinen laitos

Lainsäädäntö

59. vuosikerta
4. toukokuu 2016


Sisältö

 

I   Lainsäätämisjärjestyksessä hyväksyttävät säädökset

Sivu

 

 

ASETUKSET

 

*

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) ( 1 )

1

 

 

DIREKTIIVIT

 

*

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta

89

 

*

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681, annettu 27 päivänä huhtikuuta 2016, matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten

132

 


 

(1)   ETA:n kannalta merkityksellinen teksti

FI

Säädökset, joiden otsikot on painettu laihalla kirjasintyypillä, ovat maatalouspolitiikan alaan kuuluvia juoksevien asioiden hoitoon liityviä säädöksiä, joiden voimassaoloaika on yleensä rajoitettu.

Kaikkien muiden säädösten otsikot on painettu lihavalla kirjasintyypillä ja merkitty tähdellä.


I Lainsäätämisjärjestyksessä hyväksyttävät säädökset

ASETUKSET

4.5.2016   

FI

Euroopan unionin virallinen lehti

L 119/1


EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679,

annettu 27 päivänä huhtikuuta 2016,

luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),

ottavat huomioon alueiden komitean lausunnon (2),

noudattavat tavallista lainsäätämisjärjestystä (3),

sekä katsovat seuraavaa:

(1)

Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

(2)

Sen vuoksi niissä periaatteissa ja säännöissä, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä, olisi heidän kansalaisuudestaan ja asuinpaikastaan riippumatta otettava huomioon heidän perusoikeutensa ja -vapautensa ja erityisesti oikeus henkilötietojen suojaan. Tämän asetuksen tarkoituksena on tukea vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä luonnollisten henkilöiden hyvinvointia.

(3)

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (4) tarkoituksena on yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien ja -vapauksien suojelua ja varmistaa henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä.

(4)

Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmistä. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin. Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen.

(5)

Sisämarkkinoiden toiminnasta aiheutuva taloudellinen ja sosiaalinen yhdentyminen on huomattavasti lisännyt rajatylittäviä henkilötietojen siirtoja. Henkilötietojen vaihto unionin julkisten ja yksityisten toimijoiden, kuten luonnollisten henkilöiden, järjestöjen sekä yritysten, kesken on lisääntynyt. Unionin oikeudessa jäsenvaltioiden viranomaisia kehotetaan toimimaan yhteistyössä ja vaihtamaan keskenään henkilötietoja, jotta ne voisivat täyttää velvollisuutensa tai suorittaa tehtäviä jonkin toisen jäsenvaltion viranomaisten puolesta.

(6)

Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen suojeluun uusia haasteita. Henkilötietoja jaetaan ja kerätään nyt merkittävän paljon enemmän. Teknologian ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös luonnolliset henkilöt saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen elämän. Tulevaisuudessa se helpottanee edelleen henkilötietojen vapaata kulkua unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille ja varmistaa samalla henkilötietojen korkeatasoisen suojan.

(7)

Tämän kehityksen vuoksi unionissa tarvitaan vahva ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Luonnollisten henkilöiden olisi voitava valvoa omia henkilötietojaan. Oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen olisi vahvistettava luonnollisten henkilöiden ja talouden toimijoiden sekä viranomaisten kannalta.

(8)

Kun tässä asetuksessa säädetään täsmennyksistä tai rajoituksista, joita jäsenvaltioiden lainsäädännössä voidaan tehdä sen sääntöihin, jäsenvaltiot voivat – siinä määrin kuin johdonmukaisuus ja kansallisten säännösten ymmärrettävyys niille, joihin niitä sovelletaan, edellyttävät – sisällyttää tämän asetuksen osia kansalliseen lainsäädäntöönsä.

(9)

Direktiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta eri puolilla unionia, oikeudellista epävarmuutta tai laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy luonnollisten henkilöiden suojelun kannalta huomattavia riskejä. Jäsenvaltioiden väliset eroavuudet henkilötietojen käsittelyssä suhteessa luonnollisten henkilöiden oikeuksien ja vapauksien suojeluun, erityisesti oikeudessa henkilötietojen suojaan, voivat estää henkilötietojen vapaan liikkuvuuden unionin alueella. Nämä eroavuudet voivat muodostua esteeksi unionin taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Tällaiset suojelun tasossa ilmenevät eroavuudet johtuvat direktiivin 95/46/EY täytäntöönpanossa ja soveltamisessa esiintyvistä eroista.

(10)

Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. Henkilötietojen käsittelyn lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joilla tämän asetuksen sääntöjen soveltamista voitaisiin täsmentää entisestään. Yhdessä direktiivin 95/46/EY täytäntöön panevan, tietosuojaa koskevan yleisen ja horisontaalisen lainsäädännön kanssa jäsenvaltioilla on useita alakohtaisia lakeja aloilla, joilla tarvitaan yksityiskohtaisempia säännöksiä. Lisäksi tässä asetuksessa annetaan jäsenvaltioille liikkumavaraa sääntöjen täsmentämisen suhteen, mukaan lukien henkilötietojen erityisryhmien, jäljempänä ’arkaluontoiset tiedot’, käsittelyä koskevat säännöt. Näiltä osin tässä asetuksessa ei jätetä soveltamisalan ulkopuolelle jäsenvaltioiden lainsäädäntöä, jossa esitetään erityisiä käsittelytilanteita koskevat olosuhteet, mukaan lukien niiden edellytysten tarkempi määrittely, joiden täyttyessä henkilötietojen käsittely on laillista.

(11)

Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien ja henkilötietoja käsittelevien ja niiden käsittelystä päättävien velvollisuuksien vahvistamista ja täsmentämistä samoin kuin samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa.

(12)

SEUT 16 artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat säännöt, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä, sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.

(13)

Jotta voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys talouden toimijoille, kuten mikroyrityksille sekä pienille ja keskisuurille yrityksille, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet ja rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, joilla varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. Sisämarkkinoiden moitteeton toiminta edellyttää, että henkilötietojen vapaata liikkuvuutta unionin sisällä ei rajoiteta eikä kielletä syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä. Tässä asetuksessa säädetään organisaatioita, joissa on alle 250 työntekijää, koskevasta poikkeuksesta, jolla pyritään ottamaan huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistilanne. Lisäksi unionin toimielimiä ja elimiä sekä jäsenvaltioita ja niiden valvontaviranomaisia kehotetaan ottamaan tämän asetuksen soveltamisessa huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet. Mikroyritysten sekä pienten ja keskisuurten yritysten määritelmän olisi perustuttava komission suosituksen 2003/361/EY (5) liitteessä olevaan 2 artiklaan.

(14)

Tämän asetuksen tarjoaman suojelun olisi koskettava luonnollisia henkilöitä heidän kansalaisuudestaan ja asuinpaikastaan riippumatta, silloin kun on kyse henkilötietojen käsittelystä. Tämä asetus ei koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten henkilötietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja.

(15)

Vakavan väärinkäytösten riskin välttämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä niiden manuaalista käsittelyä, jos henkilötiedot sisältyvät tai ne on tarkoitus sisällyttää rekisteriin. Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.

(16)

Tämä asetus ei koske unionin oikeuden soveltamisalaan kuulumattomia perusoikeuksien ja -vapauksien suojeluun tai henkilötietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, kuten kansallista turvallisuutta koskevia toimia. Tämä asetus ei koske henkilötietojen käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimia.

(17)

Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (6). Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset olisi mukautettava tässä asetuksessa vahvistettujen periaatteiden ja sääntöjen mukaisiksi ja niitä olisi sovellettava tämä asetus huomioon ottaen. Vahvan ja johdonmukaisen tietosuojakehyksen luomiseksi unioniin asetukseen (EY) N:o 45/2001 olisi syytä tehdä tarpeelliset mukautukset tämän asetuksen hyväksymisen jälkeen, jotta niitä voitaisiin soveltaa samanaikaisesti tämän asetuksen kanssa.

(18)

Tätä asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa ja joka näin ollen ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Henkilökohtaista tai kotitaloutta koskevaa toimintaa voi olla esimerkiksi kirjeenvaihto ja osoitteiston pitäminen sekä sosiaalinen verkostoituminen ja verkkotoiminta, joita harjoitetaan tällaisen henkilökohtaisen tai kotitaloutta koskevan toiminnan yhteydessä. Asetusta sovelletaan kuitenkin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.

(19)

Luonnollisten henkilöiden suojelusta tapauksissa, joissa toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, sekä näiden henkilötietojen vapaasta liikkuvuudesta on annettu erillinen unionin säädös. Tätä asetusta ei näin ollen olisi sovellettava näitä tarkoituksia varten tehtävään henkilötietojen käsittelyyn. Kun viranomaiset käsittelevät tämän asetuksen soveltamisalaan kuuluvia henkilötietoja näitä tarkoituksia varten, olisi sen sijaan sovellettava unionin erityissäädöstä eli Euroopan parlamentin ja neuvoston direktiiviä (EU) 2016/680 (7). Jäsenvaltiot voivat antaa direktiivissä (EU) 2016/680 tarkoitetuille toimivaltaisille viranomaisille tehtäviä, joita ei välttämättä suoriteta rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Tällöin muita tarkoituksia varten tehtävä henkilötietojen käsittely kuuluu tämän asetuksen soveltamisalaan, sikäli kuin se kuuluu unionin lainsäädännön soveltamisalaan.

Kyseisten toimivaltaisten viranomaisten suorittaman, tämän asetuksen soveltamisalaan kuuluviin tarkoituksiin suoritetun henkilötietojen käsittelyssä jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä mukauttaakseen tässä asetuksessa vahvistettujen sääntöjen soveltamista. Näillä säännöksillä voidaan määrittää täsmällisemmin kyseisten toimivaltaisten viranomaisten kyseisiin muihin tarkoituksiin suorittamaa henkilötietojen käsittelyä koskevat erityisvaatimukset ottaen huomioon kunkin jäsenvaltion oma perustuslaki, organisaatio ja hallintorakenne. Kun yksityisten elinten suorittama henkilötietojen käsittely kuuluu tämän asetuksen soveltamisalaan, tässä asetuksessa olisi annettava jäsenvaltioille mahdollisuus erityisin edellytyksin rajoittaa lainsäädäntötoimenpiteellä tiettyjä velvoitteita ja oikeuksia, silloin kun tällainen rajoittaminen on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide tiettyjen tärkeiden etujen, kuten yleisen turvallisuuden ja rikosten ennalta estämisen, tutkinnan, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon turvaamiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Tämä on tärkeää esimerkiksi rahanpesun torjunnan tai rikosteknisten laboratorioiden toiminnan puitteissa.

(20)

Vaikka tätä asetusta sovelletaan muun muassa tuomioistuinten ja muiden oikeusviranomaisten toimintaan, unionin oikeudessa tai jäsenvaltion lainsäädännössä voitaisiin täsmentää käsittelytoimia ja -menettelyitä tuomioistuinten ja muiden oikeusviranomaisten suorittaman henkilötietojen käsittelyn osalta. Valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata oikeuslaitoksen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien. Tällaisten tiedonkäsittelytoimien valvonta olisi voitava uskoa jäsenvaltion oikeusjärjestelmään kuuluville erityiselimille, joiden olisi erityisesti varmistettava tämän asetuksen sääntöjen noudattaminen, vahvistettava oikeuslaitoksen edustajien tietoisuutta niille tämän asetuksen mukaisesti kuuluvista velvoitteista ja käsiteltävä tällaisiin tiedonkäsittelytoimiin liittyviä valituksia.

(21)

Tämä asetus ei vaikuta Euroopan parlamentin ja neuvoston direktiivin 2000/31/EY (8) soveltamiseen eikä etenkään direktiivin 12–15 artiklassa säädettyihin välittäjinä toimivien palveluntarjoajien vastuuta koskeviin sääntöihin. Direktiivin tavoitteena on edistää sisämarkkinoiden moitteetonta toimintaa varmistamalla tietoyhteiskunnan palvelujen vapaa liikkuvuus jäsenvaltioiden välillä.

(22)

Tätä asetusta olisi noudatettava kaikessa henkilötietojen käsittelyssä, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan yhteydessä, riippumatta siitä, tapahtuuko itse käsittely unionin alueella. Sijoittautuminen edellyttää tosiasiallista toimintaa ja pysyviä järjestelyjä. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä.

(23)

Jotta luonnolliset henkilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella olevien rekisteröityjen henkilötietojen käsittelyyn, jos sitä suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille, riippumatta siitä, liittyykö niihin maksu. Jotta voidaan määrittää, tarjoaako kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä tavaroita ja palveluja unionin alueella oleville rekisteröidyille, olisi varmistettava, onko ilmeistä, että rekisterinpitäjä tai henkilötietojen käsittelijä aikoo tarjota palveluja rekisteröidyille yhdessä tai useammassa jäsenvaltiossa unionissa. Koska pelkkä rekisterinpitäjän, henkilötietojen käsittelijän tai välittäjän unionissa olevan verkkosivuston, sähköpostiosoitteen tai muiden yhteystietojen saatavuus tai siinä kolmannessa maassa, johon rekisterinpitäjä on sijoittautunut, yleisesti käytettävän kielen käyttö ei riitä tällaisen aikomuksen varmistamiseksi, seikat, kuten yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai valuutan käyttö ja mahdollisuus tilata tavaroita ja palveluja kyseisellä muulla kielellä tai maininta unionissa olevista asiakkaista tai käyttäjistä, voivat osoittaa olevan ilmeistä, että rekisterinpitäjä aikoo tarjota tavaroita ja palveluja rekisteröidyille unionissa.

(24)

Tätä asetusta olisi sovellettava myös unionin alueella olevien rekisteröityjen henkilötietojen käsittelyyn, jos sitä suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin ja jos käsittely liittyy näiden rekisteröityjen käyttäytymisen seurantaan niiltä osin kuin käyttäytyminen tapahtuu unionissa. Jotta voidaan määrittää, voidaanko käsittelytoiminta katsoa rekisteröityjen käyttäytymisen seuraamisena, olisi varmistettava, seurataanko luonnollisia henkilöitä internetissä, mukaan lukien sellaisten henkilötietojen käsittelytekniikoiden mahdollinen myöhempi käyttö, jotka käsittävät tietyn yksilön profiloinnin erityisesti häntä koskevien päätösten tekemistä varten tai hänen henkilökohtaisten mieltymystensä, käyttäytymisensä ja asenteidensa analysointia tai ennakoimista varten.

(25)

Jos kansainvälisen julkisoikeuden nojalla on sovellettava jäsenvaltion lakia, esimerkiksi jäsenvaltion diplomaatti- tai konsuliedustustossa, tätä asetusta olisi sovellettava myös sellaiseen rekisterinpitäjään, joka ei ole sijoittautunut unioniin.

(26)

Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.

(27)

Tätä asetusta ei sovelleta kuolleita henkilöitä koskeviin tietoihin. Jäsenvaltiot voivat säätää kuolleiden henkilöiden henkilötietojen käsittelyä koskevista säännöistä.

(28)

Pseudonymisoinnin soveltaminen henkilötietoihin voi vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan. ”Pseudonymisoinnin” nimenomaisella sisällyttämisellä tähän asetukseen ei ole tarkoitus sulkea pois mitään muita tietosuojatoimenpiteitä.

(29)

Pseudonymisointiin tähtäävien kannusteiden luomiseksi henkilötietoja käsiteltäessä samalle rekisterinpitäjälle olisi sallittava pseudonymisoimista koskevien toimenpiteiden toteuttaminen siten, että samalla sallitaan yleinen analyysi, kun kyseinen rekisterinpitäjä on toteuttanut tarvittavat tekniset ja organisatoriset toimenpiteet tämän asetuksen täytäntöönpanon varmistamiseksi kyseisen käsittelytapahtuman osalta ja varmistaen, että henkilötietojen yhdistämisen tiettyyn rekisteröityyn mahdollistavat lisätiedot säilytetään erillään. Henkilötietoja käsittelevän rekisterinpitäjän olisi ilmoitettava saman rekisterinpitäjän valtuutetut henkilöt.

(30)

Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille toimitettuihin tietoihin.

(31)

Viranomaisia, kuten vero- ja tulliviranomaisia, talousrikosten tutkintayksiköitä, riippumattomia hallintoviranomaisia tai rahoitusmarkkinaviranomaisia, joille luovutetaan henkilötietoja lakisääteisen velvoitteen mukaisesti niiden julkisen tehtävän suorittamiseksi ja jotka vastaavat arvopaperimarkkinoiden sääntelystä ja valvonnasta, ei olisi pidettävä tietojen vastaanottajina niiden vastaanottaessa tietoja, jotka ovat tarpeen jonkin tietyn yleisen edun vuoksi tehtävän tutkimuksen toteuttamiseksi unionin tai jäsenvaltion lainsäädännön mukaisesti. Viranomaisten lähettämien luovutuspyyntöjen olisi aina oltava kirjallisia, perusteltuja ja satunnaisia, eikä niiden pitäisi koskea kokonaista rekisteriä tai johtaa rekisterien yhteenliittämiseen. Näiden viranomaisten olisi käsiteltävä henkilötietoja sovellettavien tietosuojasääntöjen ja tietojenkäsittelyn tarkoitusten mukaisesti.

(32)

Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.

(33)

Usein tieteellisiä tutkimustarkoituksia varten tehtävän käsittelyn tarkoitusta ei ole mahdollista täysin määrittää siinä vaiheessa, kun henkilötietoja kerätään. Tästä syystä rekisteröityjen olisi voitava antaa suostumuksensa tietyille tieteellisen tutkimuksen aloille silloin, kun noudatetaan tieteellisen tutkimuksen tunnustettuja eettisiä standardeja. Rekisteröidyillä olisi oltava mahdollisuus antaa suostumuksensa ainoastaan tietyille tutkimusaloille tai tutkimushankkeiden osille siinä määrin kuin tarkoitus sen mahdollistaa.

(34)

Geneettiset tiedot olisi määriteltävä henkilötiedoiksi, jotka liittyvät luonnollisen henkilön perittyihin tai hankittuihin ominaisuuksiin, koska ne on saatu kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla, erityisesti kromosomien DNA:sta tai RNA:sta tai muusta vastaavia tietoja tarjoavasta tekijästä tehdyllä analyysilla.

(35)

Terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoja rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta. Tähän kuuluvat luonnollista henkilöä koskevat tiedot, jotka on kerätty tämän rekisteröityessä Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU (9) tarkoitettujen terveyspalvelujen saamista varten tai niiden tarjoamisen yhteydessä; luonnolliselle henkilölle annettu numero, symboli tai erityistuntomerkki, jolla hänet voidaan tunnistaa yksiselitteisesti terveydenhuollon piirissä; kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, kuten geneettiset tiedot ja biologiset näytteet, sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, esitiedoista tai annetuista hoidoista sekä tieto rekisteröidyn fyysisestä tai lääketieteellisestä tilanteesta riippumatta siitä, mistä lähteestä tiedot on saatu, esimerkiksi lääkäriltä tai muulta terveydenhuollon ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta tai diagnostisesta in vitro -testistä.

(36)

Unioniin sijoittautuneen rekisterinpitäjän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään jossakin toisessa unioniin sijoittautuneen rekisterinpitäjän toimipaikassa. Tässä tapauksessa tämä toinen toimipaikka olisi katsottava päätoimipaikaksi. Se, sijaitseeko rekisterinpitäjän päätoimipaikka unionissa, olisi määritettävä objektiivisten kriteerien perusteella ja sen yhteydessä olisi otettava huomioon tosiasialliset hallintotoimet, joiden yhteydessä tehdään kiinteässä toimipaikassa toteutettavan käsittelyn tarkoituksia ja keinoja koskevat tärkeimmät päätökset. Tällaisena kriteerinä ei saisi olla se, toteutetaanko varsinainen henkilötietojen käsittely tuossa paikassa. Henkilötietojen käsittelyä tai käsittelytoimia varten käytettävien teknisten välineiden ja teknologioiden olemassaolo ja käyttö eivät itsessään osoita päätoimipaikkaa eivätkä ne sen vuoksi ole ratkaiseva kriteeri päätoimipaikan määrittämisessä. Henkilötietojen käsittelijän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa ja jos sillä ei ole keskushallintoa unionissa, paikka, jossa pääasiallinen käsittelytoiminta unionissa tapahtuu. Tapauksissa, joihin liittyy sekä rekisterinpitäjä että henkilötietojen käsittelijä, toimivaltaisena johtavana valvontaviranomaisena olisi edelleen oltava sen jäsenvaltion valvontaviranomainen, jossa on rekisterinpitäjän päätoimipaikka, mutta henkilötietojen käsittelijän valvontaviranomainen olisi katsottava osallistuvaksi valvontaviranomaiseksi ja kyseisen henkilötietojen käsittelijän valvontaviranomaisen olisi osallistuttava tässä asetuksessa säädettyyn yhteistyömenettelyyn. Joka tapauksessa sen jäsenvaltion tai niiden jäsenvaltioiden valvontaviranomaisia, jossa tai joissa henkilötietojen käsittelijällä on yksi tai useampi toimipaikka, ei pitäisi katsoa osallistuviksi valvontaviranomaisiksi silloin, kun päätösehdotus koskee ainoastaan rekisterinpitäjää. Jos konserni suorittaa käsittelyn, määräysvaltaa käyttävän yrityksen päätoimipaikkaa olisi pidettävä konsernin päätoimipaikkana, paitsi jos jokin muu yritys määrittelee käsittelyn tarkoituksen ja keinot.

(37)

Konsernin olisi katettava sekä määräysvaltaa käyttävä yritys että sen määräysvallassa olevat yritykset niin, että määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen sääntöjen perusteella tai jolla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt. Yritys, joka hallinnoi henkilötietojen käsittelyä siihen yhteydessä olevissa yrityksissä, olisi voitava katsoa konserniksi.

(38)

Erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin lasten henkilötietojen käyttämistä markkinointitarkoituksiin tai henkilö- tai käyttäjäprofiilien luomiseen ja lapsia koskevien henkilötietojen keräämistä, kun käytetään suoraan lapsille tarjottuja palveluja. Vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle.

(39)

Henkilötietojen käsittelyn olisi oltava laillista ja asianmukaista. Luonnollisille henkilöille olisi oltava läpinäkyvää, miten heitä koskevia henkilötietoja kerätään ja käytetään ja niihin tutustutaan tai niitä käsitellään muulla tavoin sekä selvillä siitä, missä määrin henkilötietoja käsitellään tai on määrä käsitellä. Läpinäkyvyyden periaatteen mukaisesti kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröityjen tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista sekä lisätietoja, joilla varmistetaan kyseisiä luonnollisia henkilöitä koskevan käsittelyn asianmukaisuus ja läpinäkyvyys, sekä heidän oikeuttaan saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti. Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Olisi toteutettava kaikki kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö.

(40)

Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen rekisteröidyn suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien tarve noudattaa rekisterinpitäjää koskevaa lakisääteistä velvoitetta tai tarve panna täytäntöön sopimus, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.

(41)

Aina kun tässä asetuksessa viitataan käsittelyn oikeusperusteeseen tai lainsäädäntötoimeen, siinä ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä, sanotun kuitenkaan rajoittamatta asianomaisen jäsenvaltion perustuslaillisen järjestyksen edellyttämien vaatimusten soveltamista. Kyseisen käsittelyn oikeusperusteen tai lainsäädäntötoimen olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen henkilöiden kannalta ennakoitavissa olevaa Euroopan unionin tuomioistuimen, jäljempänä ’unionin tuomioistuin’, ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti.

(42)

Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Neuvoston direktiivin 93/13/ETY (10) mukaisesti rekisterinpitäjän ennalta muotoilema ilmoitus suostumuksesta olisi annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä eikä siihen pitäisi sisältyä kohtuuttomia ehtoja. Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

(43)

Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa, tai jos sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi.

(44)

Käsittelyä olisi pidettävä lainmukaisena, kun se on tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten.

(45)

Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan suorittamiseksi tai julkisen vallan käyttämiseksi. Käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Kyseisessä oikeudessa tai lainsäädännössä voitaisiin myös täsmentää tässä asetuksessa säädettyjä yleisiä edellytyksiä, jotka koskevat henkilötietojen käsittelyn lainmukaisuutta sekä tarkat vaatimukset, joilla määritetään rekisterinpitäjä, käsiteltävien henkilötietojen tyyppi, asianomaiset rekisteröidyt, yhteisöt, joille henkilötietoja voidaan luovuttaa, tarkoituksen rajoitukset, säilyttämisaika ja muut toimenpiteet, joilla varmistetaan laillinen ja asianmukainen käsittely. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä, kun se on perusteltua yleistä etua koskevien syiden, kuten terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten.

(46)

Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella, silloin kun käsittelyllä ei ole muuta ilmeistä käsittelyn oikeusperustetta. Tietyntyyppinen käsittely voi palvella sekä yleistä etua että rekisteröidyn elintärkeää etua koskevia tärkeitä syitä esimerkiksi silloin, kun tietojenkäsittely on tärkeää humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.

(47)

Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn. Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.

(48)

Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Tämä ei vaikuta yleisperiaatteisiin, joita sovelletaan henkilötietojen siirtoon konsernin sisällä kolmannessa maassa sijaitsevaan yritykseen.

(49)

On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvät CERT-ryhmät (Computer Emergency Response Teams), tietoturvaloukkauksiin reagoivat ja niitä tutkivat CSIRT-toimijat (Computer Security Incident Response Teams), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.

(50)

Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi. Myös unionin oikeuden tai jäsenvaltion lainsäädännön tarjoama käsittelyn oikeusperuste henkilötietojen käsittelylle voi muodostaa käsittelyn oikeusperusteen myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.

Jos rekisteröity on antanut suostumuksensa tai käsittely perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen, jolla pyritään turvaamaan erityisesti yleiseen julkiseen etuun liittyviä tärkeitä tavoitteita, rekisterinpitäjälle olisi sallittava henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Kaikissa tapauksissa olisi kuitenkin varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja varmistettava erityisesti, että rekisteröidylle ilmoitetaan näistä muista tarkoituksista ja hänen oikeuksistaan, kuten oikeudesta vastustaa henkilötietojenkäsittelyä. Rekisterinpitäjän oikeutetun edun mukaiseksi on katsottava se, että tämä ilmoittaa mahdollisista rikollisista teoista tai yleiseen turvallisuuteen kohdistuvista uhkista ja toimittaa olennaiset henkilötiedot toimivaltaisille viranomaisille yksittäistapauksissa tai useissa tapauksissa, jotka liittyvät samaan rikolliseen tekoon tai yleiseen turvallisuuteen kohdistuvaan uhkaan. Tällaisen tietojen siirron rekisterinpitäjän oikeutetun edun nimissä tai henkilötietojen myöhemmän käsittelyn olisi kuitenkin oltava kiellettyä, mikäli käsittely on ristiriidassa johonkin oikeudelliseen, ammatilliseen tai muuhun sitovaan salassapitovelvollisuuteen nähden.

(51)

Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Tällaisiin henkilötietoihin olisi sisällyttävä myös henkilötiedot, joista ilmenee rotu tai etninen alkuperä. Ilmaisun ”rotu” käyttäminen tässä asetuksessa ei kuitenkaan tarkoita sitä, että unioni hyväksyisi teorioita, joilla yritetään määrittää eri ihmisrotujen olemassaolo. Valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. Tällaisia henkilötietoja ei pitäisi käsitellä, ellei käsittelyä sallita tässä asetuksessa vahvistetuissa erityistapauksissa, ottaen huomioon, että jäsenvaltioiden lainsäädännössä voidaan vahvistaa erityisiä tietosuojasäännöksiä tämän asetuksen sääntöjen soveltamisen mukauttamiseksi lakisääteisen velvoitteen noudattamista tai yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Tällaista käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa tai silloin, kun kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.

(52)

Henkilötietojen erityisryhmien käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön ja tapahtuu asianmukaisia suojatoimia soveltaen, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden vuoksi, joita ovat erityisesti henkilötietojen käsittely työlainsäädännön ja sosiaalista suojelua koskevan lainsäädännön aloilla, eläkkeet mukaan luettuina, terveysturvaa varten, valvonta- ja hälytystarkoituksiin sekä tartuntatautien ja muiden vakavien terveysuhkien estämiseksi tai hallitsemiseksi. Tällainen poikkeus voidaan tehdä terveydenhuoltoon liittyvien syiden vuoksi, muun muassa kansanterveyden ja terveydenhuoltopalvelujen hallinnon alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä tai yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Tällaisten henkilötietojen käsittely olisi myös sallittava poikkeuksellisesti, jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi oikeudellisessa menettelyssä tai hallinnollisessa tai tuomioistuimen ulkopuolisessa menettelyssä.

(53)

Erityiseen tietoryhmään kuuluvia, erityissuojelua tarvitsevia henkilötietoja olisi voitava käsitellä vain terveyteen liittyvien syiden perusteella silloin, kun se on tarpeen luonnollisten henkilöiden ja koko yhteiskunnan etua palvelevien tarkoitusten toteuttamiseksi erityisesti terveyden- tai sosiaalihuollon palvelujen ja järjestelmien hallinnon yhteydessä, mukaan lukien hallinnon ja terveydenhuollon kansallisten keskusviranomaisten suorittama tällaisten tietojen käsittely terveydenhuolto- tai sosiaalihuoltojärjestelmän laadunvalvontaa, hallintatietoja ja yleistä kansallista ja paikallista valvontaa varten ja terveydenhuollon tai sosiaalihuollon ja rajatylittävän terveydenhuollon tai terveysturvan jatkuvuuden varmistamiseksi, valvonta- ja hälytystarkoituksiin tai yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten yleisen edun saavuttamiseen tähtäävän unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, sekä kansanterveyden alalla toteutettaviin yleisen edun mukaisiin tutkimuksiin. Näin ollen tässä asetuksessa olisi säädettävä erityisryhmiin kuuluvien terveyttä koskevien henkilötietojen käsittelyn yhdenmukaisista ehdoista erityistarpeiden osalta erityisesti, kun henkilö, jolla on lakisääteinen salassapitovelvollisuus, käsittelee tällaisia tietoja tiettyjä terveyteen liittyviä tarkoituksia varten. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi säädettävä erityisistä ja asianmukaisista toimenpiteistä luonnollisten henkilöiden perusoikeuksien ja henkilötietojen suojelemiseksi. Jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön lisäehtoja, kuten rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Tämän ei kuitenkaan pitäisi saada vaikeuttaa henkilötietojen vapaata kulkua unionissa niissä tapauksissa, joissa näitä ehtoja sovelletaan kyseisten henkilötietojen rajatylittävään käsittelyyn.

(54)

Erityisryhmiin kuuluvia henkilötietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. Tällaisen käsittelyn olisi edellytettävä asianmukaisia ja erityisiä toimenpiteitä luonnollisten henkilöiden oikeuksien ja vapauksien suojelemiseksi. Tässä yhteydessä ’kansanterveydellä’ olisi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 (11) esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten kolmansien osapuolten, kuten työnantajien tai vakuutusyhtiöiden ja pankkien, toimesta.

(55)

Myös viranomaisten suorittama henkilötietojen käsittely valtiosääntöoikeudessa ja kansainvälisessä julkisoikeudessa säädettyjen virallisesti tunnustettujen uskonnollisten yhdistysten päämäärien toteuttamiseksi toteutetaan yleisen edun perusteella.

(56)

Jos demokraattisen järjestelmän vaaleihin liittyvä toiminta tietyissä jäsenvaltioissa edellyttää, että poliittiset puolueet keräävät henkilötietoja henkilöiden poliittisista mielipiteistä, kyseisten tietojen käsittely voidaan sallia yleisen edun vuoksi sillä edellytyksellä, että otetaan käyttöön asianmukaiset suojatoimet.

(57)

Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjää ei saisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Rekisterinpitäjän ei pitäisi kuitenkaan kieltäytyä vastaanottamasta rekisteröidyn antamia lisätietoja tämän oikeuksien käyttämisen tukemiseksi. Tunnistamiseen olisi sisällytettävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.

(58)

Läpinäkyvyyden periaatteen mukaisesti yleisölle tai rekisteröidylle tarkoitettujen tietojen on oltava tiiviisti esitettyjä sekä helposti saatavilla ja ymmärrettäviä, ne on ilmaistava selkeällä ja yksinkertaisella kielellä ja lisäksi tarvittaessa ne on havainnollistettava. Tällaiset tiedot voidaan antaa sähköisessä muodossa esimerkiksi internetsivuston kautta silloin kun ne on tarkoitettu yleisölle. Tämä on erityisen tärkeää tilanteissa, joissa rekisteröidyn on toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten; tällainen tilanne voi olla esimerkiksi verkkomainonnan kaltaisissa yhteyksissä. Koska lapset tarvitsevat erityistä suojelua, kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä.

(59)

Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa esimerkiksi mekanismeilla, joilla rekisteröity voi pyytää pääsyä henkilötietoihin ja esittää henkilötietojen oikaisemista tai poistamista koskevan pyynnön ja mahdollisuuksien mukaan saada nämä oikeudet maksutta, sekä käyttää oikeuttaan vastustaa henkilötietojen käsittelyä. Rekisterinpitäjän olisi myös tarjottava keinot esittää tällaiset pyynnöt sähköisesti erityisesti silloin, kun henkilötietoja käsitellään sähköisesti. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perustelemaan kieltäytymisensä siinä tapauksessa, että rekisterinpitäjä ei aio noudattaa tällaista pyyntöä.

(60)

Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista. Rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. Rekisteröidylle olisi myös ilmoitettava profiloinnin olemassaolosta ja sen seurauksista. Jos henkilötietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa henkilötiedot, sekä kieltäytymisen seurauksista. Nämä tiedot voidaan antaa yhdessä vakiomuotoisten kuvakkeiden kanssa, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden olisi oltava koneellisesti luettavissa.

(61)

Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keruun yhteydessä tai, jos henkilötiedot on saatu jostain muusta lähteestä, kohtuullisen ajan kuluessa tietojen keruusta, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos henkilötietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun henkilötietoja luovutetaan ensimmäisen kerran. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja muuhun tarkoitukseen kuin siihen, jota varten ne on kerätty, rekisterinpitäjän olisi toimitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tiedot tästä muusta tarkoituksesta sekä muut tarvittavat tiedot. Jos rekisteröidylle ei ole voitu ilmoittaa henkilötietojen alkuperää johtuen siitä, että on käytetty useita lähteitä, olisi annettava yleiset tiedot.

(62)

Ei kuitenkaan tarvitse vaatia tietojen antamista silloin kun rekisteröidyllä jo on tämä tieto, kun lainsäädännössä nimenomaisesti säädetään henkilötietojen tallentamisesta tai luovuttamisesta tai kun tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuuttomia ponnistuksia. Viimeksi mainittu tilanne liittyy erityisesti tapauksiin, jossa käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Tällöin olisi voitava ottaa huomioon rekisteröityjen määrä, tietojen ikä ja mahdollisesti hyväksytyt asianmukaiset suojatoimet.

(63)

Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Tähän sisältyy rekisteröidyn oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Mikäli mahdollista, rekisterinpitäjän olisi voitava tarjota etäpääsy suojattuun järjestelmään, jossa rekisteröity saa suoran pääsyn henkilötietoihinsa. Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjä olisi voitava pyytää rekisteröityä täsmentämään riittävällä tavalla ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee.

(64)

Rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalvelujen ja verkkotunnistetietojen yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten.

(65)

Luonnollisella henkilöllä olisi oltava oikeus saada häntä koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta tai jäsenvaltion lainsäädäntöä. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, eikä ole ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Rekisteröidyn olisi voitava käyttää tätä oikeutta siitä huolimatta, että hän ei enää ole lapsi. Henkilötietojen edelleen säilyttämisen tulisi kuitenkin olla lainmukaista, jos se on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, lakisääteisen velvoitteen noudattamiseksi yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, kansanterveyteen liittyvää yleistä etua koskevista syistä, yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

(66)

Jotta voitaisiin vahvistaa ”oikeutta tulla unohdetuksi” verkkoympäristössä, oikeutta tietojen poistamiseen olisi laajennettava edellyttämällä, että henkilötiedot julkistanut rekisterinpitäjä on velvollinen ilmoittamaan näitä henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kaikkien näihin tietoihin liittyvien linkkien tai näiden tietojen jäljennösten tai kopioiden poistamista. Näin menetellessään rekisterinpitäjän olisi toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ottaen huomioon käytettävissä oleva teknologia ja keinot, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille rekisteröidyn pyynnöstä.

(67)

Henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.

(68)

Jotta voitaisiin edelleen vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan silloin, kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä oikeutta olisi sovellettava silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi. Sitä ei sovelleta silloin, kun käsittely perustuu muuhun lailliseen perusteeseen kuin suostumukseen tai sopimukseen. Tämä oikeus on luonteeltaan sellainen, ettei sitä olisi käytettävä niitä rekisterinpitäjiä vastaan, joiden julkisiin velvollisuuksiin henkilötietojen käsittely kuuluu. Siksi sitä ei pitäisi soveltaa silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei saisi luoda rekisterinpitäjille velvoitetta hyväksyä tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia. Jos tietyssä henkilötietoja sisältävässä tietojoukossa tiedot koskevat useampia kuin yhtä rekisteröityä, oikeus vastaanottaa henkilötietoja ei saisi rajoittaa toisten rekisteröityjen tämän asetuksen mukaisia oikeuksia ja vapauksia. Tämä oikeus ei saisi myöskään rajoittaa rekisteröidyn oikeutta saada henkilötiedot poistetuiksi eikä tämän asetuksen mukaisia rajoituksia kyseiseen oikeuteen, ja se ei etenkään saisi merkitä niiden rekisteröityä koskevien henkilötietojen poistamista, jotka tämä on antanut sopimuksen täytäntöönpanoa varten, siinä määrin ja niin kauan kuin henkilötiedot ovat tarpeen sopimuksen täytäntöönpanoa varten. Kun se on teknisesti mahdollista, rekisteröidyllä pitäisi olla oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle.

(69)

Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen tilannettaan koskevien henkilötietojen käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.

(70)

Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus milloin tahansa ja maksutta vastustaa käsittelyä, mukaan lukien profilointia niiltä osin kuin se liittyy suoramarkkinointiin, olipa kyse sitten alkuperäisestä tai myöhemmästä käsittelystä. Tämä oikeus olisi nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

(71)

Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella, josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista. Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla. Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien lainsäädäntö, joka on annettu petosten ja verovilpin valvomiseksi ja torjumiseksi unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standardien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen.

Rekisteröityä koskevan asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys, rekisterinpitäjän olisi käytettävä profiloinnissa asianmukaisia matemaattisia tai tilastollisia menetelmiä, toteutettava teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan, sekä turvattava henkilötiedot siten, että rekisteröidyn etuihin ja oikeuksiin kohdistuvat mahdolliset riskit otetaan huomioon ja estetään muun muassa luonnollisten henkilöiden syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, geneettisen tilan, terveydentilan tai seksuaalisen suuntautumisen perusteella taikka vaikutukset, joiden johdosta toteutetaan toimenpiteitä, joilla on tällaisia seurauksia. Henkilötietojen erityisluokitteluun perustuva automaattinen päätöksenteko ja profilointi olisi sallittava vain erityistilanteissa.

(72)

Profilointiin sovelletaan sellaisenaan tämän henkilötietojen käsittelyä sääntelevän asetuksen sääntöjä, kuten käsittelyn oikeudellisia perusteita tai tietosuojaperiaatteita. Tällä asetuksella perustetulla Euroopan tietosuojaneuvostolla, jäljempänä ’tietosuojaneuvosto’, olisi oltava mahdollisuus antaa ohjausta tässä yhteydessä.

(73)

Rajoituksia, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, pääsyä tietoihin ja oikeutta oikaista tai poistaa henkilötietoja ja oikeutta siirtää tiedot järjestelmästä toiseen, oikeutta vastustaa tietojenkäsittelyä, profilointiin perustuvia päätöksiä sekä henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, voidaan asettaa unionin oikeudessa tai jäsenvaltion lainsäädännössä siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä yleisen turvallisuuden takaamiseksi, muun muassa ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä taikka rikosten tai, säännellyn ammattitoiminnan yhteydessä, ammattietiikan rikkomisen ennaltaehkäisemistä, tutkintaa ja rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, tai muiden unionin tai jäsenvaltion tärkeiden yleistä etua koskevien syiden vuoksi, erityisesti unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi, yleiseen etuun liittyvistä syistä pidettävien julkisten rekisterien pitämiseksi, arkistoitujen henkilötietojen myöhemmän käsittelyn vuoksi, jonka perusteena on yksittäisten tietojen hankkiminen poliittisesta toiminnasta entisten totalitaaristen valtioiden järjestelmissä, tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien, muun muassa sosiaaliturvan, kansanterveyden ja humanitaaristen tarkoitusten, turvaamiseksi. Näiden rajoitusten olisi oltava perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia.

(74)

Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

(75)

Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoitumisen luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa; kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan; kun käsitellään sellaisia henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta ja ammattiliittoon kuulumista, tai käsitellään geneettisiä tietoja tai terveyttä ja seksuaalista käyttäytymistä tai rikostuomioita ja rikkomuksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; kun arvioidaan henkilökohtaisia ominaisuuksia, erityisesti jos kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; kun käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja; tai kun käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää.

(76)

Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.

(77)

Asianmukaisten toimenpiteiden toteuttamista koskevaa opastusta ja opastusta sen osoittamiseksi, onko rekisterinpitäjä tai henkilötietojen käsittelijä täyttänyt vaatimukset, erityisesti tietojenkäsittelyyn liittyvien riskien tunnistamisen ja niiden alkuperän, luonteen, todennäköisyyden ja vakavuuden arvioinnissa sekä riskien minimoinnin kannalta parhaiden käytäntöjen määrittelyssä, voitaisiin antaa erityisesti hyväksyttyjen käytännesääntöjen, hyväksyttyjen todistusten tai tietosuojaneuvoston suuntaviivojen avulla taikka tietosuojavastaavan tiedotteilla. Tietosuojaneuvosto voi myös antaa suuntaviivoja käsittelytoimista, joiden ei katsota todennäköisesti aiheuttavan suurta riskiä luonnollisten henkilöiden oikeuksille ja vapauksille, ja mainita, mitkä toimenpiteet voivat tällaisissa tilanteissa olla riittäviä tällaisen riskin torjumiseksi.

(78)

Luonnollisten henkilöiden oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät. Jotta voidaan osoittaa, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Tällaisia toimenpiteitä voisivat olla muun muassa henkilötietojen käsittelyn minimointi, henkilötietojen pseudonymisointi mahdollisimman pian, tehtävien ja henkilötietojen käsittelyn läpinäkyvyys, sen mahdollistaminen, että rekisteröity voi valvoa tietojenkäsittelyä ja että rekisterinpitäjä voi luoda ja parantaa turvaominaisuuksia. Kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä sovelluksia, palveluja ja tuotteita, jotka perustuvat henkilötietojen käsittelyyn tai käsittelevät henkilötietoja tehtävänsä täyttämiseksi, tuotteiden, palvelujen ja sovellusten tuottajia olisi kannustettava ottamaan huomioon oikeus tietosuojaan niiden kehittäessä ja suunnitellessa tällaisia tuotteita, palveluja ja sovelluksia ja varmistamaan uusin tekniikka asianmukaisesti huomioon ottaen, että rekisterinpitäjät ja henkilötietojen käsittelijät pystyvät täyttämään tietosuojavelvoitteensa. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet olisi myös huomioitava julkisten tarjouskilpailujen yhteydessä.

(79)

Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.

(80)

Jos unionin alueella olevien rekisteröityjen henkilötietoja käsittelee rekisterinpitäjä tai henkilötietojen käsittelijä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionin alueella riippumatta siitä, edellytetäänkö rekisteröidyltä maksua, tai heidän käyttäytymisensä seurantaan niiltä osin kuin käyttäminen tapahtuu unionissa, rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimettävä edustaja, paitsi jos käsittely on satunnaista eikä kohdistu laajasti henkilötietojen erityisryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin, eikä siihen todennäköisesti liity luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä ottaen huomioon käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset tai jos rekisterinpitäjä on viranomainen tai julkishallinnon elin. Edustajan olisi toimittava rekisterinpitäjän tai henkilötietojen käsittelijän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset. Edustaja olisi nimenomaisesti nimettävä rekisterinpitäjän tai henkilötietojen käsittelijän antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tämän asetuksen mukaiset velvoitteet. Edustajan nimeämisellä ei ole vaikutusta tämän asetuksen mukaisiin rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksiin tai vastuisiin. Edustajan olisi suoritettava tehtävänsä rekisterinpitäjältä tai henkilötietojen käsittelijältä saadun toimeksiannon mukaisesti, mukaan lukien yhteistyö toimivaltaisten valvontaviranomaisten kanssa kaikissa tämän asetuksen noudattamisen varmistamiseksi toteutettavissa toimissa. Nimettyyn edustajaan olisi sovellettava täytäntöönpanotoimia, jos rekisterinpitäjä tai henkilötietojen käsittelijä ei noudata asetuksen säännöksiä.

(81)

Jotta voidaan varmistaa, että henkilötietojen käsittelijä noudattaa tämän asetuksen vaatimuksia rekisterinpitäjän puolesta suorittamassaan käsittelyssä, rekisterinpitäjän olisi antaessaan käsittelytoiminnat henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tämän asetuksen vaatimusten mukaiset tekniset ja organisatoriset toimenpiteet, käsittelyn turvallisuus mukaan lukien. Sitä, että henkilötietojen käsittelijä noudattaa hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia, voidaan käyttää osoittamaan rekisterinpitäjälle asetettujen velvollisuuksien noudattamista. Henkilötietojen käsittelijän suorittamaa käsittelyä olisi säänneltävä unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitukset, henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja siinä olisi otettava huomioon henkilötietojen käsittelijän erityistehtävät ja vastuualueet suoritettavan käsittelyn yhteydessä sekä rekisteröidyn oikeuksiin ja vapauksiin liittyvä riski. Rekisterinpitäjä ja henkilötietojen käsittelijä voivat päättää käyttää yksittäistä sopimusta tai sellaisia vakiosopimuslausekkeita, jotka hyväksyy joko suoraan komissio tai valvontaviranomainen yhdenmukaisuusmekanismin mukaisesti komission hyväksymänä. Kun henkilötietojen käsittelijä on saattanut käsittelyn loppuun rekisterinpitäjän puolesta, sen olisi rekisterinpitäjän valinnan mukaisesti palautettava tai poistettava henkilötiedot, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.

(82)

Rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta.

(83)

Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja.

(84)

Tämän asetuksen noudattamisen edesauttamiseksi tapauksissa, joissa käsittelytoimiin todennäköisesti liittyy luonnollisten henkilöiden oikeuksiin ja vapauksiin liittyvä korkea riski, rekisterinpitäjän olisi vastattava tietosuojaa koskevan vaikutustenarvioinnin suorittamisesta erityisesti kyseisen riskin alkuperän, luonteen, erityisluonteen ja vakavuuden arvioimiseksi. Arvioinnin tulos olisi otettava huomioon määriteltäessä asianmukaisia toimia, jotka on toteutettava, jotta voidaan osoittaa, että henkilötietojen käsittely on tämän asetuksen säännösten mukaista. Jos tietosuojaa koskevan vaikutustenarvioinnin perusteella osoitetaan, että käsittelytoimiin liittyy korkea riski, jota rekisterinpitäjä ei voi asianmukaisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen tietojenkäsittelyä olisi kuultava valvontaviranomaista.

(85)

Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoitumisen luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan tilivelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä.

(86)

Rekisterinpitäjän olisi ilmoitettava henkilötietojen tietosuojaloukkauksesta rekisteröidylle viipymättä, jos tämä tietosuojaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin, jotta rekisteröity voi toteuttaa tarvittavat varotoimet. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia. Tällainen ilmoitus rekisteröidylle olisi tehtävä niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa noudattaen valvontaviranomaisen tai muiden asiaankuuluvien viranomaisten (kuten lainvalvontaviranomaisten) antamia ohjeita. Esimerkiksi tarve lieventää välittömien haittojen riskiä edellyttää sitä, että rekisteröidyille ilmoitetaan viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien henkilötietojen tietoturvaloukkausten estämiseksi voivat olla perusteena pidemmälle ilmoitusajalle.

(87)

Olisi tarkistettava, onko kaikki asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet toteutettu, jotta voidaan selvittää välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja saattaa asia viipymättä valvontaviranomaisen ja rekisteröidyn tiedoksi. Se, että ilmoitus tehtiin ilman aiheetonta viivytystä, olisi selvitettävä ottaen huomioon erityisesti henkilötietojen tietoturvaloukkauksen luonne ja vakavuus sekä tästä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset. Kyseinen ilmoitus voi johtaa siihen, että valvontaviranomainen puuttuu asiaan sille tässä asetuksessa säädettyjen tehtävien ja toimivaltuuksien mukaisesti.

(88)

Laadittaessa yksityiskohtaisia sääntöjä henkilötietojen tietoturvaloukkausten ilmoittamisen muodosta ja ilmoittamisessa sovellettavista menettelyistä olisi otettava asianmukaisesti huomioon loukkaukseen liittyvät seikat, kuten se, oliko henkilötiedot suojattu asianmukaisin teknisin suojauskeinoin, mikä vähentää olennaisesti henkilöllisyyttä koskevan petoksen tai muiden väärinkäytösten todennäköisyyttä. Tällaisissa säännöissä ja menettelyissä olisi myös otettava huomioon lainvalvontaviranomaisten oikeutetut edut tapauksissa, joissa varhainen ilmoittaminen voisi tarpeettomasti haitata henkilötietojen tietoturvaloukkauksen tutkintaa.

(89)

Direktiivissä 95/46/EY on säädetty yleisestä velvollisuudesta ilmoittaa henkilötietojen käsittelystä valvontaviranomaisille. Vaikka tämä velvollisuus aiheuttaa hallinnollista ja taloudellista rasitusta, se ei aina ole edistänyt henkilötietojen suojaa. Tällaisista yleisistä ilmoitusvelvollisuuksista olisi luovuttava ja korvattava ne tehokkailla menettelyillä ja mekanismeilla, jotka keskittyvät sen sijaan niihin käsittelytoimien tyyppeihin, joihin niiden luonteen, laajuuden, asiayhteyden ja tarkoitusten vuoksi todennäköisesti liittyy luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkea riski. Tällaisiin käsittelytoimien tyyppeihin kuuluvat erityisesti toimet, jotka perustuvat erityisesti uusien tekniikoiden käyttöön tai jotka ovat uudenlaisia ja joiden osalta rekisterinpitäjä ei ole ensin tehnyt tietosuojaa koskevaa vaikutustenarviointia, tai tietosuojaa koskeva vaikutustenarviointi on tullut tarpeelliseksi, koska aikaa on kulunut siitä kun käsittely alkoi.

(90)

Tapauksissa, joissa luonnollisten henkilöiden oikeuksiin tai vapauksiin kohdistuu korkea riski, rekisterinpitäjän olisi kyseisen riskin erityisen todennäköisyyden ja vakavuuden arvioimiseksi käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä riskin alkuperän huomioon ottaen tehtävä ennen tietojenkäsittelyä tietosuojaa koskeva vaikutustenarviointi. Tässä vaikutustenarvioinnissa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä suojatoimia ja mekanismeja, joiden avulla lievennetään edellä mainittua riskiä ja varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu.

(91)

Tätä olisi sovellettava erityisesti laajoihin käsittelytoimiin, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja alueellisella, kansallisella tai ylikansallisella tasolla, jotka voivat vaikuttaa suureen määrään rekisteröityjä ja joihin todennäköisesti liittyy korkea suuri riski esimerkiksi tietojen arkaluonteisuuden vuoksi, jos uutta tekniikkaa käytetään saavutetun teknologisen osaamistason mukaisesti hyvin laajasti myös muihin käsittelytoimiin, joihin liittyy rekisteröityjen oikeuksiin ja vapauksiin vaikuttava korkea riski, varsinkin silloin kun rekisteröityjen on kyseisten toimien johdosta hankalampi käyttää oikeuksiaan. Tietosuojaa koskeva vaikutustenarviointi olisi toteutettava myös tapauksissa, joissa henkilötietoja käsitellään tiettyjä luonnollisia henkilöitä koskevien päätösten tekemiseksi kyseisten tietojen profilointiin perustuvan luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällisen ja kattavan arvioinnin perusteella tai erityisiä henkilötietoryhmiä, biometrisiä tietoja taikka tietoja, jotka koskevat rikostuomioita ja rikkomuksia tai niihin liittyviä turvaamistoimenpiteitä, koskevan käsittelyn perusteella. Tietosuojaa koskeva vaikutustenarviointi on tarpeen myös yleisölle avoimien alueiden laaja-alaisessa valvonnassa, erityisesti jos käytetään optoelektronisia laitteita, tai kaikissa muissa toimissa, jos toimivaltainen valvontaviranomainen katsoo, että käsittelyyn todennäköisesti liittyy korkea riski rekisteröityjen oikeuksien ja vapauksien kannalta erityisesti siitä syystä, että ne estävät rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta tai siitä syystä, että kyseisiä toimia toteutetaan järjestelmällisesti laajassa mittakaavassa. Henkilötietojen käsittelyä ei saisi pitää laaja-alaisena, jos käsittely koskee yksittäisen lääkärin, muun terveydenhuollon ammattilaisen tai lakimiehen asiakkaiden henkilötietoja. Tällaisissa tapauksissa tietosuojaa koskevan vaikutustenarvioinnin ei pitäisi olla pakollista.

(92)

Joissain olosuhteissa voi olla järkevää ja taloudellista laatia tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan asioita laajemmin kuin yhden projektin kannalta, esimerkiksi kun viranomaiset tai julkishallinnon elimet aikovat luoda yhteisen sovelluksen tai käsittelyalustan tai kun useat rekisterinpitäjät aikovat ottaa käyttöön yhteisen sovelluksen tai käsittely-ympäristön kokonaista teollisuuden alaa tai segmenttiä tai jotakin laajalti käytettävää horisontaalista toimintoa varten.

(93)

Jäsenvaltiot voivat katsoa, että tällainen arviointi on syytä tehdä ennen käsittelytoimien aloittamista, kun hyväksytään jäsenvaltioiden lainsäädäntöä, johon viranomaisen tai julkishallinnon elimen tehtävien suorittaminen perustuu ja jolla säädellään siihen liittyvää käsittelytointa tai liittyviä käsittelytoimia.

(94)

Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, suojaustoimenpiteiden ja -keinojen puuttumisen vuoksi suuri luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttava riski, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen käsittelytoimien aloittamista olisi kuultava valvontaviranomaista. On todennäköistä, että tällainen korkea riski liittyy tietyntyyppiseen henkilötietojen käsittelyyn ja käsittelyn laajuuteen ja toistumistiheyteen, mikä voi aiheuttaa vahinkoa myös luonnollisen henkilön oikeuksille ja vapauksille tai merkitä niihin puuttumista. Valvontaviranomaisen olisi vastattava kuulemispyyntöön määrätyn ajan kuluessa. Valvontaviranomaisen reagoimattomuus määräajan puitteissa ei kuitenkaan saisi vaikuttaa valvontaviranomaisen mahdollisiin toimiin sille tässä asetuksessa annettujen tehtävien ja valtuuksien puitteissa, kuten valtaan kieltää käsittelytoimia. Osana kuulemismenettelyä valvontaviranomaiselle voidaan toimittaa käsittelyn osalta toteutetun tietosuojaa koskevan vaikutustenarvioinnin tulos, etenkin toimenpiteet, joiden tarkoituksena on vähentää luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

(95)

Henkilötietojen käsittelijän olisi tarvittaessa ja pyydettäessä avustettava rekisterinpitäjää, joka varmistaa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisesta ja valvontaviranomaisen ennakkokuulemisesta aiheutuvien velvoitteiden noudattamisen.

(96)

Valvontaviranomaista olisi kuultava myös silloin, kun valmistellaan henkilötietojen käsittelyä koskevaa lainsäädäntö- tai sääntelytoimenpidettä, jotta voitaisiin varmistaa, että aiotussa käsittelyssä noudatetaan tätä asetusta, ja erityisesti pienentää rekisteröityyn henkilöön kohdistuvia riskejä.

(97)

Jos käsittelyn suorittajana on joku muu viranomainen kuin tuomioistuin tai lainkäyttötehtäviään suorittava riippumaton oikeusviranomainen tai käsittelyn suorittaa yksityisellä sektorilla sellainen rekisterinpitäjä, jonka keskeiseen toimintaan sisältyy rekisteröidyn säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia laajamittaisesti, tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat käsittelystä, joka kohdistuu laajamittaisesti henkilötietojen erityisryhmiin ja rikostuomioita tai rikkomuksia koskeviin tietoihin, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oltava apunaan henkilö, jolla on tietosuojalainsäädäntöä ja alan käytänteitä koskevaa erityisasiantuntemusta ja joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä. Yksityisellä sektorilla rekisterinpitäjän keskeinen toiminta liittyy tämän ensisijaisiin toimintoihin, eikä se liity oheistoimintona tapahtuvaan henkilötietojen käsittelyyn. Tarvittavan erityisasiantuntemuksen taso olisi määriteltävä etenkin rekisterinpitäjän tai henkilötietojen käsittelijän suorittamien tietojenkäsittelytoimien ja käsiteltävien henkilötietojen edellyttämän suojan perusteella. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.

(98)

Rekisterinpitäjien tai henkilötietojen käsittelijöiden ryhmiä edustavia yhdistyksiä tai muita elimiä olisi kannustettava laatimaan käytännesääntöjä tässä asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet. Erityisesti käytännesäännöillä voitaisiin sopeuttaa rekisterinpitäjien tai henkilötietojen käsittelijöiden velvoitteita ottaen huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin todennäköisesti kohdistuva tietojenkäsittelyn riski.

(99)

Laadittaessa, muutettaessa tai laajennettaessa käytännesääntöjä rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten olisi kuultava asianomaisia sidosryhmiä, mahdollisuuksien mukaan myös rekisteröityjä, ja ottaa huomioon kuulemisen pohjalta saadut vastaukset ja niissä esitetyt näkemykset.

(100)

Läpinäkyvyyden ja tämän asetuksen noudattamisen tehostamiseksi olisi edistettävä sertifiointimekanismien sekä tietosuojasinettien ja -merkkien käyttöönottoa, jotta rekisteröidyt voisivat nopeasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason.

(101)

Henkilötietojen rajatylittävät siirrot unionin ulkopuolisiin maihin, kansainvälisiin järjestöihin ja niistä unioniin ovat tarpeen kansainvälisen kaupan ja yhteistyön kehittämiseksi. Tällaisten siirtojen lisääntyminen on luonut uusia henkilötietojen suojaan liittyviä haasteita ja huolenaiheita. Henkilötietojen siirtäminen unionista kolmansissa maissa tai kansainvälisissä järjestöissä oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille ei saisi kuitenkaan vaarantaa luonnollisten henkilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen, ei myöskään silloin, kun kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa tai muussa kansainvälisessä järjestössä oleville rekisterinpitäjille tai henkilötietojen käsittelijöille. Siirtoja kolmansiin maihin ja kansainvälisille järjestöille voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta kaikilta osin noudattaen. Siirto voitaisiin toteuttaa ainoastaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä noudattaa tämän asetuksen säännöksissä vahvistettuja edellytyksiä, jotka liittyvät henkilötietojen siirtoon kolmansiin maihin tai kansainvälisille järjestöille, ellei tämän asetuksen muista säännöksistä muuta johdu.

(102)

Tämä asetus ei vaikuta unionin ja kolmansien maiden välillä tehtyihin kansainvälisiin sopimuksiin, jotka koskevat henkilötietojen siirtoa, rekisteröidyille taattavat asianmukaiset suojatoimet mukaan lukien. Jäsenvaltiot voivat tehdä kansainvälisiä sopimuksia, joihin liittyy henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille, edellyttäen, että tällaiset sopimukset eivät vaikuta tähän asetukseen tai muuhun unionin lainsäädäntöön ja että niihin sisältyy rekisteröityjen perusoikeuksien asianmukainen suojataso.

(103)

Komissio voi tehdä koko unionia koskevan päätöksen siitä, että tietty kolmas maa tai tietty alue tai tietty sektori jossakin kolmannessa maassa tai tietty kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan tai kansainvälisen järjestön osalta, jonka katsotaan tarjoavan tämäntasoista suojaa. Tällöin henkilötietoja voidaan siirtää kyseiseen maahan ilman erillistä lupaa. Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja toimitettuaan kattavat perustelut asianomaiselle kolmannelle maalle tai kansainväliselle järjestölle.

(104)

Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmatta maata tai kolmannen maan aluetta tai tiettyä sektoria arvioidessaan otettava huomioon, miten tietyssä kolmannessa maassa noudatetaan oikeusvaltioperiaatetta, oikeussuojaa ja kansainvälisiä ihmisoikeussääntöjä ja -normeja sekä kyseisen maan yleistä ja alakohtaista lainsäädäntöä, kuten yleistä turvallisuutta, puolustusta, kansallista turvallisuutta sekä yleistä järjestystä ja rikosoikeutta koskevaa lainsäädäntöä. Hyväksyttäessä päätös kolmannen maan alueen tai tietyn sektorin tietosuojan riittävyydestä olisi otettava huomioon selkeät ja objektiiviset perusteet, kuten erityiset henkilötietojen käsittelytoimet ja kolmannessa maassa sovellettavien oikeusnormien soveltamisala ja voimassa oleva lainsäädäntö. Kolmannen maan olisi tarjottava takeet, joilla varmistetaan riittävä tietosuojan taso, joka vastaa olennaisilta osin Euroopan unionissa taattua suojan tasoa, erityisesti kun henkilötietoja käsitellään yhdellä tai useammalla erityisalalla. Kolmannen maan olisi erityisesti varmistettava tehokas ja riippumaton tietosuojavalvonta ja huolehdittava jäsenvaltioiden tietosuojaviranomaisten kanssa käytettävistä yhteistyömekanismeista, ja rekisteröidyille olisi taattava vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot.

(105)

Komission olisi kolmannen maan tai kansainvälisen järjestön tekemien kansainvälisten sitoumusten lisäksi otettava huomioon velvoitteet, jotka johtuvat kolmannen maan tai kansainvälisen järjestön osallistumisesta monenvälisiin tai alueellisiin järjestelmiin, ja otettava huomioon erityisesti sellaiset velvoitteet, jotka koskevat henkilötietojen suojaamista, sekä kyseisten velvoitteiden täytäntöönpano. Erityisesti olisi otettava huomioon kolmannen maan liittyminen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 28 päivänä tammikuuta 1981 tehtyyn Euroopan neuvoston yleissopimukseen ja sen lisäpöytäkirjaan. Komission olisi kuultava tietosuojaneuvostoa arvioidessaan kolmansien maiden tai kansainvälisten järjestöjen suojan tasoa.

(106)

Komission olisi valvottava kolmannen maan tai sen alueen tai tietyn sektorin tai kansainvälisen järjestön tietosuojan tasoa koskevien päätösten, kuten direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan perusteella tehtyjen päätösten, toimivuutta. Komission tehdessä päätöksiä tietosuojan riittävyydestä sen olisi tehtävä määräaikaisarviointi niiden toimivuudesta. Tällaista määräaikaisarviointia tehtäessä olisi kuultava kyseistä kolmatta maata tai kansainvälistä järjestöä ja otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Valvoessaan ja toteuttaessaan määräaikaisarviointeja komission olisi otettava huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset. Komission olisi arvioitava kohtuullisen ajan kuluessa viimeksi mainittujen päätösten toimivuutta ja raportoitava olennaisista löydöksistä Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 182/2011 (12) tarkoitetulle, tämän asetuksen mukaisesti perustetulle komitealle, Euroopan parlamentille ja neuvostolle.

(107)

Komissio voi todeta, että jokin kolmas maa, kolmannen maan alue tai tietty sektori taikka kansainvälinen järjestö ei enää tarjoa riittävän tasoista tietosuojaa. Tällöin henkilötietojen siirtäminen kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle olisi kiellettävä, elleivät tässä asetuksessa säädetyt edellytykset, jotka liittyvät siirtoihin asianmukaisia suojatoimia soveltaen, myös siirtoihin yritystä koskevien sitovien sääntöjen perusteella, ja erityistilanteita koskeviin poikkeuksiin, täyty. Tällaisessa tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä. Komission olisi hyvissä ajoin ilmoitettava kolmannelle maalle tai kansainväliselle järjestölle perustelut ja aloitettava sen kanssa neuvottelut tilanteen korjaamiseksi.

(108)

Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita. Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa. Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin. Myös viranomaiset ja julkiset elimet voivat toteuttaa siirtoja kolmansien maiden viranomaisten tai julkisten elinten tai vastaavia tehtäviä suorittavien kansainvälisten järjestöjen kanssa esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella. Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava toimivaltaisen valvontaviranomaisen lupa.

(109)

Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään vakiosuojalausekkeita.

(110)

Konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän olisi voitava soveltaa sitä koskevia hyväksyttyjä sitovia sääntöjä kansainvälisiin tiedonsiirtoihinsa unionista samaan konserniin tai yhteistä taloudellista toimintaa harjoittavaan yritysryhmään kuuluville organisaatioille, kunhan näihin sitoviin sääntöihin on sisällytetty kaikki olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet, joiden avulla voidaan varmistaa asianmukaiset suojatoimet tällaisia henkilötietojen siirtoja tai siirtojen ryhmiä varten.

(111)

Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut nimenomaisen suostumuksensa ja kun siirto tapahtuu satunnaisesti ja on tarpeellinen sopimukselle tai oikeudelliselle vaateelle, riippumatta siitä, onko kyse oikeudellisesta menettelystä tai hallinnollisesta tai tuomioistuimen ulkopuolisesta menettelystä, sääntelyelimen menettelyt mukaan luettuina. Olisi myös säädettävä mahdollisuudesta tehdä tiedonsiirtoja, kun unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvat, tärkeää yleistä etua koskevat syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jonka oikeutettu etu sitä edellyttää. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää henkilötietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joiden oikeutettu etu sitä edellyttää, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia siten, että otetaan täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet.

(112)

Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisestä tiedonvaihdosta kilpailuviranomaisten, vero- tai tullihallintojen, finanssivalvonnasta vastaavien viranomaisten tai sosiaaliturvasta tai julkisesta terveydenhuollosta vastaavien yksikköjen välillä esimerkiksi tartuntatautien vuoksi tehtävän kontaktien jäljityksen yhteydessä tai urheilussa esiintyvän dopingin vähentämiseksi ja/tai lopettamiseksi. Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen, kuten fyysisen koskemattomuuden ja hengen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen tietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jäsenvaltioiden olisi ilmoitettava komissiolle tällaisista säännöksistä. Jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, hänen henkilötietojensa siirto kansainväliselle humanitaariselle järjestölle, jotta se voisi suorittaa tehtävän, joka sille Geneven yleissopimusten nojalla kuuluu, tai aseellisissa konflikteissa sovellettavan kansainvälisen humanitaarisen oikeuden noudattamiseksi, voidaan katsoa tarpeelliseksi yleistä etua koskevan tärkeän syyn vuoksi tai koska se on rekisteröidyn elintärkeiden etujen mukaista.

(113)

Tiedonsiirrot, joita ei voida pitää toistuvina ja jotka koskevat vain suppeaa rekisteröityjen määrää, voitaisiin myös sallia rekisterinpitäjän pakottavien oikeutettujen etujen toteuttamiseksi, jos rekisteröidyn edut taikka oikeudet ja vapaudet eivät syrjäytä kyseisiä etuja ja jos rekisterinpitäjä on arvioinut kaikki tällaisiin siirtoihin liittyvät olosuhteet. Rekisterinpitäjän olisi kiinnitettävä erityistä huomiota henkilötietojen luonteeseen sekä ehdotetun käsittelytoimen tai ehdotettujen käsittelytoimien tarkoitukseen ja kestoon sekä tilanteeseen tietojen alkuperämaassa, kolmannessa maassa ja lopullisessa kohdemaassa, ja luonnollisten henkilöiden henkilötietojen käsittelyn yhteydessä näiden perusoikeuksien ja vapauksien suojelemiseksi toteutettuihin asianmukaisiin suojatoimiin. Tällaisten tiedonsiirtojen olisi oltava mahdollisia ainoastaan marginaalisissa tapauksissa, joihin mikään muu siirtämisperuste ei sovellu. Tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi otettava huomioon tiedon lisäämistä koskevat yhteiskunnan oikeutetut odotukset. Rekisterinpitäjän olisi ilmoitettava tiedonsiirrosta valvontaviranomaiselle ja rekisteröidylle.

(114)

Jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista.

(115)

Jotkut kolmannet maat hyväksyvät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten henkilöiden ja oikeushenkilöiden käsittelytoimia. Näihin voi kuulua kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätöksiä, joissa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista ja jotka eivät perustu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla kansainvälisen oikeuden vastaista ja estää tähän asetukseen perustuvan luonnollisten henkilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä tunnustetun tärkeän yleistä etua koskevan syyn vuoksi.

(116)

Henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. Sen vuoksi on edistettävä tietosuojavalvontaviranomaisten tiiviimpää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ja toteuttaa tutkimuksia kansainvälisten kumppaniensa kanssa. Jotta voidaan kehittää kansainvälisiä yhteistyömekanismeja, joilla helpotetaan ja tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanoa varten, komission ja valvontaviranomaisten olisi toimivaltansa käyttöön liittyvissä toimissa vaihdettava tietoja ja tehtävä yhteistyötä kolmansien maiden toimivaltaisten viranomaisten kanssa vastavuoroisuuden pohjalta ja tämän asetuksen mukaisesti.

(117)

Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on perustaa jäsenvaltioihin valvontaviranomaiset, joille on myönnetty valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti. Jäsenvaltioiden olisi voitava perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti.

(118)

Valvontaviranomaisten riippumattomuudella ei tarkoiteta, ettei valvontaviranomaisten kuluihin voitaisi soveltaa valvonta- tai seurantamekanismeja tai kohdistaa tuomioistuinvalvontaa.

(119)

Jos jäsenvaltio perustaa useita valvontaviranomaisia, sen olisi säädettävä lailla menettelyistä, joiden avulla varmistetaan, että nämä valvontaviranomaiset osallistuvat tehokkaasti yhdenmukaisuusmekanismin toimintaan. Asianomaisen jäsenvaltion olisi tällöin erityisesti nimettävä valvontaviranomainen, joka toimii yhteyspisteenä ja varmistaa näiden viranomaisten tehokkaan osallistumisen mekanismiin sekä takaa nopean ja sujuvan yhteistyön muiden valvontaviranomaisten, tietosuojaneuvoston ja komission kanssa.

(120)

Kullekin valvontaviranomaiselle olisi osoitettava taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa. Kullakin valvontaviranomaisella olisi oltava erillinen ja julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

(121)

Valvontaviranomaisen jäseneen tai jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä. Erityisesti olisi varmistettava, että kyseiset jäsenet nimittää läpinäkyvällä menettelyllä joko jäsenvaltion parlamentti, hallitus tai valtionpäämies hallituksen, hallituksen jäsenen, parlamentin tai parlamentin kamarin esityksestä taikka riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu. Valvontaviranomaisen riippumattomuuden varmistamiseksi sen jäsenen tai jäsenten on toimittava rehellisesti ja pidätyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa. Valvontaviranomaisella olisi oltava oma henkilöstö, jonka valitsee valvontaviranomainen itse tai jäsenvaltion lainsäädännöllä perustettu riippumaton elin ja jonka olisi toimittava valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa valvonnassa.

(122)

Jokaisen valvontaviranomaisen olisi oltava oman jäsenvaltionsa alueella toimivaltainen käyttämään toimivaltaa ja suorittamaan tehtäviä, jotka sille on annettu tämän asetuksen mukaisesti. Tämän olisi katettava erityisesti käsittely, jota suoritetaan sen oman jäsenvaltion alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, viranomaisten tai yleisen edun hyväksi toimivien yksityisten elinten suorittama henkilötietojen käsittely, käsittely, joka vaikuttaa sen alueella oleviin rekisteröityihin tai sellaisen rekisterinpitäjän tai henkilötietojen käsittelijän suorittama käsittely, joka ei ole sijoittautunut unioniin, kun käsittely kohdistuu sen alueella asuviin rekisteröityihin. Tähän olisi kuuluttava rekisteröidyn tekemien valitusten käsittely, asetuksen soveltamista koskevien tutkimusten suorittaminen sekä yleisen tietoisuuden edistäminen henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista.

(123)

Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa ilman, että tarvitaan mitään jäsenvaltioiden välistä sopimusta keskinäisen avunannon antamisesta tai tällaisesta yhteistyöstä.

(124)

Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon, tai jos käsittely, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä, vaikuttaa tai on omiaan vaikuttamaan merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan viranomaisen olisi toimittava johtavana viranomaisena. Sen olisi tehtävä yhteistyötä sellaisten muiden viranomaisten kanssa, joita asia koskee, koska rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka niiden jäsenvaltion alueella, koska käsittely vaikuttaa merkittävästi niiden alueella asuviin rekisteröityihin tai koska niille on tehty valitus. Jos rekisteröity, joka ei asu kyseisessä jäsenvaltiossa, on tehnyt valituksen, myös valvontaviranomaisen, jolle tällainen valitus on tehty, olisi oltava asianomainen valvontaviranomainen. Tietosuojaneuvoston, jonka tehtäviin kuuluu suuntaviivojen antaminen kaikista tämän asetuksen soveltamiseen liittyvistä kysymyksistä, olisi voitava antaa suuntaviivoja erityisesti kriteereistä, jotka on otettava huomioon, jotta voidaan arvioida, vaikuttaako kyseessä oleva käsittely merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa ja mistä asiaankuuluva ja perusteltu vastalause muodostuu.

(125)

Johtavalla viranomaisella olisi oltava toimivalta antaa sitovia päätöksiä toimenpiteistä, joita sovelletaan sille tämän asetuksen mukaisesti annettuihin valtuuksiin. Valvontaviranomaisen olisi johtavan viranomaisen ominaisuudessaan otettava asianomaiset valvontaviranomaiset tiiviisti mukaan päätöksentekomenettelyyn ja koordinoitava niiden toimintaa. Valvontaviranomaisen, jolle valitus on tehty, olisi annettava päätös tapauksissa, joissa päätös koskee rekisteröidyn valituksen hylkäämistä kokonaan tai osittain.

(126)

Johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten olisi sovittava yhdessä kyseisestä päätöksestä, ja se olisi osoitettava rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan, ja sen olisi oltava rekisterinpitäjää ja henkilötietojen käsittelijää sitova. Rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava tarvittavat toimenpiteet varmistaakseen, että tätä asetusta noudatetaan ja että johtavan valvontaviranomaisen rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikalle tiedoksi antama päätös pannaan täytäntöön unionissa toteutettavien käsittelytoimien osalta.

(127)

Jokaisella valvontaviranomaisella, joka ei toimi johtavana valvontaviranomaisena, olisi oltava toimivalta käsitellä paikallisia tapauksia, joissa rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon mutta kyseisen tietojen käsittelyn aihe koskee vain yhdessä jäsenvaltiossa suoritettua tietojen käsittelyä ja siihen liittyy vain saman yhden jäsenvaltion rekisteröityjä, esimerkiksi jos henkilötietojen käsittelyn aihe koskee työntekijöiden tietojen käsittelyä työllisyyteen liittyvissä yhteyksissä jäsenvaltiossa. Tällaisissa tapauksissa valvontaviranomaisen olisi ilmoitettava asiasta viipymättä johtavalle valvontaviranomaiselle. Kun johtavalle valvontaviranomaiselle on ilmoitettu, sen olisi päätettävä, käsitteleekö se asiaa johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten väliseen yhteistyöhön perustuvan ”yhden luukun” järjestelmän puitteissa vai olisiko asiasta ilmoittaneen valvontaviranomaisen käsiteltävä sitä paikallistasolla. Johtavan valvontaviranomaisen päättäessä siitä, käsitteleekö se asiaa, sen olisi otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon, jotta varmistetaan päätöksen tehokas täytäntöönpano rekisterinpitäjään tai henkilötietojen käsittelijään nähden. Jos johtava valvontaviranomainen päättää käsitellä asiaa, asiasta ilmoittaneella valvontaviranomaisella olisi oltava mahdollisuus toimittaa päätösehdotus, jonka johtava valvontaviranomainen ottaa huomioon mahdollisimman kattavasti laatiessaan päätösehdotuksensa mainitun yhden luukun järjestelmän puitteissa.

(128)

Johtavaa valvontaviranomaista ja yhden luukun järjestelmää koskevia sääntöjä ei pitäisi soveltaa, jos käsittelyn suorittavat viranomaiset tai yleisen edun hyväksi toimivat yksityiset elimet. Tällaisissa tapauksissa ainoana valvontaviranomaisena, jolla on toimivalta käyttää sille tämän asetuksen mukaisesti annettuja valtuuksia, olisi oltava sen jäsenvaltion valvontaviranomainen, johon viranomainen tai yksityinen elin on sijoittautunut.

(129)

Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät valituksia, ja, rajoittamatta syyttäjäviranomaisten jäsenvaltion lainsäädännön mukaisia valtuuksia, valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet. Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto. Jäsenvaltiot voivat täsmentää muita tehtäviä, jotka liittyvät tämän asetuksen mukaiseen henkilötietojen suojaan. Valvontaviranomaisten valtuuksia olisi käytettävä unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen asianmukaisten menettelytakeiden mukaisesti puolueettomasti, asianmukaisesti ja kohtuullisessa ajassa. Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaisi häneen epäedullisesti, ja vältetään aiheuttamasta asianomaisille henkilöille tarpeettomia kustannuksia ja liiallisia haittoja. Toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion prosessioikeuden erityisvaatimusten mukaisesti, joita ovat esimerkiksi ennakkoluvan saamista koskeva vaatimus. Jokainen valvontaviranomaisen oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antanut valvontaviranomainen ja toimenpiteen antamispäivä, sen olisi oltava valvontaviranomaisen johtajan tai hänen valtuuttamansa valvontaviranomaisen jäsenen allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen. Tämä ei saisi estää vahvistamasta lisävaatimuksia jäsenvaltion prosessioikeuden nojalla. Oikeudellisesti sitovan päätöksen antaminen tarkoittaa, että siihen voidaan kohdistaa tuomioistuinvalvontaa päätöksen antaneen valvontaviranomaisen jäsenvaltiossa.

(130)

Jos valvontaviranomainen, jolle valitus on osoitettu, ei ole johtava valvontaviranomainen, johtavan valvontaviranomaisen olisi tehtävä tiivistä yhteistyötä sen valvontaviranomaisen kanssa, jolle valitus on osoitettu, tässä asetuksessa säädettyjen yhteistyötä ja johdonmukaisuutta koskevien säännösten mukaisesti. Tällaisissa tapauksissa johtavan valvontaviranomaisen olisi oikeusvaikutuksia tuottavia toimenpiteitä – hallinnolliset sakot mukaan luettuina – toteuttaessaan otettava mahdollisimman kattavasti huomioon sen valvontaviranomaisen näkemykset, jolle valitus on osoitettu ja jolla olisi oltava edelleen toimivalta suorittaa mitä tahansa tutkimuksia oman jäsenvaltionsa alueella yhteistyössä johtavan valvontaviranomaisen kanssa.

(131)

Tapauksissa, joissa toisen valvontaviranomaisen olisi toimittava johtavana valvontaviranomaisena rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimissa mutta valituksen konkreettinen aihe tai mahdollinen rikkominen koskee rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimia ainoastaan siinä jäsenvaltiossa, jossa valitus on tehty tai mahdollinen rikkominen havaittu, ja asia ei merkittävästi vaikuta tai ole omiaan merkittävästi vaikuttamaan muissa jäsenvaltioissa oleviin rekisteröityihin, valvontaviranomaisen, joka vastaanottaa valituksen tai joka havaitsee tilanteita tai jolle muulla tavoin tiedotetaan tilanteista, joihin liittyy mahdollisia tämän asetuksen rikkomisia, olisi pyrittävä sovintoratkaisuun rekisterinpitäjän kanssa, ja jos tämä ei onnistu, käytettävä kaikkia valtuuksiaan. Tähän olisi kuuluttava: erityiskäsittely, joka suoritetaan valvontaviranomaisen jäsenvaltion alueella tai kyseisen jäsenvaltion alueella olevien rekisteröityjen suhteen; käsittely, joka suoritetaan valvontaviranomaisen jäsenvaltion alueella oleville rekisteröidyille nimenomaisesti suunnattujen tavaroiden tai palvelujen tarjoamisen yhteydessä; tai käsittely, joka on arvioitava ottaen huomioon jäsenvaltion lainsäädännön mukaiset asiaankuuluvat lakisääteiset vaatimukset.

(132)

Yleisölle suunnattuun valvontaviranomaisen tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä pienet ja keskisuuret yritykset mukaan lukien, sekä luonnollisille henkilöille erityisesti koulutuksen yhteydessä.

(133)

Valvontaviranomaisten olisi autettava toisiaan tehtävien suorittamisessa ja annettava keskinäistä apua, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano sisämarkkinoilla. Keskinäistä apua pyytänyt valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen, jos se ei saa vastausta keskinäistä apua koskevaan pyyntöön kuukauden kuluessa siitä, kun toinen valvontaviranomainen on vastaanottanut pyynnön.

(134)

Jokaisen valvontaviranomaisen olisi tarvittaessa osallistuttava valvontaviranomaisten yhteisiin operaatioihin. Pyynnön vastaanottanut valvontaviranomainen olisi velvoitettava vastaamaan pyyntöön tietyssä määräajassa.

(135)

Olisi perustettava yhdenmukaisuusmekanismi valvontaviranomaisten keskinäistä yhteistyötä varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen kaikkialla unionissa. Tätä mekanismia olisi sovellettava erityisesti silloin kun valvontaviranomainen aikoo hyväksyä oikeusvaikutuksia tuottavan toimenpiteen sellaisiin käsittelytoimiin liittyen, jotka vaikuttavat olennaisella tavalla merkittävään määrään useissa eri jäsenvaltioissa olevia rekisteröityjä. Sitä olisi sovellettava myös silloin kun joku asianomainen valvontaviranomainen tai komissio pyytää tällaisen asian käsittelyä yhdenmukaisuusmekanismin puitteissa. Tämä mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla.

(136)

Yhdenmukaisuusmekanismin soveltamiseksi tietosuojaneuvoston olisi annettava lausunto tietyssä määräajassa, jos sen jäsenten enemmistö niin päättää tai jos joku asianomainen valvontaviranomainen tai komissio sitä pyytää. Tietosuojaneuvostolla olisi myös oltava valtuudet antaa oikeudellisesti sitovia päätöksiä, kun valvontaviranomaisten välillä on kiistoja. Tätä tarkoitusta varten sen olisi lähtökohtaisesti annettava jäsentensä kahden kolmasosan enemmistöllä oikeudellisesti sitovia päätöksiä selkeästi määritellyissä tapauksissa, joissa valvontaviranomaisten näkemykset poikkeavat toisistaan erityisesti johtavan valvontaviranomaisen ja asianomaisen valvontaviranomaisen välisessä yhteistyömenettelyssä tapauksen asiaratkaisun suhteen ja erityisesti sen suhteen, onko tätä asetusta rikottu.

(137)

Saattaa olla tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyn oikeuksien ja vapauksien suojaamiseksi, etenkin jos on olemassa vaara, että jonkin rekisteröidylle kuuluvan oikeuden täytäntöönpanolle voi aiheutua merkittävää haittaa. Tätä varten valvontaviranomaisen olisi voitava omalla alueellaan toteuttaa asianmukaisesti perusteltuja väliaikaisia toimenpiteitä, joiden voimassaolo on rajoitettu eikä saa ylittää kolmea kuukautta.

(138)

Tällaisen mekanismin soveltamisen olisi oltava valvontaviranomaisen oikeusvaikutuksia tuottavan toimenpiteen lainmukaisuuden edellytys niissä tapauksissa, joissa sen soveltaminen on pakollista. Muissa tapauksissa, joilla on rajatylittävää merkitystä, olisi sovellettava johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten välistä yhteistyömenettelyä, ja asianomaiset valvontaviranomaiset voivat soveltaa keskinäistä avunantoa ja toteuttaa yhteisiä operaatioita kahden- tai monenväliseltä pohjalta yhdenmukaisuusmekanismiin turvautumatta.

(139)

Tämän asetuksen johdonmukaisen soveltamisen edistämiseksi tietosuojaneuvosto olisi perustettava riippumattomaksi unionin elimeksi. Jotta tietosuojaneuvosto voisi täyttää tavoitteensa, sillä olisi oltava oikeushenkilöllisyys. Tietosuojaneuvostoa olisi edustettava sen puheenjohtaja. Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä. Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu tai näiden edustajat. Komission olisi osallistuttava tietosuojaneuvoston toimintaan ilman äänioikeutta ja Euroopan tietosuojavaltuutetulla olisi oltava erityinen äänioikeus. Tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle etenkin tietosuojan tasosta kolmansissa maissa ja kansainvälisissä järjestöissä sekä tukemalla valvontaviranomaisten yhteistyötä unionissa. Tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

(140)

Euroopan tietosuojavaltuutetun olisi järjestettävä sihteeristö, joka avustaa tietosuojaneuvostoa. Tietosuojaneuvostolle tässä asetuksessa annettujen tehtävien suorittamiseen osallistuvan Euroopan tietosuojavaltuutetun henkilöstön olisi hoidettava tehtävänsä yksinomaan tietosuojaneuvoston puheenjohtajan ohjeiden mukaisesti sekä raportoitava hänelle.

(141)

Jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle. Valitusten jättämisen helpottamiseksi kaikkien valvontaviranomaisen olisi toteutettava toimenpiteitä, esimerkiksi toimitettava valituslomake, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

(142)

Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta. Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä valitus ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta. Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.

(143)

Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on SEUT 263 artiklassa määrätyin edellytyksin oikeus nostaa kumoamiskanne Euroopan unionin tuomioistuimessa tietosuojaneuvoston päätöksiä vastaan. Asianomaisten valvontaviranomaisten, joille kyseiset päätökset on osoitettu ja jotka haluavat riitauttaa ne, on SEUT 263 artiklan mukaisesti nostettava kanne kahden kuukauden kuluessa siitä, kun päätökset on annettu niille tiedoksi. Jos tietosuojaneuvoston päätökset koskevat suoraan ja erikseen rekisterinpitäjää, henkilötietojen käsittelijää tai valituksen tekijää, viimeksi mainittu voi nostaa SEUT 263 artiklan mukaisesti kumoamiskanteen kyseisiä päätöksiä vastaan kahden kuukauden kuluessa kyseisten päätösten julkaisemisesta tietosuojaneuvoston verkkosivustolla. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin toimivaltaisessa kansallisessa tuomioistuimessa sellaista valvontaviranomaisen päätöstä vastaan, joka tuottaa kyseistä henkilöä koskevia oikeusvaikutuksia, sanotun kuitenkaan rajoittamatta tätä oikeutta SEUT 263 artiklan nojalla. Tällaiset päätökset koskevat etenkin valvontaviranomaisen tutkintavaltuuksien, korjaavien valtuuksien ja hyväksymisvaltuuksien käyttöä tai valitusten käsittelemättä jättämistä tai hylkäämistä. Tämä oikeus tehokkaisiin oikeussuojakeinoihin ei kuitenkaan koske valvontaviranomaisten toimenpiteitä, jotka eivät ole oikeudellisesti sitovia, kuten valvontaviranomaisen antamia lausuntoja tai neuvoja. Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut, ja se olisi toteutettava kyseisen jäsenvaltion prosessioikeuden mukaisesti. Kyseisten tuomioistuinten olisi käytettävä täyttä oikeudellista toimivaltaa, mukaan lukien toimivalta tarkastella kaikkia tosiseikkoja koskevia ja oikeudellisia kysymyksiä, jotka ovat niiden käsiteltäväksi saatetun asian kannalta merkittäviä.

Jos valvontaviranomainen on hylännyt tai jättänyt käsittelemättä valituksen, valituksen tekijä voi nostaa kanteen kyseisen jäsenvaltion tuomioistuimissa. Tämän asetuksen soveltamiseen liittyvien oikeussuojakeinojen yhteydessä niiden kansallisten tuomioistuinten, jotka katsovat, että asiaa koskeva päätös on tarpeen, jotta ne voivat antaa tuomion, voivat pyytää, tai SEUT 267 määrätyssä tapauksessa niiden on pyydettävä, unionin tuomioistuimelta ennakkoratkaisua unionin oikeuden tulkinnasta, tämä asetus mukaan lukien. Lisäksi, jos tietosuojaneuvoston päätöksen täytäntöön paneva valvontaviranomaisen päätös on riitautettu kansallisessa tuomioistuimessa ja kyseessä on tietosuojaneuvoston päätöksen pätevyys, kyseisellä kansallisella tuomioistuimella ei ole toimivaltaa julistaa tietosuojaneuvoston päätöstä pätemättömäksi, vaan sen on esitettävä pätevyyttä koskeva ennakkoratkaisukysymys unionin tuomioistuimelle SEUT 267 artiklan, sellaisena kuin se on unionin tuomioistuimen tulkitsemana, mukaisesti aina kun se katsoo, että päätös on pätemätön. Kansallinen tuomioistuin ei kuitenkaan saa esittää tietosuojaneuvoston päätöksen pätevyyttä koskevaa ennakkoratkaisukysymystä sellaisen luonnollisen henkilön tai oikeushenkilön pyynnöstä, jolla oli tilaisuus nostaa kumoamiskanne kyseistä päätöstä vastaan, erityisesti jos päätös koski tätä suoraan ja erikseen, mutta joka ei tehnyt niin SEUT 263 artiklassa vahvistetun määräajan kuluessa.

(144)

Jos tuomioistuimella, jossa on nostettu kanne valvontaviranomaisen päätöstä vastaan, on syytä uskoa, että samaa käsittelyä, kuten saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa tai samaa syytä, koskevia kanteita on nostettu jonkin toisen jäsenvaltion toimivaltaisessa tuomioistuimessa, sen olisi otettava yhteyttä tuohon tuomioistuimeen varmistaakseen tällaisten yhteen liittyvien kanteiden olemassaolon. Jos yhteen liittyviä kanteita on vireillä toisen jäsenvaltion tuomioistuimessa, muut tuomioistuimet kuin se, jossa kanne on ensin nostettu, voivat keskeyttää asian käsittelyn tai ne voivat jonkin osapuolen pyynnöstä jättää asian tutkimatta sen tuomioistuimen hyväksi, jossa kanne on ensin nostettu, jos tämä tuomioistuin on toimivaltainen tutkimaan kyseiset kanteet ja jos tällaisten yhteen liittyvien kanteiden yhdistäminen on tämän tuomioistuimen lain mukaan sallittua. Kanteiden katsotaan liittyvän toisiinsa silloin, kun niiden välillä on niin läheinen yhteys, että kanteiden käsittely ja ratkaiseminen yhdessä näyttää tarkoituksenmukaiselta, jotta niiden käsittely eri oikeudenkäynneissä ei johtaisi ristiriitaisiin tuomioihin.

(145)

Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan niiden jäsenvaltioiden tuomioistuimissa, joihin rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

(146)

Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. Jos rekisterinpitäjät tai henkilötietojen käsittelijät ovat osallistuneet samaan tietojenkäsittelyyn, ne kaikki olisi katsottava vastuuvelvollisiksi koko vahingosta. Jos ne kuitenkin on yhdistetty samaan oikeudelliseen menettelyyn jäsenvaltion lainsäädännön mukaisesti, korvauksen suorittaminen voidaan jakaa sen mukaan, missä määrin kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa käsittelyn aiheuttamasta vahingosta, kunhan vahingon kärsineelle rekisteröidylle taataan täysi ja tosiasiallinen korvaus. Rekisterinpitäjä tai henkilötietojen käsittelijä, joka on maksanut täyden korvauksen, voi myöhemmin nostaa takautumiskanteen muita samaan tietojenkäsittelyyn osallistuneita rekisterinpitäjiä tai henkilötietojen käsittelijöitä vastaan.

(147)

Kun tässä asetuksessa on tuomioistuimen toimivaltaa koskevia erityisiä sääntöjä, jotka liittyvät erityisesti rekisterinpitäjää tai henkilötietojen käsittelijää vastaan korvauksen saamiseksi nostettuihin muutoksenhakukanteisiin, tuomioistuimen toimivaltaa koskevat yleiset säännöt, kuten Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 1215/2012 (13) olevat säännöt, eivät saisi vaikuttaa näiden erityissääntöjen soveltamiseen.

(148)

Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia sakkoja, valvontaviranomaisen tämän asetuksen mukaisesti määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Jos kyseessä on vähäinen rikkominen tai jos määrättävä sakko olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan sakon sijasta antaa huomautus. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. Seuraamusten, kuten hallinnollisten sakkojen, määräämiseen olisi sovellettava riittäviä menettelytakeita unionin lainsäädännön ja perusoikeuskirjan yleisten periaatteiden mukaisesti, tehokkaat oikeussuojakeinot ja asianmukainen prosessi mukaan luettuina.

(149)

Jäsenvaltiot voivat vahvistaa tämän asetuksen rikkomiseen sekä tämän asetuksen mukaisesti ja siinä asetetuissa rajoissa annettujen kansallisten sääntöjen rikkomiseen sovellettavia rikosoikeudellisia seuraamuksia koskevat säännöt. Nämä rikosoikeudelliset seuraamukset voivat mahdollistaa myös tämän asetuksen rikkomisella saadun hyödyn menettämisen. Kyseisten kansallisten sääntöjen rikkomiseen sovellettavien rikosoikeudellisten seuraamusten ja hallinnollisten seuraamusten määräämisen ei kuitenkaan tulisi johtaa ne bis in idem -periaatteen rikkomiseen unionin tuomioistuimen tulkinnan mukaan.

(150)

Tämän asetuksen rikkomisen vuoksi määrättävien hallinnollisten seuraamusten lujittamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia sakkoja. Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien sakkojen enimmäismäärä ja määrän asettamisen perusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki erityisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja sen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Silloin kun sakkoja määrätään yritykselle, yritys olisi ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi. Jos hallinnollisia sakkoja määrätään henkilöille, jotka eivät ole yrityksiä, valvontaviranomaisen olisi sakon sopivan määrän harkinnassa otettava huomioon jäsenvaltion yleinen tulotaso ja henkilön taloudellinen tilanne. Yhdenmukaisuusmekanismia voidaan myös käyttää hallinnollisten sakkojen johdonmukaisen soveltamisen edistämiseksi. Jäsenvaltioilla olisi oltava vastuu määritellä onko viranomaisille määrättävä hallinnollisia sakkoja ja missä määrin. Hallinnollisen sakon määräämisellä tai varoituksen antamisella ei ole vaikutusta valvontaviranomaisten muiden valtuuksien soveltamiseen eikä muihin tämän asetuksen mukaisiin seuraamuksiin.

(151)

Tanskan ja Viron oikeusjärjestelmät eivät mahdollista tämän asetuksen mukaisia hallinnollisia sakkoja. Hallinnollisia sakkoja koskevia sääntöjä voi soveltaa niin, että Tanskassa sakon määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena ja Virossa sakon määrää valvontaviranomainen rikkomusmenettelyn puitteissa, edellyttäen että kyseisten jäsenvaltioiden sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Toimivaltaisten kansallisten tuomioistuinten olisi siksi otettava huomioon sakon määräävän valvontaviranomaisen antama suositus. Määrättävien sakkojen pitäisi joka tapauksessa olla tehokkaita, oikeasuhteisia ja varoittavia.

(152)

Sikäli kuin tässä asetuksessa ei yhdenmukaisteta hallinnollisia seuraamuksia tai tarvittaessa muissa tapauksissa, esimerkiksi silloin, kun kyseessä on tämän asetuksen vakava rikkominen, jäsenvaltioiden olisi pantava täytäntöön järjestelmä, jossa määrätään tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista. Tällaisten rikosoikeudellisten tai hallinnollisten seuraamusten luonne olisi määriteltävä jäsenvaltion lainsäädännössä.

(153)

Jäsenvaltioiden lainsäädännössä olisi sovitettava yhteen sananvapautta ja tiedonvälityksen vapautta, muun muassa journalistista, akateemista, taiteellista ja kirjallista ilmaisua, koskevat säännöt ja tämän asetuksen mukainen oikeus henkilötietojen suojaan. Eräiden tämän asetuksen säännösten noudattamista koskevia poikkeuksia tai vapautuksia olisi tarvittaessa myönnettävä yksinomaan journalistisia tarkoituksia tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettavaan henkilötietojen käsittelyyn, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan sekä oikeus sananvapauden ja tiedonvälityksen vapauteen perusoikeuskirjan 11 artiklassa vahvistetulla tavalla. Tätä olisi sovellettava erityisesti audiovisuaalialalla sekä uutis- ja lehtiarkistoissa tapahtuvaan henkilötietojen käsittelyyn. Jäsenvaltioiden olisi tätä varten hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja poikkeuksista näiden perusoikeuksien tasapainottamista varten. Jäsenvaltioiden olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä, johdonmukaisuutta ja tietojenkäsittelyyn liittyviä erityistilanteita. Jos nämä vapautukset tai poikkeukset vaihtelevat jäsenvaltiosta toiseen, olisi sovellettava rekisterinpitäjään sovellettavaa jäsenvaltion lainsäädäntöä. Jotta voitaisiin ottaa huomioon sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa yhteiskunnissa, tähän vapauteen liittyviä käsitteitä, kuten journalismia, on tulkittava väljästi.

(154)

Tätä asetusta sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate. Virallisten asiakirjojen julkisuutta voidaan pitää yleisenä etuna. Viranomaisen tai julkishallinnon elimen olisi voitava luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja, jos kyseiseen viranomaiseen tai julkishallinnon elimeen sovellettavassa unionin oikeudessa tai jäsenvaltioiden lainsäädännössä niin säädetään. Kyseisessä lainsäädännössä olisi sovitettava yhteen virallisten asiakirjojen julkisuus ja julkisen sektorin hallussa olevien tietojen uudelleenkäyttö sekä oikeus henkilötietojen suojaan, ja sen vuoksi siinä voidaan säätää tarvittavasta yhteensovittamisesta tämän asetuksen mukaisen henkilötietojen suojaa koskevan oikeuden kanssa. Viranomaisia ja julkishallinnon elimiä koskevaan viittaukseen olisi tässä yhteydessä sisällytettävä kaikki viranomaiset ja muut elimet, jotka kuuluvat asiakirjojen saatavuutta koskevan jäsenvaltion lainsäädännön piiriin. Euroopan parlamentin ja neuvoston direktiivillä 2003/98/EY (14) ei puututa eikä millään tavalla vaikuteta unionin ja jäsenvaltion lainsäädännön säännösten mukaiseen luonnollisten henkilöiden suojelun tasoon henkilötietojen käsittelyssä, eikä sillä etenkään muuteta tässä asetuksessa säädettyjä velvollisuuksia ja oikeuksia. Kyseistä direktiiviä ei saisi etenkään soveltaa asiakirjoihin, jotka eivät ole saatavilla tai joiden saatavuutta on rajoitettu asiakirjojen saatavuutta koskevien järjestelmien perusteella henkilötietojen suojaamiseksi, ja sellaisiin kyseisten järjestelmien perusteella saatavilla olevien asiakirjojen osiin, jotka sisältävät henkilötietoja, joiden uudelleenkäytön on lainsäädännössä säädetty olevan ristiriidassa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä annetun lain kanssa.

(155)

Jäsenvaltion lainsäädännöllä tai työehtosopimuksilla, mukaan lukien ”paikalliset sopimukset”, voidaan vahvistaa erityissäännöksiä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti niistä edellytyksistä, joiden mukaisesti henkilötietoja voidaan käsitellä työsuhteen yhteydessä työntekijän suostumuksen perusteella taikka palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuuden ja monimuotoisuuden toteutuminen työpaikalla, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.

(156)

Henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi sovellettava tämän asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Näillä suojatoimilla olisi varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaate. Henkilötietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten on tehtävä, jos rekisterinpitäjä on arvioinut, onko kyseiset tarkoitukset mahdollista saavuttaa käsittelemällä tietoja, joiden avulla ei voida tai ei enää voida tunnistaa rekisteröityjä, kunhan asianmukaiset suojatoimet (kuten tietojen pseudonymisointi) on toteutettu. Jäsenvaltioiden olisi toteutettava asianmukaiset suojatoimet henkilötietojen käsittelylle yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Jäsenvaltioille olisi annettava valtuudet vahvistaa erityisin edellytyksin, joihin sovelletaan rekisteröityjä koskevia asianmukaisia suojatoimia, yksityiskohtaisia vaatimuksia ja poikkeuksia, jotka koskevat tietovaatimuksia, oikeuksia oikaista tai poistaa henkilötiedot sekä tulla unohdetuksi, rajoittaa käsittelyä ja siirtää tiedot järjestelmästä toiseen sekä vastustaa tietojenkäsittelyä, kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Kyseiset edellytykset ja suojatoimet voivat edellyttää erityisiin menettelyihin rekisteröityjen käyttäessä mainittuja oikeuksia, jos tämä on asianmukaista tietyssä käsittelyssä tavoiteltujen tarkoitusten sekä teknisten ja organisatoristen toimenpiteiden vuoksi, joilla pyritään henkilötietojen käsittelyn minimointiin oikeasuhteisuuden ja tarpeellisuuden periaatteiden nojalla. Henkilötietojen käsittelyssä tieteellisiä tarkoituksia varten olisi myös noudatettava muita asiaan liittyviä lakisääteisiä vaatimuksia, kuten kliinisiä kokeita koskevia sääntöjä.

(157)

Yhdistämällä rekistereistä saatuja tietoja tutkijat voivat saada erittäin arvokasta uutta tietämystä esimerkiksi laajalle levinneistä sairauksista, kuten sydän- ja verisuonitaudeista, syövästä ja masennuksesta. Rekistereiden pohjalta tutkimustuloksia voidaan vahvistaa, koska ne perustuvat laajaan väestöaineistoon. Yhteiskuntatieteissä rekistereiden pohjalta tehty tutkimus antaa tutkijoille mahdollisuuden saada keskeistä tietämystä useiden yhteiskunnallisten tilanteiden, esimerkiksi työttömyyden ja koulutuksen pitkän aikavälin vastaavuussuhteesta muihin elämäntilanteisiin. Rekistereiden perusteella saadut tutkimustulokset tarjoavat luotettavaa korkealaatuista tietämystä, joka voi toimia pohjana tietoon perustuvan politiikan laatimiselle ja toteuttamiselle, parantaa monien ihmisten elämänlaatua sekä lisätä sosiaalipalvelujen vaikuttavuutta. Näin ollen henkilötietoja voidaan käsitellä tieteellisiin tutkimustarkoituksiin tieteellisen tutkimuksen helpottamiseksi edellyttäen, että unionin oikeudessa tai jäsenvaltion lainsäädännössä asetettuja asianmukaisia edellytyksiä ja suojatoimia noudatetaan.

(158)

Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään arkistointitarkoituksiin, ottaen huomioon, että tätä asetusta ei sovelleta kuolleiden henkilöiden henkilötietoihin. Viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita, olisi unionin oikeuden tai jäsenvaltion lainsäädännön nojalla oltava palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja levittää tietueita, joilla on pysyvää yleistä etua koskevaa merkitystä, sekä myöntää pääsy niihin. Jäsenvaltiolla olisi lisäksi oltava mahdollisuus säätää, että henkilötietoja voidaan käsitellä myöhemmin arkistointitarkoituksiin, esimerkiksi erityistietojen hankkimiseksi poliittisesta toiminnasta entisten totalitaaristen valtioiden järjestelmissä, kansanmurhasta, rikoksista ihmisyyttä vastaan ja erityisesti holokaustista tai sotarikoksista.

(159)

Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään tieteellisiä tutkimustarkoituksia varten. Henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tämän asetuksen soveltamista varten tulkittava laajasti niin, että se tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta. Siinä olisi lisäksi otettava huomioon SEUT 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva unionin tavoite. Tieteellisiin tutkimustarkoituksiin olisi sisällyttävä myös kansanterveyden alalla yleistä etua varten tehdyt tutkimukset. Henkilötietojen käsittelyä tieteellisiin tutkimustarkoituksiin koskevien erityispiirteiden huomioon ottamiseksi olisi sovellettava erityisiä edellytyksiä etenkin henkilötietojen julkaisuun tai muuhun luovuttamiseen tieteellisten tutkimustarkoitusten yhteydessä. Jos tieteellisen tutkimuksen tulokset erityisesti terveysalalla antavat aihetta jatkotoimenpiteisiin rekisteröidyn edun mukaisesti, tämän asetuksen yleisiä sääntöjä olisi sovellettava kyseisiin toimenpiteisiin.

(160)

Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään historiallisia tutkimustarkoituksia varten. Tähän olisi lisäksi sisällyttävä historiantutkimus ja sukututkimustarkoituksiin tehty tutkimus ottaen huomioon, että tätä asetusta ei sovelleta kuolleisiin henkilöihin.

(161)

Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 536/2014 (15) asiaankuuluvia säännöksiä olisi sovellettava suostumukseen osallistua kliinisiin lääketutkimuksiin liittyviin tieteellisiin tutkimustoimiin.

(162)

Tätä asetusta olisi sovellettava, jos henkilötietoja käsitellään tilastotarkoituksia varten. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi tässä asetuksessa asetetuissa rajoissa määritettävä tilastotarkoituksiin tapahtuvan henkilötietojen käsittelyn tilastollinen sisältö, tietoihin pääsyn valvonta ja yksityiskohtaiset vaatimukset sekä asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien turvaamiseksi ja tilastosalaisuuden varmistamiseksi. Tilastollisilla tarkoituksilla tarkoitetaan mitä tahansa henkilötietojen keräämis- ja käsittelytoimenpidettä, joka on tarpeen tilastotutkimuksia varten tai tilastollisten tulosten tuottamiseksi. Näitä tilastollisia tuloksia voidaan käyttää myöhemmin eri tarkoituksiin, kuten tieteellisiin tutkimustarkoituksiin. Tilastollinen tarkoitus pitää sisällään sen, että tilastollisiin tarkoituksiin tehtävän käsittelyn tuloksena ei ole henkilötietoja vaan yhdistelmätietoja ja että tätä tulosta tai näitä tietoja ei hyödynnetä ketään luonnollista henkilöä koskevissa toimenpiteissä tai päätöksissä.

(163)

Luottamukselliset tiedot, joita unionin ja kansalliset tilastoviranomaiset keräävät virallisten eurooppalaisten ja kansallisten tilastojen laatimiseksi, olisi suojattava. Euroopan tilastoja olisi kehitettävä, laadittava ja levitettävä SEUT 338 artiklan 2 kohdassa vahvistettujen tilastollisten periaatteiden mukaisesti, mutta kansallisissa tilastoissa olisi lisäksi noudatettava jäsenvaltion lainsäädäntöä. Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 223/2009 (16) annetaan yksityiskohtaisempi selvitys eurooppalaisia tilastoja koskevan tilastosalaisuuden suojaamisesta.

(164)

Jäsenvaltiot voivat vahvistaa lainsäädännöllä tässä asetuksessa asetetuissa rajoissa erityiset säännöt, joiden avulla taataan vaitiolovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen henkilötietojen suojaa koskevan oikeuden ja vaitiolovelvollisuuden yhteensovittamiseksi, kun kyse on valvontaviranomaisten valtuuksista saada rekisterinpitäjältä tai henkilötietojen käsittelijältä pääsy henkilötietoihin ja rekisterinpitäjän ja henkilötietojen käsittelijän toimitiloihin. Tämä ei vaikuta jäsenvaltioiden nykyisiin, unionin oikeuden mukaisiin velvollisuuksiin hyväksyä vaitiolovelvollisuutta koskevia sääntöjä.

(165)

Tässä asetuksessa kunnioitetaan kirkkojen ja uskonnollisten yhdistysten tai yhdyskuntien asemaa, joka niillä on voimassa olevan perustuslain mukaisesti jäsenvaltioissa, eikä puututa siihen, kuten SEUT 17 artiklassa todetaan.

(166)

Jotta voidaan saavuttaa tämän asetuksen tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä SEUT 290 artiklan mukaisesti. Delegoituja säädöksiä olisi annettava erityisesti sertifiointimekanismeja koskevista kriteereistä ja vaatimuksista, vakiomuotoisilla kuvakkeilla annettavista tiedoista ja menettelyistä, joilla tällaisia kuvakkeita tarjotaan käyttöön. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla. Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.

(167)

Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovalta tässä asetuksessa säädetyn mukaisesti. Tätä valtaa olisi käytettävä asetuksen (EU) N:o 182/2011 mukaisesti. Tässä yhteydessä komission olisi harkittava erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.

(168)

Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan täytäntöönpanosäädöksiä rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä sekä henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista; käytännesäännöistä; teknisistä standardeista ja mekanismeista sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyydestä; vakiosuojalausekkeiden hyväksymisestä; muodon ja menettelyjen hyväksymisestä rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä yritystä koskevista sitovista säännöistä sähköisin keinoin toteutettavaa tietojenvaihtoa varten; sekä keskinäisestä avunannosta; järjestelyistä valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten.

(169)

Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun saatavilla olevasta näytöstä käy ilmi, että kolmas maa, kyseisen kolmannen maan alue tai tietojenkäsittelyn sektori taikka kansainvälinen järjestö ei tarjoa riittävää tietosuojaa, ja kun se on tarpeen pakottavista ja kiireellisistä syistä.

(170)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita eli varmistaa luonnollisten henkilöiden yhdenmukaista suojelua ja henkilötietojen vapaata liikkuvuutta unionissa, vaan ne voidaan toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen (SEU) 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Kyseisessä artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi.

(171)

Direktiivi 95/46/EY olisi korvattava tällä asetuksella. Tämän asetuksen soveltamisen alkamispäivänä suoritettavana olevat käsittelyt olisi saatettava tämän asetuksen mukaisiksi kahden vuoden kuluessa tämän asetuksen voimaantulosta. Jos käsittely perustuu direktiivin 95/46/EY mukaiseen suostumukseen, rekisteröidyn ei tarvitse antaa henkilötietojen käsittelijälle uudestaan suostumustaan käsittelyn jatkamiseen tämän asetuksen soveltamisen alkamispäivän jälkeen, jos suostumuksen antamistapa on ollut tämän asetuksen edellytysten mukainen. Direktiiviin 95/46/EY perustuvat komission päätökset ja valvontaviranomaisten antamat hyväksynnät pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai kumotaan.

(172)

Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti, ja hän on antanut lausunnon 7 päivänä maaliskuuta 2012 (17).

(173)

Tätä asetusta olisi sovellettava kaikkiin sellaisiin perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskeviin seikkoihin, joihin ei sovelleta Euroopan parlamentin ja neuvoston direktiivissä 2002/58/EY (18) säädettyjä erityisiä velvoitteita, joilla on sama tavoite, rekisterinpitäjää koskevat velvoitteet ja luonnollisten henkilöiden oikeudet mukaan lukien. Tämän asetuksen ja direktiivin 2002/58/EY keskinäisen suhteen selkeyttämiseksi olisi kyseistä direktiiviä tarkistettava. Kun tämä asetus on hyväksytty, direktiiviä 2002/58/EY olisi tarkasteltava uudelleen erityisesti sen ja tämän asetuksen keskinäisen yhdenmukaisuuden varmistamiseksi,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

Yleiset säännökset

1 artikla

Kohde ja tavoitteet

1.   Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.

2.   Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

3.   Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.

2 artikla

Aineellinen soveltamisala

1.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2.   Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a)

jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;

b)

jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;

c)

jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;

d)

jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

3.   Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan asetusta (EY) N:o 45/2001. Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset on mukautettava tämän asetuksen periaatteiden ja sääntöjen mukaisiksi 98 artiklaa noudattaen.

4.   Tällä asetuksella ei rajoiteta direktiivin 2000/31/EY soveltamista etenkään niiltä osin kuin on kyse tuon direktiivin 12–15 artiklassa säädetyistä välittäjinä toimivien palveluntarjoajien vastuuta koskevista säännöistä.

3 artikla

Alueellinen soveltamisala

1.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.

2.   Tätä asetusta sovelletaan unionissa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin, jos käsittely liittyy

a)

tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai

b)

näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa.

3.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin vaan toimii paikassa, jossa sovelletaan jonkin jäsenvaltion lakia kansainvälisen julkisoikeuden nojalla.

4 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan

1)

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

2)

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

3)

’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä,

4)

’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,

5)

’pseudonymisoimisella’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu,

6)

’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

7)

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)

’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

9)

’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti,

10)

’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

11)

rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

12)

’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

13)

’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla,

14)

’biometrisillä tiedoilla’ kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa,

15)

’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,

16)

’päätoimipaikalla’

a)

kun kyseessä on rekisterinpitäjä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään rekisterinpitäjän unionissa sijaitsevassa toisessa toimipaikassa ja viimeksi mainitulla toimipaikalla on toimivalta panna kyseiset päätökset täytäntöön; tällöin päätoimipaikaksi katsotaan toimipaikka, jossa kyseiset päätökset on tehty;

b)

kun kyseessä on henkilötietojen käsittelijä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, ja jos henkilötietojen käsittelijällä ei ole keskushallintoa unionissa, sitä henkilötietojen käsittelijän unionissa sijaitsevaa toimipaikkaa, jossa henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä suoritettava pääasiallinen käsittelytoiminta tapahtuu siinä määrin kuin henkilötietojen käsittelijään sovelletaan tämän asetuksen mukaisia erityisiä velvoitteita,

17)

’edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista,

18)

’yrityksellä’ taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa,

19)

’konsernilla’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä,

20)

’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojeluperiaatteita, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän sisällä,

21)

’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,

22)

’osallistuvalla valvontaviranomaisella’ valvontaviranomaista, jota henkilökäsittely koskee, koska

a)

rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle;

b)

käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin; tai

c)

kyseiselle valvontaviranomaiselle on tehty valitus,

23)

’rajatylittävällä käsittelyllä’ joko

a)

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai

b)

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin,

24)

’merkityksellisellä ja perustellulla vastalauseella’ vastalausetta päätösehdotukseen, joka koskee sitä, onko tätä asetusta rikottu vai ei, tai tapauksen mukaan sitä, onko rekisterinpitäjän tai henkilötietojen käsittelijän suhteen suunniteltu toimi asetuksen mukainen, ja jossa osoitetaan selvästi päätösehdotuksen aiheuttamien riskien merkitys rekisteröityjen perusoikeuksille ja -vapauksille ja tapauksen mukaan henkilötietojen vapaalle liikkuvuudelle unionin alueella,

25)

’tietoyhteiskunnan palveluilla’ palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (19) 1 artiklan 1 kohdan b alakohdassa,

26)

’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

II LUKU

Periaatteet

5 artikla

Henkilötietojen käsittelyä koskevat periaatteet

1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)

niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);

b)

ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”);

c)

henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

d)

henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”);

e)

ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”);

f)

niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

2.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).

6 artikla

Käsittelyn lainmukaisuus

1.   Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)

rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b)

käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)

käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)

käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e)

käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f)

käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2.   Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.

3.   Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

a)

unionin oikeudessa; tai

b)

rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4.   Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

a)

henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;

b)

henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

c)

henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti;

d)

aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

e)

asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo.

7 artikla

Suostumuksen edellytykset

1.   Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.

2.   Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova.

3.   Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

4.   Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

8 artikla

Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot

1.   Jos 6 artiklan 1 kohdan a alakohtaa sovelletaan, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

Jäsenvaltiot voivat lainsäädännössään säätää tätä tarkoitusta koskevasta alemmasta iästä, joka ei saa olla alle 13 vuotta.

2.   Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen.

3.   Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen, kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

9 artikla

Erityisiä henkilötietoryhmiä koskeva käsittely

1.   Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2.   Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)

rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

b)

käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

c)

käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

d)

käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)

käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)

käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;

g)

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

h)

käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

i)

käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;

j)

käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3.   Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

4.   Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

10 artikla

Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely

Rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Kattavaa rikosrekisteriä pidetään vain julkisen viranomaisen valvonnassa.

11 artikla

Käsittely, joka ei edellytä tunnistamista

1.   Jos tarkoitukset, joihin rekisterinpitäjä käsittelee henkilötietoja, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi.

2.   Jos tämän artiklan 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä pystyy osoittamaan, ettei se pysty tunnistamaan rekisteröityä, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle, jos tämä on mahdollista. Tällaisissa tapauksissa 15–20 artiklaa ei sovelleta, paitsi jos rekisteröity näiden artikloiden mukaisia oikeuksiaan käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa.

III LUKU

Rekisteröidyn oikeudet

1 Jakso

Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt

12 artikla

Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1.   Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

2.   Rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15–22 artiklan mukaisten oikeuksien käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

3.   Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

4.   Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

5.   Jäljempänä olevan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko

a)

periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai

b)

kieltäytyä suorittamasta pyydettyä toimea.

Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

6.   Jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.

7.   Jäljempänä 13 ja 14 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

8.   Siirretään komissiolle valta antaa 92 artiklan mukaisesti delegoituja säädöksiä, jotta voidaan määrittää kuvakkeilla annettavat tiedot ja menettelyt, joilla standardoituja kuvakkeita tarjotaan käyttöön.

2 Jakso

Ilmoittaminen ja pääsy henkilötietoihin

13 artikla

Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä

1.   Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

a)

rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot;

b)

tapauksen mukaan tietosuojavastaavan yhteystiedot;

c)

henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;

d)

rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

d)

henkilötietojen vastaanottajat tai vastaanottajaryhmät;

e)

tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)

henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)

rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;

c)

oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;

d)

oikeus tehdä valitus valvontaviranomaiselle;

e)

onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;

f)

automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

3.   Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

4.   Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot.

14 artikla

Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä

1.   Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

a)

rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot;

b)

tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot;

c)

henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;

d)

kyseessä olevat henkilötietoryhmät;

e)

mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

f)

tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)

henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)

rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

c)

rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;

d)

oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;

e)

oikeus tehdä valitus valvontaviranomaiselle;

f)

mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä;

g)

automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

3.   Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot:

a)

kohtuullisen ajan kuluttua mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet;

b)

jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

c)

jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

4.   Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

5.   Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

a)

rekisteröity on jo saanut tiedot;

b)

kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten siten, että noudatetaan 89 artiklan 1 kohdassa esitettyjä edellytyksiä ja suojatoimia, tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti; tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville;

c)

tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

d)

tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.

15 artikla

Rekisteröidyn oikeus saada pääsy tietoihin

1.   Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

a)

käsittelyn tarkoitukset;

b)

kyseessä olevat henkilötietoryhmät;

c)

vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;

d)

mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)

rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;

f)

oikeus tehdä valitus valvontaviranomaiselle;

g)

jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot;

h)

automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

2.   Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus 46 artiklassa tarkoitetuista siirtoa koskevista asianmukaisista suojatoimista.

3.   Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

4.   Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

3 Jakso

Tietojen oikaiseminen ja poistaminen

16 artikla

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

17 artikla

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

1.   Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

a)

henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)

rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

c)

rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan nojalla;

d)

henkilötietoja on käsitelty lainvastaisesti;

e)

henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;

f)

henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

2.   Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

3.   Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

a)

sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

b)

rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

c)

kansanterveyteen liittyvää yleistä etua koskevista syistä 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;

d)

yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti; tai

e)

oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

18 artikla

Oikeus käsittelyn rajoittamiseen

1.   Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:

a)

rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

b)

käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

c)

rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

d)

rekisteröity on vastustanut henkilötietojen käsittelyä 21 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

2.   Jos käsittelyä on rajoitettu 1 kohdan nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

3.   Jos rekisteröity on saanut käsittelyn rajoitetuksi 1 kohdan nojalla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.

19 artikla

Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava kaikenlaisista 16 artiklan, 17 artiklan 1 kohdan ja 18 artiklan mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

20 artikla

Oikeus siirtää tiedot järjestelmästä toiseen

1.   Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

a)

käsittely perustuu suostumukseen 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan nojalla tai sopimukseen 6 artiklan 1 kohdan b alakohdan nojalla; ja

b)

käsittely suoritetaan automaattisesti.

2.   Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

3.   Tämän artiklan 1 kohdassa tarkoitetun oikeuden käyttäminen ei kuitenkaan saa rajoittaa 17 artiklan soveltamista. Tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten.

4.   Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

4 Jakso

Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtävät yksittäispäätökset

21 artikla

Vastustamisoikeus

1.   Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

2.   Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.

3.   Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

4.   Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 ja 2 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

5.   Tietoyhteiskunnan palvelujen käyttämisen yhteydessä ja sen estämättä, mitä direktiivissä 2002/58/EY määrätään, rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen.

6.   Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä itseään koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

22 artikla

Automatisoidut yksittäispäätökset, profilointi mukaan luettuna

1.   Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

2.   Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

a)

on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;

b)

on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai

c)

perustuu rekisteröidyn nimenomaiseen suostumukseen.

3.   Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.

4.   Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

5 Jakso

Rajoitukset

23 artikla

Rajoitukset

1.   Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

a)

kansallinen turvallisuus;

b)

puolustus;

c)

yleinen turvallisuus;

d)

rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;

e)

muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;

f)

oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;

g)

säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano;

h)

valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–e ja g alakohdassa tarkoitetuissa tapauksissa;

i)

rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;

j)

yksityisoikeudellisten kanteiden täytäntöönpano.

2.   Edellä 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin

a)

käsittelytarkoitusta tai käsittelyn ryhmiä;

b)

henkilötietoryhmiä;

c)

käyttöön otettujen rajoitusten soveltamisalaa;

d)

suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;

e)

rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä;

f)

tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset;

g)

rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja

h)

rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.

IV LUKU

Rekisterinpitäjä ja henkilötietojen käsittelijä

1 Jakso

Yleiset velvollisuudet

24 artikla

Rekisterinpitäjän vastuu

1.   Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

2.   Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

3.   Jäljempänä 40 artiklassa tarkoitettujen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan.

25 artikla

Sisäänrakennettu ja oletusarvoinen tietosuoja

1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2.   Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

3.   Hyväksyttyä 42 artiklan mukaista sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan.

26 artikla

Yhteisrekisterinpitäjät

1.   Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

2.   Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

3.   Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

27 artikla

Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien tai henkilötietojen käsittelijöiden edustajat

1.   Sovellettaessa 3 artiklan 2 kohtaa rekisterinpitäjän tai henkilötietojen käsittelijän on nimettävä kirjallisesti edustaja unionin aluetta varten.

2.   Tämän artiklan 1 kohdassa säädettyä velvollisuutta ei sovelleta

a)

jos käsittely on satunnaista eikä kohdistu laajamittaisesti 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin eikä todennäköisesti aiheuta käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset huomioon ottaen riskiä luonnollisen henkilön oikeuksien ja vapauksille; tai

b)

viranomaisiin tai julkishallinnon elimiin.

3.   Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään heille tarjottavien tavaroiden tai palvelujen yhteydessä tai joiden käyttäytymistä seurataan.

4.   Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava edustajalle toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä rekisterinpitäjän tai henkilötietojen käsittelijän lisäksi tai sijasta kaikissa kysymyksissä, jotka liittyvät käsittelyyn, tämän asetuksen noudattamisen varmistamiseksi.

5.   Se, että rekisterinpitäjä tai henkilötietojen käsittelijä nimeää edustajan, ei rajoita oikeustoimia, jotka voidaan käynnistää rekisterinpitäjää tai henkilötietojen käsittelijää vastaan.

28 artikla

Henkilötietojen käsittelijä

1.   Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.   Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3.   Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä

a)

käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;

b)

varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

c)

toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;

d)

noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;

e)

ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

f)

auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;

g)

rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

h)

saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

4.   Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

5.   Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osatekijänä, jolla osoitetaan, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.

6.   Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa rekisterinpitäjälle tai henkilötietojen käsittelijälle 42 tai 43 artiklan mukaisesti myönnettyä sertifiointia.

7.   Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8.   Valvontaviranomainen voi hyväksyä vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.

9.   Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

10.   Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.

29 artikla

Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa

Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.

30 artikla

Seloste käsittelytoimista

1.   Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

a)

rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;

b)

käsittelyn tarkoitukset;

c)

kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;

d)

henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

e)

tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;

f)

mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;

g)

mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

2.   Kunkin henkilötietojen käsittelijän ja tarvittaessa henkilötietojen käsittelijän edustajan on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

a)

henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;

b)

kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;

c)

tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;

d)

mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

3.   Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

4.   Rekisterinpitäjän tai henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.

5.   Edellä 1 ja 2 kohdassa tarkoitetut velvollisuudet eivät koske yritystä tai järjestöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.

31 artikla

Yhteistyö valvontaviranomaisen kanssa

Rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi.

2 Jakso

Henkilötietojen turvallisuus

32 artikla

Käsittelyn turvallisuus

1.   Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a)

henkilötietojen pseudonymisointi ja salaus;

b)

kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c)

kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

d)

menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

2.   Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

3.   Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.

4.   Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.

33 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1.   Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

2.   Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3.   Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)

kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)

ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)

kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)

kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

4.   Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

5.   Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

34 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1.   Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2.   Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 33 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3.   Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

a)

rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b)

rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

c)

se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

4.   Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

3 Jakso

Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

35 artikla

Tietosuojaa koskeva vaikutustenarviointi

1.   Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

2.   Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.

3.   Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:

a)

luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;

b)

laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin; tai

c)

yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

4.   Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi. Valvontaviranomaisen on toimitettava tällaiset luettelot 68 artiklassa tarkoitetulle neuvostolle.

5.   Valvontaviranomainen voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia. Valvontaviranomaisen on toimitettava tällaiset luettelot tietosuojaneuvostolle.

6.   Jos 4 ja 5 kohdassa tarkoitettu luettelo sisältää käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen rekisteröidyille tai näiden käyttäytymisen seurantaan useissa jäsenvaltioissa tai jos toimet voivat merkittävästi vaikuttaa henkilötietojen vapaaseen liikkuvuuteen unionissa, toimivaltaisen valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa kyseisen luettelon.

7.   Arvioinnin on sisällettävä vähintään:

a)

järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;

b)

arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;

c)

arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja

d)

suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

8.   Se, että asianomaiset rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, otetaan asianmukaisesti huomioon arvioitaessa kyseisten rekisterinpitäjien ja henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.

9.   Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

10.   Jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava unionin oikeus tai jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen käsittelyn oikeusperusteen hyväksymisen yhteydessä, 1–7 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.

11.   Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.

36 artikla

Ennakkokuuleminen

1.   Rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.

2.   Jos valvontaviranomainen katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, valvontaviranomaisen on enintään kahdeksan viikon kuluessa kuulemispyynnöstä annettava kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Jos sovelletaan jatkettua määräaikaa, valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja tarvittaessa henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa pyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes valvontaviranomainen on saanut tiedot, joita se on mahdollisesti pyytänyt kuulemista varten.

3.   Kuullessaan 1 kohdan mukaisesti valvontaviranomaista rekisterinpitäjän on toimitettava valvontaviranomaiselle

a)

tarvittaessa rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyyn osallistuneiden henkilötietojen käsittelijöiden vastuualueet erityisesti konsernin sisällä suoritettavaa käsittelyä varten;

b)

suunnitellun käsittelyn tarkoitus ja keinot;

c)

toimenpiteet ja toteutetut suojatoimet rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi tämän asetuksen nojalla;

d)

tapauksen mukaan tietosuojavastaavan yhteystiedot;

e)

edellä 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi; ja

f)

muut valvontaviranomaisen pyytämät tiedot.

4.   Jäsenvaltioiden on kuultava valvontaviranomaista valmistellessaan kansallisen parlamentin hyväksyntää varten ehdotusta lainsäädäntötoimenpiteeksi tai tällaiseen lainsäädäntötoimenpiteeseen perustuvaa sääntelytoimenpidettä, joka liittyy henkilötietojen käsittelyyn.

5.   Sen estämättä, mitä 1 kohdassa säädetään, jäsenvaltion lainsäädännössä voidaan vaatia rekisterinpitäjiä kuulemaan valvontaviranomaista ja saamaan siltä ennakkolupa, jos rekisterinpitäjä suorittaa henkilötietojen käsittelyn yleiseen etuun liittyvän tehtävän suorittamiseksi, mukaan lukien käsittely sosiaaliturvan ja kansanterveyden alalla.

4 Jakso

Tietosuojavastaava

37 artikla

Tietosuojavastaavan nimittäminen

1.   Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun

a)

tietojenkäsittelyä suorittaa jokin muu viranomainen tai julkishallinnon elin kuin lainkäyttötehtäviään hoitava tuomioistuin;

b)

rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai

c)

rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.

2.   Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.

3.   Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, yksi ainoa tietosuojavastaava voidaan nimittää useampaa tällaista viranomaista tai julkishallinnon elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.

4.   Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan tai, jos unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaaditaan, niiden on nimitettävä tietosuojavastaava. Tietosuojavastaava voi toimia tällaisten rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten puolesta.

5.   Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät.

6.   Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.

7.   Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.

38 artikla

Tietosuojavastaavan asema

1.   Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2.   Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän suorittaessa 39 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien täyttämisessä, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.

3.   Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.

4.   Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tähän asetukseen perustuvien oikeuksiensa käyttöön.

5.   Tietosuojavastaavaa sitoo hänen tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

6.   Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

39 artikla

Tietosuojavastaavan tehtävät

1.   Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:

a)

antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia;

b)

seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

c)

antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti;

d)

tehdä yhteistyötä valvontaviranomaisen kanssa;

e)

toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.

2.   Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

5 Jakso

Käytännesäännöt ja sertifiointi

40 artikla

Käytännesäännöt

1.   Jäsenvaltioiden, valvontaviranomaisten, tietosuojaneuvoston ja komission on edistettävä sellaisten käytännesääntöjen laatimista, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon käsittelyn eri sektorien erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet.

2.   Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä, voivat tämän asetuksen säännösten soveltamisen täsmentämiseksi laatia käytännesääntöjä tai muuttaa tai laajentaa niitä muun muassa seuraavien osalta:

a)

käsittelyn asianmukaisuus ja läpinäkyvyys;

b)

rekisterinpitäjän oikeutetut edut tietyissä yhteyksissä;

c)

henkilötietojen kerääminen;

d)

henkilötietojen pseudonymisointi;

e)

yleisölle ja rekisteröidyille tarkoitettu tiedotus;

f)

rekisteröidyn oikeuksien käyttäminen;

g)

lapsille tarkoitettu tiedotus ja lasten suojelu sekä keinot lapsen vanhempainvastuunkantajan suostumuksen saamiseksi;

h)

tämän asetuksen 24 ja 25 artiklassa tarkoitetut toimenpiteet ja menettelyt sekä 32 artiklassa tarkoitetut toimenpiteet tietojenkäsittelyn turvallisuuden varmistamiseksi;

i)

henkilötietojen tietoturvaloukkauksista ilmoittaminen valvontaviranomaisille ja rekisteröidylle;

j)

henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille; tai

k)

tuomioistuinten ulkopuoliset ja muut riidanratkaisumenettelyt käsittelyä koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen välillä, 77 ja 79 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta.

3.   Käytännesääntöjä, joita sovelletaan rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joihin sovelletaan tätä asetusta, ja jotka on hyväksytty tämän artiklan 5 kohdan mukaisesti ja jotka ovat tämän artiklan 9 kohdan mukaisesti yleisesti päteviä, voivat noudattaa myös rekisterinpitäjät tai henkilötietojen käsittelijät, joihin tätä asetusta ei sovelleta 3 artiklan nojalla, voidakseen tarjota asianmukaiset suojatoimet 46 artiklan 2 kohdan e alakohdassa tarkoitettujen ehtojen mukaisesti siirrettäessä henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille. Tällaisten rekisterinpitäjien tai henkilötietojen käsittelijöiden on joko sopimusperusteisesti tai muulla oikeudellisesti sitovalla tavalla tehtävä sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamiseksi myös rekisteröityjen oikeuksiin.

4.   Tämän artiklan 2 kohdassa tarkoitettuihin käytännesääntöihin on sisällytettävä mekanismit, joiden avulla 41 artiklan 1 kohdassa tarkoitettu elin voi velvoitteen mukaisesti valvoa, että käytännesääntöjä soveltavat rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat niitä, 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia rajoittamatta.

5.   Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, on toimitettava käytännesääntöjen luonnos, muutos tai laajennus valvontaviranomaiselle, joka on 55 artiklan nojalla toimivaltainen. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen, ja hyväksyy tämän käytännesääntöjen luonnoksen, muutoksen tai laajennuksen, jos se katsoo sen tarjoavan riittävät asianmukaiset takeet.

6.   Jos 5 kohdan mukaisesti vahvistetaan, että käytännesääntöjen luonnos, muutos tai laajennus on tämän asetuksen mukainen ja jos kyseiset käytännesäännöt eivät liity käsittelytoimiin useissa eri jäsenvaltioissa, valvontaviranomainen rekisteröi ja julkaisee käytännesäännöt.

7.   Jos käytännesääntöjen luonnos liittyy käsittelytoimiin useissa eri jäsenvaltioissa, 55 artiklan nojalla toimivaltainen valvontaviranomainen toimittaa sen ennen käytännesääntöjen, muutoksen tai laajennuksen hyväksymistä 63 artiklassa tarkoitetun menettelyn mukaisesti tietosuojaneuvostolle, joka antaa lausunnon siitä, onko käytännesääntöjen luonnos, muutos tai laajennus tämän asetuksen mukainen tai, tämän artiklan 3 kohdassa tarkoitetussa tapauksessa, tarjoaako se asianmukaiset suojatoimet.

8.   Jos 7 kohdassa tarkoitetussa lausunnossa vahvistetaan, että käytännesääntöjen luonnos, muutos tai laajennus on tämän asetuksen mukainen, tai 3 kohdassa tarkoitetussa tapauksessa, tarjoaa asianmukaiset suojatoimet, tietosuojaneuvosto toimittaa lausuntonsa komissiolle.

9.   Komissio voi antaa täytäntöönpanosäädöksiä, joissa se toteaa, että sille tämän artiklan 8 kohdan nojalla esitetyt hyväksytyt käytännesäännöt, muutokset tai laajennukset ovat yleisesti päteviä unionissa. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

10.   Komissio huolehtii niiden hyväksyttyjen käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut yleisesti päteviksi 9 kohdan mukaisesti.

11.   Tietosuojaneuvosto kokoaa kaikki hyväksytyt käytännesäännöt, muutokset ja laajennukset ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

41 artikla

Hyväksyttyjen käytännesääntöjen seuranta

1.   Tämän asetuksen 40 artiklan mukaisten käytännesääntöjen noudattamisen seurannan voi hoitaa elin, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia.

2.   Tämän artiklan 1 kohdassa tarkoitettu elin voidaan akkreditoida valvomaan käytännesääntöjen noudattamista, jos se on:

a)

osoittanut riippumattomuutensa ja asiantuntemuksensa käytännesääntöjen kohteen osalta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;

b)

vahvistanut menettelyt, joiden avulla se voi arvioida asianomaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden kelpoisuutta käytännesääntöjen soveltamisessa, seurata, kuinka ne noudattavat niiden säännöksiä, ja tarkastella määräajoin uudelleen niiden toimintaa;

c)

vahvistanut menettelyt ja rakenteet sellaisten valitusten käsittelemiseksi, jotka koskevat käytännesääntöjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee käytännesääntöjä täytäntöön, ja tekee näistä menettelyistä ja rakenteista rekisteröityjen ja yleisön kannalta läpinäkyviä;

d)

osoittanut toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

3.   Toimivaltainen valvontaviranomainen toimittaa tämän artiklan 1 kohdassa tarkoitetun elimen akkreditoimista koskevat kriteeriehdotukset tietosuojaneuvostolle 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.

4.   Rekisterinpitäjän tai henkilötietojen käsittelijän syyllistyessä käytännesääntöjen rikkomiseen tämän artiklan 1 kohdassa tarkoitetun elimen on asianmukaisia suojamääräyksiä noudattaen toteutettava tarvittavia toimia, mukaan lukien asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän määräaikainen pidättäminen tehtävästä tai jättäminen käytännesääntöjen soveltamisalan ulkopuolelle, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen tehtäviä ja valtuuksia ja VIII luvun säännösten soveltamista. Elin ilmoittaa toimivaltaiselle valvontaviranomaiselle kyseisistä toimista ja niiden toteuttamisen syistä.

5.   Toimivaltainen valvontaviranomainen peruuttaa 1 kohdassa tarkoitetun elimen akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta.

6.   Tätä artiklaa ei sovelleta viranomaisten tai julkishallinnon elinten suorittamaan henkilötietojen käsittelyyn.

42 artikla

Sertifiointi

1.   Jäsenvaltiot, valvontaviranomaiset, tietosuojaneuvosto ja komissio kannustavat ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä erityisesti unionin tasolla, minkä tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat käsittelytoimia suorittaessaan tätä asetusta. Mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet on otettava huomioon.

2.   Tietosuojaa koskevia sertifiointimekanismeja, sinettejä ja merkkejä, jotka on hyväksytty 5 kohdan mukaisesti ja joita sovelletaan tämän asetuksen soveltamisalaan kuuluviin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, voidaan ottaa käyttöön myös tarkoituksena osoittaa, että rekisterinpitäjät tai henkilötietojen käsittelijät, joihin tätä asetusta ei sovelleta 3 artiklan nojalla, soveltavat asianmukaisia suojatoimia siirrettäessä henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille 46 artiklan 2 kohdan f alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaiset rekisterinpitäjät tai henkilötietojen käsittelijöiden on joko sopimusperusteisesti tai muulla oikeudellisesti sitovalla tavalla tehtävä sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamiseksi myös rekisteröityjen oikeuksiin.

3.   Sertifioinnin on oltava vapaaehtoista ja helposti saatavilla sellaisen menettelyn perusteella, joka on läpinäkyvä.

4.   Tämän artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta eikä se rajoita 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia.

5.   Tämän artiklan mukaisen sertifioinnin myöntävät 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen kyseisen toimivaltaisen valvontaviranomaisen 58 artiklan 3 kohdan nojalla tai tietosuojaneuvoston 63 artiklan nojalla hyväksymien kriteerien perusteella. Jos tietosuojaneuvosto on hyväksynyt kriteerit, voidaan tehdä yhteinen sertifiointi, eurooppalainen tietosuojasinetti.

6.   Rekisterinpitäjä tai henkilötietojen käsittelijä, joka toimittaa käsittelynsä sertifiointimekanismille, antaa 43 artiklassa tarkoitetulle sertifiointielimelle tai tarvittaessa toimivaltaiselle valvontaviranomaiselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot sekä pääsyn käsittelytoimiinsa.

7.   Sertifiointi myönnetään rekisterinpitäjälle tai henkilötietojen käsittelijälle enintään kolmeksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sitä koskevat vaatimukset edelleen täyttyvät. Jäljempänä 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen peruuttavat sen tarvittaessa, jos sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty.

8.   Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit ja -merkit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

43 artikla

Sertifiointielimet

1.   Sertifioinnin myöntää ja uusii sertifiointielin, jolla on tietosuojaan liittyvä asianmukaisen tason asiantuntemus, sen jälkeen kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien käyttämisen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia. Jäsenvaltioiden on säädettävä siitä, akkreditoiko nämä sertifiointielimet yksi tai molemmat seuraavista:

a)

55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen;

b)

Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (20) mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 -standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia.

2.   Tämän artiklan 1 kohdassa tarkoitettu sertifiointielin voidaan akkreditoida kyseisen kohdan mukaisesti ainoastaan, jos

a)

se on osoittanut riippumattomuutensa ja asiantuntemuksensa sertifioinnin kohteesta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;

b)

se on luvannut noudattaa 42 artiklan 5 kohdassa tarkoitettuja ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymiä kriteerejä;

c)

se on vahvistanut menettelyt tietosuojasertifioinnin, -sinettien ja -merkkien myöntämistä, määräaikaistarkastelua ja peruuttamista varten;

d)

se on vahvistanut menettelyt ja rakenteet, joilla käsitellään valituksia, jotka koskevat sertifiointimenettelyjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee sertifioinnin täytäntöön, ja saattaa nämä menettelyt ja rakenteet rekisteröityjen ja yleisön kannalta läpinäkyviksi; ja

e)

se osoittaa toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

3.   Tämän artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymien kriteerien perusteella. Jos akkreditointi tapahtuu tämän artiklan 1 kohdan b alakohdan nojalla, nämä vaatimukset täydentävät asetuksen (EY) N:o 765/2008 vaatimuksia ja sertifiointielinten menetelmiä ja menettelyjä kuvaavia teknisiä sääntöjä.

4.   Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ovat vastuussa asianmukaisesta sertifiointiin tai tällaisen sertifioinnin peruuttamiseen johtavasta arvioinnista, sanotun kuitenkaan rajoittamatta rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta. Akkreditointi myönnetään enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sertifiointielin täyttää tässä artiklassa säädetyt vaatimukset.

5.   Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ilmoittavat toimivaltaiselle valvontaviranomaiselle syyt pyydetyn sertifioinnin myöntämiseen tai peruuttamiseen.

6.   Valvontaviranomainen julkistaa tämän artiklan 3 kohdassa tarkoitetut vaatimukset ja 42 artiklan 5 kohdassa tarkoitetut kriteerit helposti saatavilla olevassa muodossa. Valvontaviranomaiset toimittavat nämä vaatimukset ja kriteerit myös tietosuojaneuvostolle. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

7.   Toimivaltainen valvontaviranomainen tai kansallinen akkreditointielin peruuttaa tämän artiklan 1 kohdan nojalla sertifiointielimelle myöntämänsä akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta, sanotun kuitenkaan rajoittamatta VIII luvun soveltamista.

8.   Komissiolle siirretään 92 artiklan mukaisesti valta antaa delegoituja säädöksiä, joissa täsmennetään 42 artiklan 1 kohdassa tarkoitettujen tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset.

9.   Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyt näiden sertifiointimekanismien edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

V LUKU

Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

44 artikla

Siirtoja koskeva yleinen periaate

Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

45 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

1.   Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

2.   Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:

a)

oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;

b)

se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, kuten riittävistä valvontavaltuuksista, oikeuksien käyttämistä koskevan avun ja neuvojen tarjoamisesta rekisteröidyille sekä yhteistyön tekemisestä jäsenvaltioiden valvontaviranomaisten kanssa;

c)

asianosaisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai säädöksistä taikka monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.

3.   Komissio voi suojan riittävyyttä arvioituaan päättää, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja tarvittaessa nimetään tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen tai valvontaviranomaiset. Täytäntöönpanosäädös hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4.   Komissio seuraa jatkuvasti kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa tämän artiklan 3 kohdan mukaisesti hyväksyttyjen päätösten ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyjen päätösten toimivuuteen.

5.   Jos saatavilla olevista tiedoista käy ilmi varsinkin tämän artiklan 3 kohdassa tarkoitetun tarkastelun jälkeen, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö ei tarjoa enää tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, komissio tekee tästä päätöksen ja tarvittaessa kumoaa tämän artiklan 3 kohdassa tarkoitetun päätöksen, muuttaa sitä tai lykkää sen voimaantuloa täytäntöönpanosäädöksellä ilman takautuvaa vaikutusta. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Komissio hyväksyy 93 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa.

6.   Komissio aloittaa neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa korjatakseen tilanteen, jonka johdosta 5 kohdan mukainen päätös annettiin.

7.   Edellä tämän artiklan 5 kohdan nojalla annettu päätös ei rajoita 46–49 artiklan mukaisesti tehtäviä henkilötietojen siirtoja kolmanteen maahan tai kyseisen kolmannen maan alueelle tai yhdelle tai useammalle tietylle sektorille tai kansainväliselle järjestölle.

8.   Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietyistä sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei enää ole riittävä.

9.   Komission direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla antamat päätökset pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai kumotaan tämän artiklan 3 tai 5 kohdan mukaisesti annetulla komission päätöksellä.

46 artikla

Siirto asianmukaisia suojatoimia soveltaen

1.   Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2.   Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:

a)

viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

b)

47 artiklan mukaiset yritystä koskevat sitovat säännöt;

c)

komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

d)

tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

e)

40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin;

f)

42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.

3.   Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

a)

rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

b)

säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

4.   Valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.

5.   Hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes kyseinen valvontaviranomainen tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne. Päätökset, jotka komissio on antanut direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai kumotaan tämän artiklan 2 kohdan mukaisesti annetulla komission päätöksellä.

47 artikla

Yritystä koskevat sitovat säännöt

1.   Toimivaltainen valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos

a)

säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin asianomaisiin konsernin tai yritysryhmän jäseniin, jotka harjoittavat yhteistä taloudellista toimintaa, työntekijät mukaan luettuna, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;

b)

säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia heidän henkilötietojensa käsittelyä koskevia oikeuksia; ja

c)

säännöt täyttävät 2 kohdassa säädetyt vaatimukset.

2.   Näissä 1 kohdassa tarkoitetuissa yritystä koskevissa sitovissa säännöissä on määritettävä vähintään

a)

konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, ja sen kaikkien jäsenten rakenne ja yhteystiedot;

b)

tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;

c)

sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;

d)

yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido;

e)

rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;

f)

jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;

g)

se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 13 ja 14 artiklan vaatimusten lisäksi;

h)

kaikkien 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät;

i)

valitusmenettelyt;

j)

mekanismit, joiden avulla konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen varmistetaan. Tällaisia mekanismeja ovat tietosuojaa koskevat tarkastukset ja menetelmät, joilla varmistetaan korjaavat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tällaisten varmistusten tulokset olisi ilmoitettava h alakohdassa tarkoitetulle henkilölle tai yksikölle sekä konsernissa määräysvaltaa käyttävän yrityksen tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän hallitukselle, ja niiden olisi oltava pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla;

k)

mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;

l)

yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön j alakohdassa tarkoitettujen toimenpiteiden varmistamisen tulokset;

m)

mekanismit, joilla ilmoitetaan toimivaltaiselle valvontaviranomaiselle kolmannessa maassa konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän jäseneen mahdollisesta sovellettavista oikeudellisista vaatimuksista, jotka todennäköisesti merkittävästi haittaavat yritystä koskeviin sitoviin sääntöihin sisältyviä takeita; ja

n)

asianmukainen tietosuojakoulutus henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin.

3.   Komissio voi vahvistaa muodon ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

48 artikla

Siirrot ja luovutukset, joita ei sallita unionin lainsäädännössä

Kolmannen maan tuomioistuimen tai hallintoviranomaisen päätös, jossa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista, voidaan tunnustaa tai saattaa millään tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen kuten keskinäiseen oikeusapusopimukseen, sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista..

49 artikla

Erityistilanteita koskevat poikkeukset

1.   Jos ei ole tehty 45 artiklan 3 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä tai ei ole toteutettu 46 artiklassa tarkoitettuja asianmukaisia suojatoimia yritystä koskevat sitovat säännöt mukaan lukien, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa jollakin seuraavista edellytyksistä:

a)

rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;

b)

siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)

siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

d)

siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi;

e)

siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

f)

siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

g)

siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden tai jäsenvaltion lainsäädännön mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, mutta ainoastaan siltä osin kuin rekisterin käytön edellytykset, joista säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa.

Jos siirto ei voi perustua 45 tai 46 artiklassa oleviin sääntöihin, kuten yritystä koskeviin sitoviin sääntöihin, eikä mikään tämän kohdan ensimmäisen alakohdan mukaisista erityistilanteita koskevista poikkeuksista sovellu, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle ainoastaan, jos siirto ei ole toistuva, koskee ainoastaan rajallista määrää rekisteröityjä ja on tarpeen rekisterinpitäjän sellaisten pakottavien ja oikeutettujen etujen toteuttamiseksi, joita rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät syrjäytä, sekä jos rekisterinpitäjä on arvioinut kaikkia tiedonsiirtoon liittyviä seikkoja ja toteuttanut tämän arvioinnin perusteella henkilötietojen suojaa koskevat asianmukaiset suojatoimet. Rekisterinpitäjän on ilmoitettava siirrosta valvontaviranomaiselle. Edellä 13 ja 14 artiklassa mainittujen tietojen lisäksi rekisterinpitäjän on annettava rekisteröidylle tiedot siirrosta sekä pakottavista ja oikeutetuista eduista.

2.   Edellä olevan 1 kohdan ensimmäisen alakohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietoryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

3.   Edellä olevan 1 kohdan ensimmäisen alakohdan a, b ja c alakohtaa ja toista alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.

4.   Edellä 1 kohdan ensimmäisen alakohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.

5.   Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan tärkeää yleistä etua koskevista syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jäsenvaltioiden on ilmoitettava tällaisista säännöksistä komissiolle.

6.   Rekisterinpitäjän tai henkilötietojen käsittelijän on dokumentoitava arviointi ja tämän artiklan 1 kohdan toisessa alakohdassa tarkoitetut asianmukaiset suojatoimet 30 artiklassa tarkoitettuun selosteeseen.

50 artikla

Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

Komissio ja valvontaviranomaiset toteutettavat kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

a)

kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaamista koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

b)

tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoituksella, lähettämällä valituksia käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen, että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

c)

saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)

edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

VI LUKU

Riippumattomat valvontaviranomaiset

1 Jakso

Riippumaton asema

51 artikla

Valvontaviranomainen

1.   Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa, jäljempänä ’valvontaviranomainen’.

2.   Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.

3.   Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, kyseisen jäsenvaltion on nimettävä valvontaviranomainen, joka edustaa viranomaisia tietosuojaneuvostossa, ja perustettava mekanismi, jolla varmistetaan, että muut valvontaviranomaiset noudattavat 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä.

4.   Kunkin jäsenvaltion on toimitettava tämän luvun perusteella antamansa säännökset tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

52 artikla

Riippumattomuus

1.   Kukin valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

2.   Minkään valvontaviranomaisen jäseneen tai jäseniin ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti heidän hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eivätkä he saa pyytää eivätkä ottaa ohjeita miltään taholta.

3.   Kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

4.   Kunkin jäsenvaltion on varmistettava, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.

5.   Kunkin jäsenvaltion on varmistettava, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii asianomaisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.

6.   Kunkin jäsenvaltion on varmistettava, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen ja että sillä on erillinen julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

53 artikla

Valvontaviranomaisen jäseniä koskevat yleiset edellytykset

1.   Jäsenvaltioiden on varmistettava, että niiden valvontaviranomaisten kaikki jäsenet nimitetään läpinäkyvää menettelyä noudattaen niin, että nimittäjänä on:

asianomaisen jäsenvaltion parlamentti;

asianomaisen jäsenvaltion hallitus;

valtionpäämies; taikka

riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu.

2.   Kullakin jäsenellä on oltava tehtävien hoitamisessa ja valtuuksien käyttämisessä tarvittava pätevyys, kokemus ja ammattitaito erityisesti henkilötietojen suojaamisen alalta.

3.   Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hän jää pakolliselle eläkkeelle asianomaisen jäsenvaltion lainsäädännön mukaisesti.

4.   Jäsen voidaan erottaa ainoastaan vakavan väärinkäytöksen perusteella tai jos hän ei enää täytä tehtäviensä suorittamiseen tarvittavia edellytyksiä.

54 artikla

Valvontaviranomaisen perustamista koskevat säännöt

1.   Kunkin jäsenvaltion on laissa säädettävä kaikesta seuraavasta:

a)

kunkin valvontaviranomaisen perustamisesta;

b)

pätevyydestä ja kelpoisuusehdoista, joita kunkin valvontaviranomaisen jäseneksi nimitettäviltä edellytetään;

c)

valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä;

d)

kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä 24 päivän toukokuuta 2016 jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla;

e)

siitä, voidaanko valvontaviranomaisen jäsen tai jäsenet nimittää uudelleen ja, jos näin on, kuinka moneksi toimikaudeksi;

f)

valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä, yhteensopimatonta toimintaa ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen ja tehtävien päättymistä koskevista säännöistä.

2.   Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän asetuksen rikkomisista.

2 Jakso

Toimivalta, tehtävät ja valtuudet

55 artikla

Toimivalta

1.   Jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.

2.   Jos käsittelyn suorittavat viranomaiset tai yksityiset elimet 6 artiklan 1 kohdan c tai e alakohdan nojalla, toimivalta on asianomaisen jäsenvaltion valvontaviranomaisella. Tällöin ei sovelleta 56 artiklaa.

3.   Valvontaviranomaisilla ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.

56 artikla

Johtavan valvontaviranomaisen toimivalta

1.   Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.

2.   Poiketen siitä, mitä 1 kohdassa säädetään, jokaisella valvontaviranomaisella on toimivalta käsitellä sille tehtyä valitusta tai tämän asetuksen mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin.

3.   Edellä tämän artiklan 2 kohdassa tarkoitetuissa tapauksissa valvontaviranomaisen on ilmoitettava johtavalle valvontaviranomaiselle viipymättä tästä asiasta. Johtavan valvontaviranomaisen on kolmen viikon kuluessa ilmoituksen saatuaan päätettävä, käsitteleekö se asian 60 artiklassa säädetyn menettelyn mukaisesti, ja otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon vai ei.

4.   Jos johtava viranomainen päättää käsitellä asiaa, sovelletaan 60 artiklassa säädettyä menettelyä. Johtavalle valvontaviranomaiselle asiasta ilmoittanut valvontaviranomainen voi toimittaa johtavalle valvontaviranomaiselle päätösehdotuksen. Johtavan valvontaviranomaisen on otettava ehdotus huomioon mahdollisimman suuressa määrin laatiessaan 60 artiklan 3 kohdassa tarkoitettua päätösehdotusta.

5.   Jos johtava viranomainen päättää olla käsittelemättä asiaa, johtavalle valvontaviranomaiselle ilmoituksen tehnyt valvontaviranomainen käsittelee asiaa 61 ja 62 artiklan mukaisesti.

6.   Johtava valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän ainoa yhteystaho kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta.

57 artikla

Tehtävät

1.   Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a)

valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;

b)

edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

c)

annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d)

edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

e)

annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

f)

käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g)

tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;

h)

suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

i)

seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

j)

hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;

k)

laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;

l)

annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

m)

kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;

n)

kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

o)

toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;

p)

laadittava ja julkaistava kriteerit 41 artiklan mukaisen elimen akkreditoimiseksi käytännesääntöjen seurantaa varten ja sertifiointielimen akkreditoimiseksi 43 artiklan mukaisesti;

q)

akkreditoitava elin käytännesääntöjen seurantaa varten 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti;

r)

hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

s)

hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;

t)

osallistuttava tietosuojaneuvoston toimintaan;

u)

pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja

v)

suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.

2.   Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3.   Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.

4.   Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

58 artikla

Valtuudet

1.   Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

a)

määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

b)

toteuttaa tutkimuksia tietosuojaa koskevien tarkastusten muodossa;

c)

toteuttaa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien uudelleentarkastelu;

d)

ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;

e)

saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

f)

saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin tai jäsenvaltion prosessioikeuden mukaisesti.

2.   Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

a)

varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b)

antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

c)

määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

d)

määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

e)

määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

f)

asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

g)

määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 16, 17 ja 18 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 17 artiklan 2 kohdan ja 19 artiklan mukaisesti;

h)

peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi tai kieltää sertifiointielintä antamasta sertifiointia silloin kun sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty;

i)

määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

j)

määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

3.   Jokaisella valvontaviranomaisella on kaikki seuraavat hyväksymis- ja neuvontavaltuudet:

a)

antaa rekisterinpitäjälle neuvoja 36 artiklassa tarkoitetun ennakkokuulemismenettelyn mukaisesti;

b)

antaa omasta aloitteestaan tai pyynnöstä lausuntoja kansalliselle parlamentille, jäsenvaltion hallitukselle tai jäsenvaltion lainsäädännön mukaisesti muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

c)

hyväksyä 36 artiklan 5 kohdassa tarkoitettu käsittely, jos jäsenvaltion lainsäädännössä edellytetään tällaista ennakkohyväksyntää;

d)

antaa lausunto käytännesääntöjen luonnoksista ja hyväksyä ne 40 artiklan 5 kohdan mukaisesti;

e)

akkreditoida sertifiointielimet 43 artiklan mukaisesti;

f)

myöntää sertifiointeja ja hyväksyä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

g)

hyväksyä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut tietosuojaa koskevat vakiolausekkeet;

h)

hyväksyä 46 artiklan 3 kohdan a alakohdassa tarkoitetut sopimuslausekkeet;

i)

hyväksyä 46 artiklan 3 kohdan b alakohdassa tarkoitettuja hallinnollisia järjestelyjä; ja

j)

hyväksyä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti.

4.   Valvontaviranomaiselle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.

5.   Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.

6.   Kukin jäsenvaltio voi säätää laissa, että sen valvontaviranomaisella on 1, 2 ja 3 kohdassa tarkoitettujen valtuuksien lisäksi muita valtuuksia. Näiden valtuuksien käyttäminen ei saa haitata VII luvun tehokasta toimivuutta.

59 artikla

Toimintakertomukset

Jokaisen valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon voi sisältyä luettelo ilmoitettujen rikkomusten ja 58 artiklan 2 kohdan mukaisesti toteutettujen toimenpiteiden tyypeistä. Nämä kertomukset on toimitettava kansalliselle parlamentille, hallitukselle ja muille jäsenvaltion lainsäädännössä nimetyille viranomaisille. Ne on saatettava yleisön, komission ja tietosuojaneuvoston saataville.

VII LUKU

Yhteistyö ja yhdenmukaisuus

1 Jakso

Yhteistyö

60 artikla

Johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö

1.   Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.

2.   Johtava valvontaviranomainen voi milloin tahansa pyytää muilta osallistuvilta valvontaviranomaisilta 61 artiklassa tarkoitettua keskinäistä avunantoa ja toteuttaa 62 artiklassa tarkoitettuja yhteisiä operaatioita etenkin toteuttaakseen tutkimuksia tai valvoakseen toisen jäsenvaltion alueelle sijoittautunutta rekisterinpitäjää tai henkilötietojen käsittelijää koskevan toimenpiteen toteuttamista.

3.   Johtavan valvontaviranomaisen on viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille. Sen on viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.

4.   Jos yksikin muista asianomaisista valvontaviranomaisista esittää päätösehdotukseen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on tämän artiklan 3 kohdan mukaisesti kuultu, johtavan valvontaviranomaisen on, ellei se noudata vastalausetta tai katso, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille.

5.   Jos johtava valvontaviranomainen aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.

6.   Jos yksikään muista osallistuvista viranomaisista ei ole vastustanut johtavan viranomaisen toimittamaa päätösehdotusta 4 ja 5 kohdassa tarkoitetun määräajan kuluessa, johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen kyseinen päätösehdotus, joka sitoo niitä.

7.   Johtavan valvontaviranomaisen on hyväksyttävä päätös ja annettava se tiedoksi tilanteen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava muille asianomaisille valvontaviranomaisille ja tietosuojaneuvostolle kyseessä olevasta päätöksestä, mukaan lukien yhteenveto tosiseikoista ja perustelut. Valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava päätöksestä valituksen tekijälle.

8.   Jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on 7 kohdasta poiketen hyväksyttävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle.

9.   Jos johtava valvontaviranomainen ja osallistuvat valvontaviranomaiset ovat yhtä mieltä siitä, että valitus jätetään tutkimatta tai hylätään tietyiltä osin mutta tutkitaan kyseisen valituksen muilta osin, kustakin tällaisesta asian osasta on annettava erillinen päätös. Johtavan valvontaviranomaisen on annettava päätös rekisterinpitäjään liittyvistä toimista ja annettava se tiedoksi jäsenvaltionsa alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava siitä valituksen tekijälle, kun taas valituksen tekijän valvontaviranomaisen on annettava päätös kyseisen valituksen tutkimatta jättämistä tai hylkäämistä koskevilta osin ja annettava se tiedoksi kyseiselle valituksen tekijälle sekä ilmoitettava siitä rekisterinpitäjälle tai henkilötietojen käsittelijälle.

10.   Sen jälkeen kun johtavan valvontaviranomaisen päätös on annettu tiedoksi 7 ja 9 kohdan mukaisesti, rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet varmistaakseen, että päätöstä noudatetaan sen kaikissa unionin alueella sijaitsevissa toimipaikoissa toteutettavissa käsittelytoimissa. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava johtavalle valvontaviranomaiselle tiedoksi päätöksen noudattamiseksi toteutetut toimenpiteet, ja johtavan valvontaviranomaisen on ilmoitettava asiasta muille asianomaisille valvontaviranomaisille.

11.   Jos asianomaisella valvontaviranomaisella on poikkeuksellisissa olosuhteissa syytä katsoa, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, sovelletaan 66 artiklassa tarkoitettua kiireellistä menettelyä.

12.   Johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten on toimitettava tässä artiklassa vaaditut tiedot toisilleen sähköisesti vakiomuodossa.

61 artikla

Keskinäinen avunanto

1.   Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2.   Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3.   Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4.   Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos

a)

sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai

b)

pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.

5.   Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.

6.   Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7.   Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.

8.   Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.

9.   Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

62 artikla

Valvontaviranomaisten yhteiset operaatiot

1.   Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä tutkimuksia ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä.

2.   Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. Edellä olevan 56 artiklan 1 kohdan tai 4 kohdan mukaisesti toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan kyseisiin yhteisiin operaatioihin ja pyytää sitä vastaamaan viipymättä osallistumista koskevaan valvontaviranomaisen pyyntöön.

3.   Valvontaviranomainen voi oman jäsenvaltion lainsäädännön mukaisesti ja avustavan valvontaviranomaisen hyväksynnän perusteella myöntää valtuudet, kuten tutkintavaltuudet, yhteisiin operaatioihin osallistuvan avustavan valvontaviranomaisen jäsenelle tai henkilöstölle, tai siltä osin kuin se on mahdollista vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädännön puitteissa, sallia avustavan valvontaviranomaisen jäsenten tai henkilöstön käyttää tutkintavaltuuksiaan avustavan valvontaviranomaisen jäsenvaltion lainsäädännön mukaisesti. Näitä tutkintavaltuuksia voidaan käyttää ainoastaan vastaanottavan valvontaviranomaisen jäsenten tai henkilöstön johdolla ja heidän läsnä ollessaan. Avustavan valvontaviranomaisen jäseniin tai henkilöstöön sovelletaan vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädäntöä.

4.   Jos avustavan valvontaviranomaisen henkilöstö toimii 1 kohdan mukaisesti toisessa jäsenvaltiossa, vastaanottavan valvontaviranomaisen jäsenvaltio on vastuussa heidän toimistaan, mukaan lukien korvausvastuu mahdollisista vahingoista, joita he ovat aiheuttaneet toimintansa aikana, sen jäsenvaltion lainsäädännön mukaisesti, jonka alueella he toimivat.

5.   Jäsenvaltio, jonka alueella vahinko aiheutui, vastaa vahingon korvaamisesta henkilöstönsä aiheuttamia vahinkoja koskevien ehtojen mukaisesti. Sen avustavan valvontaviranomaisen jäsenvaltion, jonka henkilöstö on aiheuttanut vahinkoa kenelle tahansa henkilölle toisen jäsenvaltion alueella, on korvattava jälkimmäiselle jäsenvaltiolle kokonaisuudessaan korvaukset, jotka tämä on maksanut heidän puolestaan korvaukseen oikeutetuille.

6.   Kukin jäsenvaltio pidättyy 1 kohdassa tarkoitetussa tapauksessa pyytämästä korvausta toiselta jäsenvaltiolta 4 kohdassa tarkoitettujen vahinkojen osalta, sanotun kuitenkaan rajoittamatta sen oikeuksien käyttämistä kolmansiin osapuoliin nähden tai vaikuttamatta 5 kohdan soveltamiseen.

7.   Jos yhteinen operaatio on tarkoitus järjestää ja valvontaviranomainen ei noudata tämän artiklan 2 kohdan toisessa virkkeessä säädettyä velvollisuutta kuukauden kuluessa, muut valvontaviranomaiset voivat toteuttaa väliaikaisen toimenpiteen jäsenvaltionsa alueella 55 artiklan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan tietosuojaneuvoston antama kiireellinen lausunto tai kiireellinen sitova päätös 66 artiklan 2 kohdan nojalla.

2 Jakso

Yhdenmukaisuus

63 artikla

Yhdenmukaisuusmekanismi

Jotta voidaan edistää tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa valvontaviranomaisten on tehtävä yhteistyötä toistensa ja tarvittaessa komission kanssa tämän jakson mukaisen yhdenmukaisuusmekanismin puitteissa.

64 artikla

Tietosuojaneuvoston lausunto

1.   Tietosuojaneuvosto antaa lausunnon aina kun toimivaltainen valvontaviranomainen aikoo toteuttaa jonkin jäljempänä esitetyistä toimenpiteistä. Tätä varten toimivaltaisen valvontaviranomaisen on annettava tietosuojaneuvostolle tiedoksi päätösehdotus

a)

kun toimivaltaisen valvontaviranomaisen tarkoituksena on hyväksyä luettelo käsittelytoimista, joihin sovelletaan 35 artiklan 4 kohdan mukaista tietosuojaa koskevaa vaikutustenarviointivaatimusta;

b)

joka koskee 40 artiklan 7 kohdan mukaista kysymystä siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen;

c)

jonka tarkoituksena on hyväksyä kriteerit 41 artiklan 3 kohdan mukaisen elimen tai 43 artiklan 3 kohdan mukaisen sertifiointielimen akkreditoimiseksi;

d)

jonka tarkoituksena on 46 artiklan 2 kohdan d alakohdassa ja 28 artiklan 8 kohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden määrittäminen;

e)

jonka tarkoituksena on 46 artiklan 3 kohdan a alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

f)

jonka tarkoituksena on 47 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

2.   Jokainen valvontaviranomainen, tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.

3.   Tietosuojaneuvosto antaa 1 ja 2 kohdassa tarkoitetuissa tapauksissa lausunnon sille toimitetusta asiasta, jollei se ole jo antanut lausuntoa samasta asiasta. Kyseinen lausunto on vahvistettava kahdeksan viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon asian monimutkaisuus. Jäsenen, joka ei ole puheenjohtajan ilmoittaman kohtuullisen määräajan kuluessa vastustanut neuvoston jäsenille 5 kohdan mukaisesti toimitettua 1 kohdan mukaista päätösehdotusta, katsotaan hyväksyvän sen.

4.   Valvontaviranomaisten ja komission on ilman aiheetonta viivytystä toimitettava tietosuojaneuvostolle sähköisesti vakiolomaketta käyttäen kaikki olennaiset tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, päätösehdotus, perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, sekä muiden osallistuvien valvontaviranomaisten näkemykset.

5.   Tietosuojaneuvoston puheenjohtajan on ilmoitettava sähköisesti ja ilman aiheetonta viivytystä

a)

tietosuojaneuvoston jäsenille ja komissiolle kaikista sille toimitetuista asiaa koskevista olennaisista tiedoista vakiolomaketta käyttäen. Tietosuojaneuvoston sihteeristö toimittaa tarvittaessa myös käännöksen asiaankuuluvista tiedoista; ja

b)

tapauksen mukaan 1 ja 2 kohdassa tarkoitetulle valvontaviranomaiselle sekä komissiolle annetusta lausunnosta ja julkaistava se.

6.   Toimivaltainen valvontaviranomainen ei saa hyväksyä 1 kohdassa tarkoitettua päätösehdotusta 3 kohdassa tarkoitetun määräajan kuluessa.

7.   Edellä 1 kohdassa tarkoitettu valvontaviranomainen ottaa tietosuojaneuvoston lausunnon huomioon mahdollisimman kattavasti ja ilmoittaa tietosuojaneuvoston puheenjohtajalle sähköisesti kahden viikon kuluessa lausunnon saamisesta, pitäytyykö se päätösehdotuksessaan vai muuttaako se sitä, ja toimittaa puheenjohtajalle mahdollisesti muutetun päätösehdotuksen vakiolomaketta käyttäen.

8.   Jos osallistuva valvontaviranomainen ilmoittaa tietosuojaneuvoston puheenjohtajalle tämän artiklan 8 kohdassa tarkoitetun määräajan kuluessa, ettei se aio noudattaa neuvoston lausuntoa kokonaisuudessaan tai osittain ja esittää asianmukaiset perusteet, sovelletaan 65 artiklan 1 kohtaa.

65 artikla

Euroopan tietosuojaneuvoston kiistanratkaisumenettely

1.   Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen:

a)

jos 60 artiklan 4 kohdassa tarkoitetussa tapauksessa asianomainen valvontaviranomainen on esittänyt johtavan viranomaisen päätösehdotukseen merkityksellisen ja perustellun vastalauseen tai jos johtava viranomainen on hylännyt tällaisen vastalauseen, koska se ei ollut merkityksellinen ja/tai perusteltu. Sitova päätös koskee kaikkia seikkoja, joista merkityksellinen ja perusteltu vastalause on esitetty, erityisesti sen suhteen, onko tätä asetusta rikottu vai ei;

b)

jos esiintyy eriäviä näkemyksiä siitä, mikä asianomaisista valvontaviranomaisista on toimivaltainen päätoimipaikan osalta;

c)

jos toimivaltainen valvontaviranomainen ei pyydä tietosuojaneuvostolta lausuntoa 64 artiklan 1 kohdassa tarkoitetuissa tapauksissa tai ei noudata tietosuojaneuvoston 64 artiklan nojalla antamaa lausuntoa. Tällöin asianomaiset valvontaviranomaiset tai komissio voivat ilmoittaa asiasta tietosuojaneuvostolle.

2.   Edellä 1 kohdassa tarkoitettu päätös on annettava tietosuojaneuvoston jäsenten kahden kolmasosan enemmistöllä kuukauden kuluessa asiaa koskevan pyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon asian monimutkaisuus. Edellä olevan 1 kohdan mukainen päätös on perusteltava ja osoitettava johtavalle valvontaviranomaiselle sekä kaikille asianomaisille valvontaviranomaisille, joita se sitoo.

3.   Jos tietosuojaneuvosto ei ole antanut päätöstä 2 kohdassa tarkoitettujen määräaikojen kuluessa, sen on annettava päätöksensä jäsentensä yksinkertaisella enemmistöllä kahden viikon kuluessa 2 kohdassa tarkoitetun toisen kuukauden päättymisestä. Jos tietosuojaneuvoston jäsenten äänet menevät tasan, päätöksen ratkaisee puheenjohtajan ääni.

4.   Asianomaiset valvontaviranomaiset eivät anna päätöstä 1 kohdan mukaisesti tietosuojaneuvostolle toimitetusta asiasta 2 ja 3 kohdassa tarkoitettujen määräaikojen kuluessa.

5.   Tietosuojaneuvoston puheenjohtaja antaa ilman aiheetonta viivytystä 1 kohdassa tarkoitetun päätöksen tiedoksi asianomaisille valvontaviranomaisille. Se ilmoittaa asiasta komissiolle. Päätös julkaistaan viipymättä tietosuojaneuvoston verkkosivustolla valvontaviranomaisen annettua tiedoksi 6 kohdassa tarkoitetun lopullisen päätöksen.

6.   Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on jätetty, on annettava lopullinen päätöksensä tämän artiklan 1 kohdassa tarkoitetun päätöksen perusteella ilman aiheetonta viivästystä ja viimeistään kuukauden kuluessa siitä, kun tietosuojaneuvosto on antanut päätöksensä tiedoksi. Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava tietosuojaneuvostolle päivämäärä, jona sen lopullinen päätös on annettu tiedoksi rekisterinpitäjälle tai henkilötietojen käsittelijälle ja rekisteröidylle. Asianomaisten valvontaviranomaisten lopullinen päätös annetaan 60 artiklan 7, 8 ja 9 kohdan mukaisesti. Lopullisessa päätöksessä on viitattava tämän artiklan 1 kohdassa tarkoitettuun päätökseen ja ilmoitettava, että tämän artiklan 1 kohdassa tarkoitettu päätös julkaistaan tietosuojaneuvoston verkkosivustolla tämän artiklan 5 kohdan mukaisesti. Lopullinen päätös liitetään tämän artiklan 1 kohdassa tarkoitettuun päätökseen.

66 artikla

Kiireellinen menettely

1.   Jos asianomainen valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, se voi 63, 64 ja 65 artiklassa tarkoitetusta yhdenmukaisuusmenettelystä tai 60 artiklassa tarkoitetusta menettelystä poiketen välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja perustelut niiden hyväksymiselle viipymättä tiedoksi muille asianomaisille valvontaviranomaisille, tietosuojaneuvostolle ja komissiolle.

2.   Jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle.

3.   Jokainen valvontaviranomainen voi tapauksen mukaan pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä, jos toimivaltainen valvontaviranomainen ei ole toteuttanut tarvittavia toimenpiteitä tilanteessa, jossa on toteutettava kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle ja kiireellisten toimenpiteiden toteuttamiselle.

4.   Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto tai kiireellinen sitova päätös vahvistetaan 64 artiklan 3 kohdasta ja 65 artiklan 2 kohdasta poiketen kahden viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä.

67 artikla

Tietojenvaihto

Komissio voi hyväksyä yleisiä täytäntöönpanosäädöksiä, joilla täsmennetään järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten ja erityisesti 64 artiklassa tarkoitettu vakiolomake.

Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3 Jakso

Euroopan tietosuojaneuvosto

68 artikla

Euroopan tietosuojaneuvosto

1.   Perustetaan Euroopan tietosuojaneuvosto, jäljempänä ’tietosuojaneuvosto’, unionin elimeksi, jolla on oikeushenkilöllisyys.

2.   Tietosuojaneuvostoa edustaa sen puheenjohtaja.

3.   Tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu tai näiden edustajat.

4.   Jos jäsenvaltiossa on useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten soveltamisen valvonnasta, nimetään yhteinen edustaja kyseisen jäsenvaltion lainsäädännön mukaisesti.

5.   Komissiolla on oikeus osallistua tietosuojaneuvoston toimintaan ja kokouksiin ilman äänioikeutta. Komissio nimeää edustajansa. Tietosuojaneuvoston puheenjohtaja ilmoittaa komissiolle tietosuojaneuvoston toiminnasta.

6.   Edellä olevaan 65 artiklaan liittyvissä tapauksissa Euroopan tietosuojavaltuutetulla on äänioikeus vain päätöksissä, jotka koskevat unionin toimielimiin, elimiin ja laitoksiin sovellettavia periaatteita ja sääntöjä, jotka vastaavat asiasisällöltään tämän asetuksen periaatteita ja sääntöjä.

69 artikla

Riippumattomuus

1.   Tietosuojaneuvosto toimii riippumattomasti hoitaessaan tehtäviään tai käyttäessään toimivaltaansa 70 ja 71 artiklan mukaisesti.

2.   Tietosuojaneuvosto ei tehtäviään hoitaessaan tai toimivaltaansa käyttäessään pyydä eikä ota ohjeita miltään taholta, sanotun rajoittamatta 70 artiklan 1 kohdan b alakohdassa ja 2 kohdassa tarkoitettuja komission pyyntöjä.

70 artikla

Tietosuojaneuvoston tehtävät

1.   Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti. Tätä varten tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai tarvittaessa komission pyynnöstä erityisesti seuraavia tehtäviä:

a)

tämän asetuksen asianmukaisen soveltamisen seuranta ja varmistaminen 64 ja 65 artiklassa säädetyissä tapauksissa, sanotun kuitenkaan rajoittamatta kansallisten valvontaviranomaisten tehtäviä;

b)

antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän asetuksen mahdollisesta muuttamisesta;

c)

antaa komissiolle neuvoja rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välisen tietojenvaihdon muodoista ja menettelyistä, kun kyse on yritystä koskevista sitovista säännöistä;

d)

antaa suuntaviivoja, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista, siten kuin 17 artiklan 2 kohdassa tarkoitetaan;

e)

tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

f)

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 22 artiklan 2 kohdan mukaisia profilointiin perustuvia päätöksiä koskevien kriteerien ja edellytysten tarkemmaksi määrittelemiseksi;

g)

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 33 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietoturvaloukkausten toteamiseksi ja aiheettoman viivytyksen määrittelemiseksi sekä niiden erityisten olosuhteiden määrittelemiseksi, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

h)

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 34 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

i)

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen siirroille, jotka perustuvat rekisterinpitäjien ja henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin, sekä lisävaatimuksista, jotka ovat tarpeen 47 artiklassa tarkoitettujen asianomaisten rekisteröityjen henkilötietojen suojan varmistamiseksi;

j)

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 49 artiklan 1 kohdan mukaisia henkilötietojen siirtoja koskevien kriteerien ja vaatimusten tarkemmaksi määrittelemiseksi;

k)

laatii valvontaviranomaisille suuntaviivoja, jotka koskevat 58 artiklan 1, 2 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä 83 artiklan nojalla;

l)

tarkastelee e ja f alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön;

m)

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä sellaisten yhdenmukaisten menettelyjen laatimiseksi, joilla luonnolliset henkilöt voivat ilmoittaa tämän asetuksen rikkomisista 54 artiklan 2 kohdan mukaisesti;

n)

edistää käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa 40 ja 42 artiklan mukaisesti;

o)

toteuttaa sertifiointielinten akkreditointia ja 43 artiklan mukaista määräaikaistarkastelua sekä pitää yllä 43 artiklan 6 kohdan mukaista akkreditoitujen elinten julkista rekisteriä ja 42 artiklan 7 kohdan mukaista kolmansiin maihin sijoittautuneiden akkreditoitujen rekisterinpitäjien tai henkilötietojen käsittelijöiden julkista rekisteriä;

p)

määrittelee 43 artiklan 3 kohdassa tarkoitetut vaatimukset sertifiointielinten akkreditoimiseksi 42 artiklan nojalla;

q)

antaa komissiolle lausunnon 43 artiklan 8 kohdassa tarkoitetuista sertifiointivaatimuksista;

r)

antaa komissiolle lausunnon 12 artiklan 7 kohdassa tarkoitetuista kuvakkeista;

s)

antaa komissiolle lausunnon kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö enää varmistamaan tietosuojan riittävää tasoa. Tätä varten komissio toimittaa tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto;

t)

antaa lausuntoja valvontaviranomaisten toimenpideluonnoksista 64 artiklan 1 kohdassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti ja 64 artiklan 2 kohdan mukaisesti sille toimitetuissa asioissa sekä antaa sitovia päätöksiä 65 artiklan nojalla, myös 66 artiklassa tarkoitetuissa tapauksissa;

u)

edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

v)

edistää yhteisiä koulutusohjelmia ja tukea henkilövaihtoa valvontaviranomaisten välillä ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

w)

edistää tietosuojalainsäädäntöä ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa;

x)

antaa lausuntoja unionin tasolla 40 artiklan 9 kohdan mukaisesti laadituista käytännesäännöistä; ja

y)

pitää yllä julkista sähköistä rekisteriä päätöksistä, joita valvontaviranomaiset ja tuomioistuimet ovat tehneet yhdenmukaisuusmekanismissa käsitellyissä asioissa.

2.   Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

3.   Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 93 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4.   Tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 76 artiklan soveltamista.

71 artikla

Kertomukset

1.   Tietosuojaneuvoston on laadittava vuosittain kertomus luonnollisten henkilöiden tietosuojasta käsittelyn yhteydessä unionissa ja tarvittaessa kolmansissa maissa ja kansainvälisissä järjestöissä. Kertomus on julkaistava ja toimitettava Euroopan parlamentille, neuvostolle ja komissiolle.

2.   Vuosittaisessa kertomuksessa on tarkasteltava 70 artiklan 1 kohdan l alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden sekä 65 artiklassa tarkoitettujen sitovien päätösten käytännön soveltamista.

72 artikla

Menettely

1.   Tietosuojaneuvosto antaa päätöksensä jäsentensä yksinkertaisella enemmistöllä, paitsi jos tässä asetuksessa toisin säädetään.

2.   Tietosuojaneuvosto hyväksyy työjärjestyksensä jäsentensä kahden kolmasosan enemmistöllä ja huolehtii omista operatiivisista järjestelyistään.

73 artikla

Puheenjohtaja

1.   Tietosuojaneuvosto valitsee jäsentensä keskuudesta puheenjohtajan ja kaksi varapuheenjohtajaa yksinkertaisella enemmistöllä.

2.   Puheenjohtajan ja varapuheenjohtajien toimikausi on viisi vuotta, ja samat henkilöt voidaan valita tehtäviinsä kerran uudelleen.

74 artikla

Puheenjohtajan tehtävät

1.   Puheenjohtajalla on seuraavat tehtävät:

a)

kutsua koolle tietosuojaneuvoston kokoukset ja valmistella kokouksen asialista;

b)

antaa tietosuojaneuvoston 65 artiklan nojalla antamat päätökset tiedoksi johtavalle valvontaviranomaiselle ja osallistuville valvontaviranomaisille;

c)

varmistaa, että tietosuojaneuvosto hoitaa tehtävänsä oikea-aikaisesti, erityisesti suhteessa 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin.

2.   Tietosuojaneuvoston on vahvistettava työjärjestyksessään puheenjohtajan ja varapuheenjohtajien tehtävänjako.

75 artikla

Sihteeristö

1.   Tietosuojaneuvostolla on oltava sihteeristö, jonka henkilöstöstä vastaa Euroopan tietosuojavaltuutettu.

2.   Sihteeristö hoitaa tehtävänsä yksinomaan tietosuojaneuvoston puheenjohtajan ohjeiden mukaisesti.

3.   Tällä asetuksella tietosuojaneuvostolle annettujen tehtävien hoitamisessa mukana olevalla Euroopan tietosuojavaltuutetun henkilöstöllä on oltava Euroopan tietosuojavaltuutetulle annettuja muita tehtäviä hoitavasta henkilöstöstä erilliset raportointikanavat.

4.   Tarvittaessa tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu vahvistavat ja julkaisevat tämän artiklan täytäntöönpanoa koskevan yhteisymmärryspöytäkirjan, jossa määritellään niiden yhteistyön ehdot ja jota sovelletaan tällä asetuksella Euroopan tietosuojaneuvostolle annettujen tehtävien hoitamisessa mukana olevaan Euroopan tietosuojavaltuutetun henkilöstöön.

5.   Sihteeristö antaa tietosuojaneuvostolle analyysi-, hallinto- ja logistiikkatukea.

6.   Sihteeristöllä on erityisesti seuraavat tehtävät:

a)

hoitaa tietosuojaneuvoston juoksevia asioita;

b)

hoitaa tietosuojaneuvoston, sen puheenjohtajan ja komission välistä viestintää;

c)

hoitaa viestintää muille toimielimille ja yleisölle;

d)

käyttää sähköisiä viestintävälineitä sekä sisäisessä että ulkoisessa viestinnässä;

e)

kääntää tarvittavat tiedot;

f)

valmistella ja seurata tietosuojaneuvoston kokouksia;

g)

valmistella, laatia ja julkaista tietosuojaneuvoston lausuntoja, valvontaviranomaisten välisten kiistojen ratkaisua koskevia päätöksiä ja muita asiakirjoja.

76 artikla

Tietojen salassapito

1.   Tietosuojaneuvoston keskustelut ovat luottamuksellisia neuvoston katsoessa sen tarpeelliseksi työjärjestyksensä mukaisesti.

2.   Oikeudesta tutustua tietosuojaneuvoston jäsenille, asiantuntijoille ja kolmansien osapuolten edustajille toimitettuihin asiakirjoihin säädetään Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1049/2001 (21).

VIII LUKU

Oikeussuojakeinot, vastuu ja seuraamukset

77 artikla

Oikeus tehdä valitus valvontaviranomaiselle

1.   Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2.   Valvontaviranomaisen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle valituksen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

78 artikla

Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan

1.   Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

2.   Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn valituksen etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

3.   Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

4.   Jos kanne on nostettu sellaista valvontaviranomaisen päätöstä vastaan, jota edelsi tietosuojaneuvoston yhdenmukaisuusmekanismin puitteissa antama lausunto tai päätös, valvontaviranomaisen on toimitettava kyseinen lausunto tai päätös tuomioistuimelle.

79 artikla

Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan

1.   Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä valitus valvontaviranomaiselle.

2.   Kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti tällainen kanne voidaan nostaa sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä tai henkilötietojen käsittelijä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

80 artikla

Rekisteröityjen edustaminen

1.   Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään valitus puolestaan ja käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.

2.   Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa valitus 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.

81 artikla

Menettelyn keskeyttäminen

1.   Jos jäsenvaltion toimivaltaisella tuomioistuimella on tietoa saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa koskevien kanteiden vireillä olosta jonkin toisen jäsenvaltion tuomioistuimessa, sen on otettava yhteyttä tuohon toisen jäsenvaltion tuomioistuimeen varmistaakseen tällaisten kanteiden olemassaolon.

2.   Jos saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa koskevia kanteita on vireillä jonkin toisen jäsenvaltion tuomioistuimessa, muut toimivaltaiset tuomioistuimet kuin se, jossa kanne on ensin nostettu, voivat keskeyttää menettelynsä.

3.   Jos nämä kanteet ovat vireillä ensimmäisessä oikeusasteessa, muut tuomioistuimet kuin se, jossa kanne on nostettu ensiksi, voivat jonkin asianosaisen pyynnöstä myös jättää asian tutkimatta, jos tuomioistuin, jossa kanne on ensin nostettu, on toimivaltainen tutkimaan kyseiset kanteet ja jos niiden yhdistäminen on tämän tuomioistuimen lain mukaan sallittua.

82 artikla

Vastuu ja oikeus korvauksen saamiseen

1.   Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

2.   Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tämän asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.

3.   Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

4.   Jos samaan tietojenkäsittelyyn osallistuu useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä taikka rekisterinpitäjä ja henkilötietojen käsittelijä, ja jos ne ovat 2 ja 3 kohdan mukaisesti vastuussa käsittelystä aiheutuneesta mahdollisesta vahingosta, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa koko vahingosta, jotta voidaan varmistaa, että rekisteröity saa tosiasiallisen korvauksen.

5.   Jos rekisterinpitäjä tai henkilötietojen käsittelijä on 4 kohdan mukaisesti maksanut täyden korvauksen aiheutuneesta vahingosta, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oikeus periä muilta samaan tietojenkäsittelyyn osallistuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä se osuus korvauksesta, joka vastaa niiden 2 kohdassa säädettyjen edellytysten mukaista vastuuta aiheutuneesta vahingosta.

6.   Tuomioistuinmenettelyt korvauksen saamista koskevan oikeuden käyttämiseksi toteutetaan 79 artiklan 2 kohdassa tarkoitetun jäsenvaltion kansallisen lainsäädännön nojalla toimivaltaisissa tuomioistuimissa.

83 artikla

Hallinnollisten sakkojen määräämisen yleiset edellytykset

1.   Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2.   Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)

rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)

rikkomisen tahallisuus tai tuottamuksellisuus;

c)

rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d)

rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e)

rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;

f)

yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g)

henkilötietoryhmät, joihin rikkominen vaikuttaa;

h)

tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;

i)

jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j)

40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k)

mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

3.   Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

4.   Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)

rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet;

b)

sertifiointielimen 42 ja 43 artiklan mukaiset velvollisuudet;

c)

edellä 41 artiklan 4 kohdassa tarkoitetut valvontaelimen velvollisuudet.

5.   Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)

edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna;

b)

rekisteröityjen 12–22 artiklan mukaiset oikeudet;

c)

edellä 44–49 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

d)

kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet;

e)

valvontaviranomaisen 58 artiklan 2 kohdan nojalla antaman määräyksen tai väliaikaisen tai lopullisen rajoituksen tai tietovirtojen keskeyttämismääräyksen noudattamatta jättäminen tai 58 artiklan 1 kohdan mukaisen pääsyn antamista koskevan velvollisuuden rikkominen.

6.   Edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

7.   Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

8.   Valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

9.   Jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista sakoista, tätä artiklaa voidaan soveltaa niin, että sakon panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Määrättävien sakkojen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Näiden jäsenvaltioiden on toimitettava säännökset, jotka ne hyväksyvät tämän kohdan nojalla, tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

84 artikla

Seuraamukset

1.   Jäsenvaltioiden on vahvistettava säännöt tämän asetuksen rikkomisten vuoksi määrättäviä seuraamuksia varten, erityisesti niiden rikkomisten osalta, joihin ei 83 artiklan nojalla sovelleta hallinnollisia sakkoja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

2.   Jäsenvaltioiden on toimitettava komissiolle 1 kohdan nojalla antamansa säännökset tiedoksi viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

IX LUKU

Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset

85 artikla

Käsittely ja sananvapaus ja tiedonvälityksen vapaus

1.   Jäsenvaltioiden on lainsäädännöllä sovitettava yhteen tämän asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.

2.   Käsittelylle journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten jäsenvaltioiden on säädettävä vapautuksia tai poikkeuksia II luvun (periaatteet), III luvun (rekisteröidyn oikeudet), IV luvun (rekisterinpitäjä ja henkilötietojen käsittelijä), V luvun (henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille), VI luvun (riippumattomat valvontaviranomaiset), VII luvun (yhteistyö ja yhdenmukaisuus) ja IX luvun (tietojenkäsittelyyn liittyvät erityistilanteet) säännöksiin, jos ne ovat tarpeen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden ja tiedonvälityksen vapauden kanssa.

3.   Jäsenvaltioiden on toimitettava komissiolle 2 kohdan nojalla antamansa säännökset tiedoksi ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

86 artikla

Henkilötietojen käsittely ja virallisten asiakirjojen julkisuus

Viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan.

87 artikla

Kansallisen henkilötunnuksen käsitteleminen

Jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilönumeron tai muun yleisen tunnisteen käsittelyn edellytykset. Tässä tapauksessa kansallista henkilönumeroa tai muuta yleistä tunnistetta on käytettävä ainoastaan noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti.

88 artikla

Käsittely työsuhteen yhteydessä

1.   Jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuus ja monimuotoisuus työpaikalla, työterveys ja -turvallisuus, työnantajan tai asiakkaan omaisuuden suoja, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä sekä työsuhteen päättämistä varten.

2.   Näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi siten, että erityistä huomiota kiinnitetään tietojenkäsittelyn läpinäkyvyyteen, henkilötietojen siirtoihin saman konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, sisällä ja työpaikalla käytössä oleviin valvontajärjestelmiin.

3.   Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

89 artikla

Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat suojatoimet ja poikkeukset

1.   Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällaisia toimenpiteitä voivat olla esimerkiksi pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos nämä tarkoitukset on mahdollista täyttää käsittelemällä myöhemmin tietoja, minkä johdosta ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, nämä tarkoitukset on täytettävä tällä tavoin.

2.   Kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan säätää poikkeuksista 15, 16, 18 ja 21 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan tämän artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

3.   Kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten, unionin oikeudessa tai kansallisessa lainsäädännössä voidaan säätää poikkeuksista 15, 16, 18, 19, 20 ja 21 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan tämän artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin kyseiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

4.   Jos 2 ja 3 kohdassa tarkoitettua henkilötietojen käsittelyä käytetään samanaikaisesti myös muihin tarkoituksiin, poikkeuksia sovelletaan ainoastaan kyseisissä kohdissa mainituissa tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn.

90 artikla

Salassapitovelvollisuus

1.   Jäsenvaltiot voivat antaa erityissääntöjä valvontaviranomaisten 58 artiklan 1 kohdan e ja f alakohdassa säädetyistä valtuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen ja oikeasuhteista henkilötietojen suojaa koskevan oikeuden ja salassapitovelvollisuuden yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan toiminnan yhteydessä.

2.   Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset viipymättä.

91 artikla

Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt

1.   Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat luonnollisten henkilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen mukaisiksi.

2.   Tämän artiklan 1 kohdassa tarkoitettuja kattavia sääntöjä soveltavat kirkot ja uskonnolliset yhdistykset ovat sellaisen riippumattoman valvontaviranomaisen valvonnassa, joka voi olla erityisviranomainen edellyttäen, että se täyttää tämän asetuksen VI luvussa vahvistetut edellytykset.

X LUKU

Delegoidut säädökset ja täytäntöönpanosäädökset

92 artikla

Siirretyn säädösvallan käyttäminen

1.   Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

2.   Komissiolle siirretään 24 päivästä toukokuuta 2016 alkaen määräämättömäksi ajaksi 12 artiklan 8 kohdassa ja 43 artiklan 8 kohdassa tarkoitettu valta antaa delegoituja säädöksiä.

3.   Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 12 artiklan 8 kohdassa ja 43 artiklan 8 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4.   Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

5.   Edellä 12 artiklan 8 kohdan ja 43 artiklan 8 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kolmen kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kolmella kuukaudella.

93 artikla

Komiteamenettely

1.   Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.   Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3.   Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä sen 5 artiklan kanssa.

XI LUKU

Loppusäännökset

94 artikla

Direktiivin 95/46/EY kumoaminen

1.   Kumotaan direktiivi 95/46/EY 25 päivästä toukokuuta 2018.

2.   Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin 95/46/EY 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.

95 artikla

Suhde direktiiviin 2002/58/EY

Tällä asetuksella ei aseteta luonnollisille henkilöille tai oikeushenkilöille lisävelvoitteita sellaisen käsittelyn osalta, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa, suhteessa sellaisiin seikkoihin, joiden osalta niiden on noudatettava direktiivissä 2002/58/EY säädettyjä erityisiä velvoitteita, joilla on sama tavoite.

96 artikla

Suhde aiemmin tehtyihin sopimuksiin

Henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille edellyttävät kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen 24 päivää toukokuuta 2016 ja jotka ovat ennen tätä päivää voimassa olleen unionin oikeuden mukaisia, ovat edelleen voimassa, kunnes ne muutetaan, korvataan tai kumotaan.

97 artikla

Komission kertomukset

1.   Viimeistään 25 päivänä toukokuuta 2020 ja joka neljäs vuosi sen jälkeen komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomukset tämän asetuksen arvioinnista ja uudelleentarkastelusta. Kertomukset julkistetaan.

2.   Edellä 1 kohdassa tarkoitettujen arviointien ja uudelleentarkastelujen yhteydessä komissio tarkastelee erityisesti seuraavien soveltamista ja toimivuutta:

a)

kolmansiin maihin ja kansainvälisiin järjestöihin tehtäviä henkilötietojen siirtoja koskeva V luku siten, että erityistä huomiota kiinnitetään tämän asetuksen 45 artiklan 3 kohdan ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyihin päätöksiin;

b)

yhteistyötä ja yhdenmukaisuutta koskeva VII luku.

3.   Komissio voi pyytää jäsenvaltioilta ja valvontaviranomaisilta tietoja 1 kohdan mukaista tarkoitusta varten.

4.   Kun komissio tekee 1 ja 2 kohdassa tarkoitettuja arviointeja ja uudelleenarviointeja, se ottaa huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset.

5.   Komissio esittää tarvittaessa ehdotuksia tämän asetuksen muuttamiseksi ottaen erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuvan kehityksen.

98 artikla

Unionin muiden tietosuojasäädösten uudelleentarkastelu

Komissio esittää tarvittaessa lainsäädäntöehdotuksia unionin muiden henkilötietojen suojaa koskevien säädösten muuttamiseksi, jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä. Tämä koskee etenkin sääntöjä luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä sekä sääntöjä henkilötietojen vapaasta liikkuvuudesta.

99 artikla

Voimaantulo ja soveltaminen

1.   Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.   Sitä sovelletaan 25 päivästä toukokuuta 2018.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 27 päivänä huhtikuuta 2016.

Euroopan parlamentin puolesta

Puhemies

M. SCHULZ

Neuvoston puolesta

Puheenjohtaja

J.A. HENNIS-PLASSCHAERT


(1)  EUVL C 229, 31.7.2012, s. 90.

(2)  EUVL C 391, 18.12.2012, s. 127.

(3)  Euroopan parlamentin kanta, vahvistettu 12. maaliskuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston ensimmäisen käsittelyn kanta, vahvistettu 8. huhtikuuta 2016 (ei vielä julkaistu virallisessa lehdessä). Euroopan parlamentin kanta, vahvistettu 14. huhtikuuta 2016.

(4)  Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(5)  Komission suositus, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (K(2003) 1422) (EUVL L 124, 20.5.2003, s. 36).

(6)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(7)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkintaa, paljastamista ja rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (ks. tämän virallisen lehden s. 89).

(8)  Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (direktiivi sähköisestä kaupankäynnistä) (EYVL L 178, 17.7.2000, s. 1).

(9)  Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(10)  Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).

(11)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70).

(12)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(13)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 1215/2012, annettu 12 päivänä joulukuuta 2012, tuomioistuimen toimivallasta sekä tuomioiden tunnustamisesta ja täytäntöönpanosta siviili- ja kauppaoikeuden alalla (EUVL L 351, 20.12.2012, s. 1).

(14)  Euroopan parlamentin ja neuvoston direktiivi 2003/98/EY, annettu 17 päivänä marraskuuta 2003, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä (EUVL L 345, 31.12.2003, s. 90).

(15)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 536/2014, annettu 16 päivänä huhtikuuta 2014, ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta (EUVL L 158, 27.5.2014, s. 1).

(16)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164).

(17)  EUVL C 192, 30.6.2012, s. 7.

(18)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(19)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

(20)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

(21)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).


DIREKTIIVIT

4.5.2016   

FI

Euroopan unionin virallinen lehti

L 119/89


EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI (EU) 2016/680,

annettu 27 päivänä huhtikuuta 2016,

luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon alueiden komitean antaman lausunnon (1),

noudattavat tavallista lainsäätämisjärjestystä (2),

sekä katsovat seuraavaa:

(1)

Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.

(2)

Sen vuoksi niissä periaatteissa ja säännöissä, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä, olisi henkilöiden kansalaisuudesta ja asuinpaikasta riippumatta otettava huomioon heidän perusoikeutensa ja -vapautensa ja erityisesti oikeus henkilötietojen suojaan. Tällä direktiivillä pyritään tukemaan vapauden, turvallisuuden ja oikeuden alueen kehittämistä.

(3)

Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen suojeluun uusia haasteita. Henkilötietoja kerätään ja jaetaan nyt merkittävästi suuremmassa mittakaavassa. Teknologia mahdollistaa henkilötietojen ennennäkemättömän laajan käsittelyn muun muassa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon kaltaisessa toiminnassa.

(4)

Olisi helpotettava henkilötietojen vapaata kulkua toimivaltaisten viranomaisten kesken unionissa rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, ja tällaisten tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille; samalla olisi varmistettava henkilötietojen korkeatasoinen suoja. Tämä kehitys edellyttää sellaisen vahvemman ja johdonmukaisemman henkilötietojen suojakehyksen luomista, jota tuetaan tehokkaalla täytäntöönpanolla.

(5)

Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY (3) sovelletaan kaikkeen jäsenvaltioissa sekä julkisella että yksityisellä sektorilla tapahtuvaan henkilötietojen käsittelyyn. Sitä ei kuitenkaan sovelleta henkilötietojen käsittelyyn, joka suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu yhteisön oikeuden soveltamisalaan, kuten rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön yhteydessä.

(6)

Rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla sovelletaan neuvoston puitepäätöstä 2008/977/YOS (4). Kyseisen puitepäätöksen soveltamisala rajoittuu jäsenvaltioiden keskenään siirtämien tai saataville asettamien henkilötietojen käsittelyyn.

(7)

Rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön varmistamiseksi on taattava luonnollisten henkilöiden henkilötietojen korkeatasoinen ja johdonmukainen suoja ja helpotettava henkilötietojen vaihtoa jäsenvaltioiden toimivaltaisten viranomaisten kesken. Sitä varten kaikkien jäsenvaltioiden olisi tarjottava samantasoinen luonnollisten henkilöiden oikeuksien ja vapauksien suoja toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Jotta henkilötietoja voidaan suojata tehokkaasti koko unionissa, on vahvistettava rekisteröidyn oikeuksia ja lisättävä henkilötietoja käsittelevien vastuuta, sekä varmistettava samantasoiset valtuudet seurata henkilötietojen suojelua koskevien sääntöjen noudattamista jäsenvaltioissa ja varmistaa se.

(8)

Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohdassa määrätään, että Euroopan parlamentti ja neuvosto antavat luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

(9)

Tältä pohjalta Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (5) vahvistetaan yleiset säännöt luonnollisten henkilöiden suojelemiseksi henkilötietojen käsittelyssä ja näiden tietojen vapaan liikkuvuuden varmistamiseksi unionissa.

(10)

Lissabonin sopimuksen hyväksyneen hallitustenvälisen konferenssin päätösasiakirjan liitteenä olevassa julistuksessa N:o 21 henkilötietojen suojasta rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla konferenssi totesi, että Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan mukaiset erityissäännöt henkilötietojen suojasta ja henkilötietojen vapaasta liikkuvuudesta saattavat osoittautua tarpeellisiksi rikosoikeuden alalla tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla näiden alojen erityisluonteen vuoksi.

(11)

On sen vuoksi asianmukaista kohdistaa näille aloille direktiivi, jossa vahvistetaan erityiset säännöt luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, ottaen huomioon näiden toimintojen erityisluonteen. Tällaisiin toimivaltaisiin viranomaisiin voi kuulua oikeusviranomaisten kaltaisten julkisten viranomaisten lisäksi poliisiviranomaisia tai muita lainvalvontaviranomaisia sekä myös muita elimiä tai yksiköitä, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi hoitaa julkishallinnon tehtäviä tai käyttää julkista valtaa tässä direktiivissä mainittuihin tarkoituksiin. Jos tällainen elin tai yksikkö käsittelee henkilötietoja muita kuin tässä direktiivissä säädettyjä tarkoituksia varten, sovelletaan asetusta (EU) 2016/679. Näin ollen asetusta (EU) 2016/679 sovelletaan tapauksissa, joissa elin tai yksikkö kerää henkilötietoja muita tarkoituksia varten ja käsittelee näitä henkilötietoja edelleen lakisääteisen velvoitteensa noudattamiseksi. Esimerkiksi rahoituslaitokset säilyttävät rikosten tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien tarkoituksiin tiettyjä käsittelemiään henkilötietoja ja antavat kyseiset henkilötiedot ainoastaan toimivaltaisten viranomaisten käyttöön erityistapauksissa ja jäsenvaltion lainsäädäntöä noudattaen. Sopimuksen tai muun oikeudellisen asiakirjan ja henkilötietojen käsittelijöihin tämän direktiivin nojalla sovellettavien säännösten olisi sidottava elintä tai yksikköä, joka käsittelee henkilötietoja tällaisten viranomaisten lukuun tämän direktiivin soveltamisalan puitteissa; tämä ei kuitenkaan vaikuta asetuksen (EU) 2016/679 soveltamiseen siltä osin kuin se koskee henkilötietojen käsittelyä sellaisen käsittelijän toimesta, joka ei kuulu tämän direktiivin soveltamisalaan.

(12)

Poliisiviranomaisten tai muiden lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien poliisin toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Tällaisiin toimiin voi kuulua vallan käyttö toteuttamalla pakkokeinoja, kuten mielenosoituksissa, suurissa urheilutapahtumissa ja mellakoissa toteutetut poliisin toimet. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen, joka on annettu poliisiviranomaisten tai muiden lainvalvontaviranomaisten tehtäväksi silloin, kun se on tarpeen sellaisilta yleiseen turvallisuuteen ja yhteiskunnan perustavanlaatuisiin lailla suojattuihin etuihin kohdistuvilta uhkilta suojelua ja niiden ehkäisyä varten, jotka voivat johtaa rikokseen. Jäsenvaltiot voivat antaa toimivaltaisille viranomaisille muita tehtäviä, joita ei välttämättä suoriteta rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten eikä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, jolloin siltä osin kuin näitä muita tarkoituksia varten suoritettava henkilötietojen käsittely kuuluu unionin oikeuden soveltamisalaan, se kuuluu asetuksen (EU) 2016/679 soveltamisalaan.

(13)

Tässä direktiivissä tarkoitettua rikosta olisi pidettävä unionin oikeuden itsenäisenä käsitteenä, sillä tavoin kuin Euroopan unionin tuomioistuin, jäljempänä ’unionin tuomioistuin’, on sitä tulkinnut.

(14)

Koska tätä direktiiviä ei ole tarkoitus soveltaa henkilötietojen käsittelyyn, joka suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan, kansallista turvallisuutta koskevia toimia, kansallisia turvallisuuskysymyksiä käsittelevien virastojen tai yksiköiden toimia ja jäsenvaltioiden suorittamaa henkilötietojen käsittelyä niiden toteuttaessa Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa ei saisi pitää tämän direktiivin soveltamisalaan kuuluvina.

(15)

Jotta luonnollisilla henkilöillä olisi samantasoinen suoja ja täytäntöönpanokelpoiset oikeudet kaikkialla unionissa ja jotta estetään toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa haittaavat eroavuudet, tässä direktiivissä olisi vahvistettava sellaisten henkilötietojen suojaa ja vapaata liikkuvuutta koskevat yhdenmukaiset säännöt, joita käsitellään rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Jäsenvaltioiden lainsäädäntöjen lähentäminen ei saisi johtaa lainsäädännöllä turvattavan henkilötietojen suojan heikentymiseen, vaan sillä olisi päinvastoin pyrittävä varmistamaan tietosuojan korkea taso unionissa. Jäsenvaltioita ei saisi estää säätämästä suojatoimista, jotka ylittävät tässä direktiivissä vahvistetut suojatoimet rekisteröidyn oikeuksien ja vapauksien suojelemiseksi toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä.

(16)

Tämä direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta. Asetuksen (EU) 2016/679 mukaisesti viranomaiset tai julkis- tai yksityisoikeudelliset yhteisöt voivat luovuttaa viranomaisten tai yhteisöjen hallussa yleisen edun vuoksi toteutetun tehtävän suorittamiseksi olevien virallisten asiakirjojen sisältämiä henkilötietoja sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jota viranomaiseen tai yhteisöön sovelletaan, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja oikeus henkilötietojen suojaan.

(17)

Tämän direktiivin tarjoamaa suojelua olisi sovellettava luonnollisiin henkilöihin heidän kansalaisuudestaan ja asuinpaikastaan riippumatta, silloin kun on kyse heidän henkilötietojensa käsittelystä.

(18)

Vakavan väärinkäytösten riskin ennalta estämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Tämän direktiivin soveltamisalaan ei pitäisi kuulua sellaisia asiakirjoja tai asiakirjojen kokonaisuuksia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.

(19)

Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (6). Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset olisi mukautettava asetuksessa (EU) 2016/679 vahvistettujen periaatteiden ja sääntöjen mukaisiksi.

(20)

Tämä direktiivi ei estä jäsenvaltioita täsmentämästä kansallisissa rikosprosessisäännöissään tuomioistuinten ja muiden oikeusviranomaisten suorittamaan henkilötietojen käsittelyyn liittyviä käsittelytoimia ja -menettelyitä erityisesti, jos henkilötiedot sisältyvät tuomioistuimen päätökseen tai rikosoikeudelliseen menettelyyn liittyvään merkintään.

(21)

Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Sen määrittämiseksi, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, kuten seulonta, joita rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti. Sen varmistamiseksi, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista.

(22)

Viranomaisia, joille luovutetaan henkilötietoja lakisääteisen velvoitteen mukaisesti julkisen vallan käyttämistä varten, kuten vero- ja tulliviranomaisia, talousrikosten tutkintayksiköitä, itsenäisiä hallintoviranomaisia tai arvopaperimarkkinoiden sääntelystä ja valvonnasta vastaavia rahoitusmarkkinaviranomaisia, ei olisi pidettävä vastaanottajina, jos ne saavat henkilötietoja, jotka ovat tarpeen tietyn tutkimuksen suorittamiseksi yleisen edun vuoksi unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Viranomaisten tietojenluovutuspyyntö olisi aina tehtävä kirjallisesti, se olisi perusteltava, sen olisi oltava tilapäinen ja se ei saisi koskea koko rekisteriä tai johtaa rekisterien yhteenliittämiseen. Näiden viranomaisten olisi käsiteltävä henkilötietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti.

(23)

Geneettiset tiedot olisi määriteltävä henkilötiedoiksi, jotka liittyvät luonnollisen henkilön perittyihin tai hankittuihin ominaisuuksiin, joista selviää yksilöllistä tietoa asianomaisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu analysoimalla asianomaiselta luonnolliselta henkilöltä saatua biologista näytettä, erityisesti kromosomien, deoksiribonukleiinihapon (DNA) tai ribonukleiinihapon (RNA) analyysilla tai muusta vastaavia tietoja tarjoavasta tekijästä tehdyllä analyysilla. Ottaen huomioon geneettisten tietojen monimutkaisuuden ja arkaluonteisuuden on olemassa huomattava riski siitä, että rekisterinpitäjä käyttää niitä väärin ja käyttää niitä uudelleen erilaisiin tarkoituksiin. Kaikenlainen geneettisiin piirteisiin liittyvä syrjintä olisi lähtökohtaisesti kiellettävä.

(24)

Terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa, paljastavat tietoja rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisestä terveydestä tai mielenterveydestä. Tähän kuuluvat tiedot, jotka on kerätty luonnollisen henkilön rekisteröityessä Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU (7) tarkoitettujen terveyspalvelujen saamista varten tai niiden tarjoamisen yhteydessä; luonnolliselle henkilölle annettu numero, symboli tai erityistuntomerkki, jolla hänet voidaan tunnistaa yksiselitteisesti terveydenhuollon piirissä; kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, kuten geneettiset tiedot ja biologiset näytteet; sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, esitiedoista tai annetuista hoidoista sekä tieto rekisteröidyn fyysisestä tai lääketieteellisestä tilanteesta riippumatta siitä, mistä lähteestä tiedot on saatu (esimerkiksi lääkäriltä tai muulta terveydenhuollon ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta vai diagnostisesta in vitro -testistä).

(25)

Kaikki jäsenvaltiot ovat Kansainvälisen rikospoliisijärjestön (Interpol) jäseniä. Toimeksiantonsa mukaisesti Interpol vastaanottaa, säilyttää ja jakaa henkilötietoja auttaakseen toimivaltaisia viranomaisia kansainvälisen rikollisuuden ehkäisemisessä ja torjunnassa. Sen vuoksi unionin ja Interpolin yhteistyötä on aiheellista tiivistää edistämällä tehokasta henkilötietojen vaihtoa ja turvaamalla samalla perusoikeuksien ja -vapauksien noudattaminen henkilötietojen automaattisessa käsittelyssä. Kun henkilötietoja siirretään unionista Interpolille ja siihen jäseniä lähettäviin maihin, olisi sovellettava tätä direktiiviä ja erityisesti sen kansainvälisiä siirtoja koskevia säännöksiä. Tämä direktiivi ei saisi vaikuttaa neuvoston yhteisessä kannassa 2005/69/YOS (8) ja neuvoston päätöksessä 2007/533/YOS (9) vahvistettuihin erityisiin sääntöihin.

(26)

Kaikki henkilötietojen käsittely on suoritettava lainmukaisesti, asianomaisia luonnollisia henkilöitä kohtaan asianmukaisella tavalla ja läpinäkyvästi ja vain tiettyä laissa säädettyä tarkoitusta varten. Tämä ei itsessään estä lainvalvontaviranomaisia suorittamasta peitetutkinnan tai videovalvonnan kaltaisia toimia. Tällaisia toimia voidaan suorittaa rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, edellyttäen, että niistä on säädetty laissa ja ne ovat välttämättömiä ja oikeasuhteisia toimenpiteitä demokraattisessa yhteiskunnassa ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön oikeutetut edut. Asianmukaista käsittelyä koskeva tietosuojaperiaate on käsitteenä erillinen oikeudesta oikeudenmukaiseen oikeudenkäyntiin, sellaisena kuin se on määritelty perusoikeuskirjan 47 artiklassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen, jäljempänä ’Euroopan ihmisoikeussopimus’, 6 artiklassa. Luonnollisille henkilöille olisi ilmoitettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä selvästi ja lainmukaisesti. Henkilötietojen olisi oltava asianmukaisia ja olennaisia käsittelyn tarkoituksiin nähden. Sen vuoksi olisi erityisesti varmistettava, että henkilötietoja ei kerätä liikaa ja että niitä säilytetään ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötietoja olisi käsiteltävä vain jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistusta varten, jotta voidaan varmistaa, ettei tietoja säilytetä pidempään kuin on tarpeen. Jäsenvaltioiden olisi määritettävä asianmukaisia suojatoimia henkilötiedoille, joita säilytetään pidempiä aikoja yleisen edun mukaista arkistointia tai tieteellisiä, tilastollisia tai historiallisia tarkoituksia varten.

(27)

Rikosten ennalta estäminen, tutkiminen ja niistä syyttäminen edellyttävät, että toimivaltaiset viranomaiset voivat käsitellä tiettyjen rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien yhteydessä kerättyjä henkilötietoja myös muissa yhteyksissä ymmärtääkseen rikollista toimintaa ja havaitakseen yhteyksiä selvitettävien rikosten välillä.

(28)

Käsittelyn liittyvän turvallisuuden ylläpitämiseksi ja tämän direktiivin vastaisen käsittelyn estämiseksi henkilötietoja olisi käsiteltävä siten, että varmistetaan asianmukainen turvallisuuden ja luottamuksellisuuden taso, muun muassa ehkäisemällä luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö, ja otetaan huomioon uusin tekniikka ja teknologia sekä toteuttamiskustannukset suhteessa riskeihin ja suojattavien henkilötietojen luonteeseen.

(29)

Henkilötiedot olisi kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten tämän direktiivin puitteissa ja niitä ei saisi käsitellä sellaisia tarkoituksia varten, jotka ovat yhteensopimattomia rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelun, kanssa. Jos sama tai eri rekisterinpitäjä käsittelee henkilötietoja muussa tämän direktiivin soveltamisalaan kuuluvassa tarkoituksessa kuin siinä, jota varten tiedot on kerätty, käsittely olisi sallittavaa edellyttäen, että se on luvallista sovellettavien säännösten mukaisesti ja tarpeellista ja oikeasuhteista tätä muuta tarkoitusta varten.

(30)

Tietojen paikkansapitävyyden periaatetta sovellettaessa olisi otettava huomioon asianomaisen käsittelyn luonne ja tarkoitus. Erityisesti oikeudellisissa menettelyissä lausunnot, jotka sisältävät henkilötietoja, perustuvat luonnollisten henkilöiden subjektiiviseen havaintoon eivätkä ole aina todennettavissa. Näin ollen paikkansapitävyyden vaatimus ei saisi koskea lausunnon paikkansapitävyyttä, vaan ainoastaan sitä tosiseikkaa, että tietty lausunto on annettu.

(31)

Rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla suoritettavalle henkilötietojen käsittelylle on ominaista, että käsiteltävät henkilötiedot koskevat eri ryhmiin kuuluvia rekisteröityjä. Sen vuoksi olisi tarvittaessa ja mahdollisuuksien mukaan pyrittävä erottamaan selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten: rikoksesta epäiltyjä; rikoksesta tuomittuja; rikoksen uhreja ja kolmansia osapuolia, kuten todistajia; henkilöitä, joilla on tärkeitä tietoja; sekä rikoksesta epäiltyjen ja tuomittujen kontakteja ja kumppaneita. Tämä ei saisi estää perusoikeuskirjassa ja Euroopan ihmisoikeussopimuksessa taatun syyttömyysolettamaa koskevan oikeuden soveltamista, sellaisena kuin unionin tuomioistuin ja Euroopan ihmisoikeustuomioistuin ovat sen tulkinneet.

(32)

Toimivaltaisten viranomaisten olisi varmistettava, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei siirretä eikä aseteta saataville. Jotta voidaan varmistaa toisaalta luonnollisten henkilöiden suojelu ja toisaalta siirrettävien tai saataville asetettavien henkilötietojen paikkansapitävyys, täydellisyys tai ajantasaisuuden aste sekä luotettavuus, toimivaltaisten viranomaisten olisi mahdollisuuksien mukaan lisättävä tarvittavat tiedot kaikkiin henkilötietojen siirtoihin.

(33)

Kun tässä direktiivissä viitataan jäsenvaltion lainsäädäntöön, oikeusperustaan tai lainsäädäntötoimeen, siinä ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä, sanotun kuitenkaan rajoittamatta asianomaisen jäsenvaltion perustuslaillisen järjestyksen edellyttämien vaatimusten soveltamista. Kyseisen jäsenvaltion lainsäädännön, oikeusperustan tai lainsäädäntötoimen olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen olisi oltava asianosaisten kannalta ennakoitavissa unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti. Tämän direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä sääntelevässä jäsenvaltion lainsäädännössä olisi määritettävä ainakin tavoitteet, käsiteltävät henkilötiedot, käsittelyn tarkoitukset, menettelyt henkilötietojen eheyden ja luottamuksellisuuden säilyttämiseksi sekä menettelyt tietojen tuhoamiseksi, jotta annetaan riittävät takeet väärinkäyttö- ja mielivaltaisuusriskin torjumiseksi.

(34)

Toimivaltaisten viranomaisten suorittaman henkilötietojen käsittelyn rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, olisi katettava kaikenlaiset toiminnot tai toimintojen kokonaisuudet, jotka kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin näitä tarkoituksia varten joko automaattista tietojenkäsittelyä käyttäen tai muutoin, kuten tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely; käyttö, yhteensovittaminen tai yhdistäminen, käsittelyn rajoittaminen, poistaminen tai tuhoaminen. Erityisesti tämän direktiivin sääntöjä olisi sovellettava, kun henkilötietoja siirretään tämän direktiivin mukaisia tarkoituksia varten tämän direktiiviin soveltamisalaan kuulumattomalle vastaanottajalle. Tällaisella vastaanottajalla olisi tarkoitettava luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle toimivaltainen viranomainen luovuttaa laillisesti henkilötietoja. Silloin, kun henkilötiedot ovat alun perin toimivaltaisen viranomaisen johonkin tämän direktiivin tarkoituksista keräämiä, asetusta (EU) 2016/679 olisi sovellettava näiden tietojen käsittelyyn muita kuin tämän direktiivin tarkoituksia varten, kun unionin oikeus tai jäsenvaltion lainsäädäntö mahdollistaa tällaisen käsittelyn. Erityisesti asetuksen (EU) 2016/679 sääntöjä olisi sovellettava henkilötietojen siirtoon tämän direktiivin soveltamisalaan kuulumattomia tarkoituksia varten. Sellaiseen henkilötietojen käsittelyyn, jonka suorittaa vastaanottaja, joka ei ole toimivaltainen viranomaisen tai joka ei toimi tässä direktiivissä tarkoitettuna toimivaltaisena viranomaisena ja jolle toimivaltainen viranomainen luovuttaa henkilötietoja laillisesti, olisi sovellettava asetusta (EU) 2016/679. Kun jäsenvaltiot panevat täytäntöön tätä direktiiviä, niiden olisi lisäksi voitava täsmentää tarkemmin asetuksen (EU) 2016/679 soveltamista kyseisessä asetuksessa vahvistettujen edellytysten mukaisesti.

(35)

Jotta henkilötietojen käsittely tämän direktiivin nojalla olisi lainmukaista, sen olisi oltava tarpeen toimivaltaisen viranomaisen unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan yleistä etua koskevan tehtävän suorittamiseksi rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Näiden toimien olisi katettava rekisteröidyn elintärkeiden etujen suojaaminen. Rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia koskevan tehtävän suorittaminen on institutionaalisesti ja lain nojalla annettu toimivaltaisille viranomaisille, mikä antaa näille mahdollisuuden vaatia luonnollisilta henkilöiltä esitettyjen pyyntöjen noudattamista. Tällaisessa tapauksessa rekisteröidyn suostumuksen, sellaisena kuin se on määriteltynä asetuksessa (EU) 2016/679, ei pitäisi olla pätevä oikeudellinen peruste viranomaisten suorittamalle henkilötietojen käsittelylle. Jos rekisteröidyltä vaaditaan lakisääteisen velvoitteen noudattamista, rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta, eikä hänen suostumustaan voida tällöin pitää vapaaehtoisena tahdonilmaisuna. Tämä ei saisi estää jäsenvaltioita säätämästä laissa, että rekisteröity voi suostua henkilötietojensa käsittelyyn tämän direktiivin tarkoituksia varten, esimerkiksi DNA-testeihin rikostutkinnassa tai hänen olinpaikkansa seurantaan elektronisen tunnisteen avulla rikosoikeudellisten seuraamusten täytäntöönpanemiseksi.

(36)

Jäsenvaltioiden olisi säädettävä, että jos tietoja siirtävään toimivaltaiseen viranomaiseen sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään erityisissä olosuhteissa sovellettavista henkilötietojen käsittelyä koskevista erityisistä edellytyksistä, kuten käsittelykoodien käytöstä, tietoja siirtävän toimivaltaisen viranomaisen olisi ilmoitettava tällaisten henkilötietojen vastaanottajalle tällaisista edellytyksistä ja vaatimuksesta noudattaa niitä. Tällaisiin edellytyksiin voisi esimerkiksi kuulua kielto siirtää henkilötietoja edelleen muille tai käyttää niitä muissa kuin siinä tarkoituksessa, jota varten tiedot oli toimitettu vastaanottajalle, taikka kielto ilmoittaa rekisteröidylle tiedonsaantioikeuden rajoittamisesta ilman tietoja siirtävän toimivaltaisen viranomaisen etukäteen antamaa hyväksyntää. Näitä velvoitteita olisi sovellettava myös tietojen siirtämiseen toimivaltaisen viranomaisen toimesta kolmansissa maissa oleville vastaanottajille tai kansainvälisille järjestöille. Jäsenvaltioiden olisi varmistettava, että tietoja siirtävä toimivaltainen viranomainen ei sovella muissa jäsenvaltioissa oleviin vastaanottajiin taikka Euroopan unionin toiminnasta tehdyn sopimuksen V osaston 4 ja 5 lukujen nojalla perustettuihin virastoihin, elimiin ja laitoksiin muita tällaisia edellytyksiä kuin niitä, joita sovelletaan samankaltaisiin tietojen siirtoihin kyseisen toimivaltaisen viranomaisen jäsenvaltiossa.

(37)

Henkilötiedot, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, ansaitsevat erityistä suojelua, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Tällaisiin henkilötietoihin olisi sisällyttävä henkilötiedot, joista ilmenee rotu tai etninen alkuperä. Ilmaisun ”rotu” käyttäminen tässä direktiivissä ei kuitenkaan tarkoita sitä, että unioni hyväksyisi teorioita, joilla yritetään määrittää eri ihmisrotujen olemassaolo. Tällaisia henkilötietoja olisi voitava käsitellä vain, jos käsittelyssä noudatetaan rekisteröidyn laissa säädettyjä oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia ja jos käsittely sallitaan lain mukaisissa tapauksissa taikka jos käsittely on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, vaikka tätä ei vielä sallittaisi laissa, tai jos käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi. Rekisteröidyn oikeuksia ja vapauksia koskeviin asianmukaisiin suojatoimiin voisi esimerkiksi kuulua mahdollisuus kerätä näitä tietoja ainoastaan kyseistä luonnollista henkilöä koskevien muiden tietojen keräämisen yhteydessä, kerättyjen tietojen riittävä suojaaminen, tiukempien sääntöjen soveltaminen toimivaltaisen viranomaisen henkilöstöön tietojen käyttöön saamisen osalta ja tällaisia tietoja koskevan siirron kieltäminen. Tällaisten tietojen käsitteleminen olisi sallittava myös laissa, jos rekisteröity on nimenomaisesti antanut suostumuksensa käsittelylle, joka on hänen kannaltaan erityisen tungettelevaa. Rekisteröidyn suostumus ei saisi kuitenkaan itsessään muodostaa oikeusperustaa, jonka nojalla toimivaltaiset viranomaiset saisivat käsitellä tällaisia arkaluonteisia tietoja.

(38)

Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan päätöksen kohteeksi, joka on tehty yksinomaan automatisoidun käsittelyn perusteella ja josta hänelle aiheutuu haitallisia oikeudellisia vaikutuksia tai joka vaikuttaa häneen merkittävällä tavalla. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin kuuluisivat tällaisesta käsittelystä ilmoittaminen rekisteröidylle ja oikeus ihmisen suorittamaan interventioon, erityisesti jotta rekisteröity voisi esittää oman kantansa, saada selvityksen kyseisen arvioinnin jälkeen tehdystä päätöksestä tai riitauttaa päätöksen. Profilointi, jonka seurauksena luonnollisia henkilöitä syrjitään sellaisten henkilötietojen perusteella, jotka ovat luonteeltaan erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, olisi kiellettävä perusoikeuskirjan 21 ja 52 artiklassa säädettyjen ehtojen mukaisesti.

(39)

Jotta rekisteröidyt voisivat käyttää oikeuksiaan, kaikkien rekisteröidyille tarkoitettujen tietojen, myös rekisterinpitäjän verkkosivustolla olevien tietojen, olisi oltava helposti saatavilla ja ymmärrettävissä, mikä edellyttää selkeän ja yksinkertaisen kielen käyttöä. Tällaiset tiedot olisi mukautettava heikommassa asemassa olevien henkilöiden kuten lasten tarpeisiin.

(40)

Olisi säädettävä yksityiskohtaisesti siitä, miten tämän direktiivin nojalla annettuihin säännöksiin perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa esimerkiksi mekanismeilla, joilla rekisteröity voi pyytää pääsyä omiin henkilötietoihinsa sekä henkilötietojen oikaisua, poistamista ja käsittelyn rajoittamista, ja mahdollisuuksien mukaan saada nämä oikeudet maksutta. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä, paitsi jos rekisterinpitäjä rajoittaa rekisteröidyn oikeuksia tämän direktiivin mukaisesti. Jos pyynnöt ovat lisäksi ilmeisen perusteettomia tai kohtuuttomia, esimerkiksi jos rekisteröity pyytää perusteettomasti ja toistuvasti tietoja tai jos rekisteröity käyttää väärin oikeuttaan saada tietoja esimerkiksi antamalla vääriä tai harhaanjohtavia tietoja pyyntöä esittäessään, rekisterinpitäjän olisi voitava periä kohtuullinen maksu tai kieltäytyä suorittamasta pyydettyä toimea.

(41)

Kun rekisterinpitäjä pyytää lisätietoja rekisteröidyn henkilöllisyyden vahvistamiseksi, näitä tietoja olisi käsiteltävä ainoastaan tätä erityistarkoitusta varten, eikä niitä saisi säilyttää kauempaa kuin kyseisen erityistarkoituksen edellyttämän ajan.

(42)

Ainakin seuraavat tiedot olisi asetettava rekisteröidyn saataville: rekisterinpitäjän henkilöllisyys, tieto käsittelystä, käsittelyn tarkoitukset, tieto siitä, että rekisteröidyllä on oikeus tehdä valitus ja tieto oikeudesta pyytää rekisterinpitäjältä pääsyä henkilötietoihin tai niiden oikaisemista, poistamista tai käsittelyn rajoittamista. Tiedot voidaan asettaa saataville toimivaltaisen viranomaisen verkkosivustolla. Lisäksi rekisteröidylle olisi erityistapauksissa ja jotta tämä voisi käyttää oikeuksiaan ilmoitettava käsittelyn oikeusperuste ja tietojen säilytysaika, jos nämä tiedot ovat tarpeen ottaen huomioon ne erityisolot, joissa tietoja käsitellään, jotta taataan rekisteröidyn tietojen asianmukainen käsittely.

(43)

Luonnollisella henkilöllä olisi oltava oikeus saada pääsy tietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin voidakseen valvoa ja tarkistaa käsittelyn lainmukaisuuden. Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoituksia tietojenkäsittelyn tarkoituksista, käsittelyajasta ja tietojen vastaanottajista, myös kolmansissa maissa. Kun tällaisiin ilmoituksiin sisältyy tietoja henkilötietojen alkuperästä, niissä ei saisi paljastua luonnollisten henkilöiden eikä varsinkaan luottamuksellisten lähteiden henkilöllisyys. Tämän oikeuden täyttymiseksi riittää, että rekisteröidyllä on täydellinen yhteenveto kyseisistä tiedoista helposti ymmärrettävässä muodossa eli muodossa, jonka ansiosta rekisteröity saa tiedon kyseisistä tiedoista ja voi todentaa niiden paikkansapitävyyden ja niiden käsittelemisen tämän direktiivin mukaisesti, jotta hän voi käyttää tämän direktiivin mukaisia oikeuksiaan. Yhteenveto voitaisiin toimittaa esittämällä jäljennös käsiteltävinä olevista henkilötiedoista.

(44)

Jäsenvaltioiden olisi voitava hyväksyä lainsäädäntötoimenpiteitä, joilla viivytetään tai rajoitetaan rekisteröidyille ilmoittamista tai poistetaan se tai rajoitetaan kokonaisuudessaan tai osittain heidän pääsyään omiin henkilötietoihinsa siinä määrin ja niin kauan kuin tällainen toimenpide on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut, jotta vältetään estämästä virallisia tai laillisia tiedusteluja, tutkimuksia tai menettelyjä tai tuottamasta haittaa rikosten ennalta estämiselle, tutkimiselle paljastamiselle tai rikoksiin liittyville syytetoimille tai rikosoikeudellisten seuraamusten täytäntöönpanolle tai jotta voidaan suojata yleinen tai kansallinen turvallisuus tai muiden henkilöiden oikeudet ja vapaudet. Rekisterinpitäjän olisi arvioitava tutkimalla kukin tapaus konkreettisesti ja yksilöllisesti, olisiko oikeutta saada pääsy tietoihin rajoitettava osittain tai täydellisesti.

(45)

Jos tietojen antamisesta kieltäydytään tai sitä rajoitetaan, asiasta olisi lähtökohtaisesti ilmoitettava kirjallisesti rekisteröidylle. Samalla olisi annettava tiedoksi myös ne seikat tai oikeudelliset syyt, joihin tällainen päätös perustuu.

(46)

Kaikkien rekisteröityjen oikeuksien rajoitusten on oltava perusoikeuskirjan ja Euroopan ihmisoikeussopimuksen mukaisia unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöjen tulkitsemalla tavalla, ja on noudatettava erityisesti kyseisten oikeuksien ja vapauksien olennaista sisältöä.

(47)

Luonnollisella henkilöllä olisi oltava oikeus saada itseään koskevat virheelliset henkilötiedot oikaistuiksi, erityisesti, jos ne koskevat tosiasioita, ja oikeus pyytää tietojen poistamista, jos tietojen käsittely rikkoo tätä direktiiviä. Tietojen oikaisemista koskeva oikeus ei saisi kuitenkaan vaikuttaa esimerkiksi todistajanlausunnon sisältöön. Luonnollisella henkilöllä olisi oltava myös oikeus rajoittaa tietojen käsittelyä, jos hän kiistää henkilötietojen paikkansapitävyyttä eikä tietojen paikkansapitävyyttä tai virheellisyyttä voida todentaa tai jos henkilötiedot on säilytettävä todistelua varten. Erityisesti henkilötietojen käsittelyä olisi rajoitettava sen sijaan, että henkilötiedot poistetaan, jos erityistapauksessa on perusteltua syytä uskoa, että niiden poistaminen haittaisi rekisteröidyn oikeutettuja etuja. Tällaisessa tapauksessa rajoitettuja tietoja saisi käsitellä ainoastaan siinä tarkoituksessa, joka esti niiden poistamisen. Henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, esimerkiksi arkistointitarkoituksiin, tai valittujen tietojen käyttöön saamisen estäminen. Automatisoiduissa rekistereissä henkilötietojen käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä siten, että käy selvästi ilmi, että henkilötietojen käsittely on rajoitettua. Tieto siitä, että kyseiset henkilötiedot on oikaistu tai poistettu tai että niiden käsittelyä on rajoitettu, olisi välitettävä tiedot vastaanottaneille tahoille ja toimivaltaisille viranomaisille, joilta virheelliset tiedot olivat peräisin. Rekisterinpitäjien olisi myös lopetettava kyseisten tietojen levittäminen.

(48)

Jos rekisterinpitäjä epää rekisteröidyn tiedonsaantioikeuden, pääsyn tietoihin tai oikeuden oikaista tai poistaa henkilötietoja tai rajoittaa niiden käsittelyä, rekisteröidyllä olisi oltava oikeus pyytää kansallista valvontaviranomaista tarkistamaan käsittelyn lainmukaisuuden puolestaan. Rekisteröidylle olisi ilmoitettava tästä oikeudesta. Jos valvontaviranomainen toimii rekisteröidyn puolesta, sen olisi ilmoitettava rekisteröidylle ainakin siitä, että se on tehnyt kaikki tarpeelliset tarkistukset tai uudelleentarkastelut. Valvontaviranomaisen olisi myös tiedotettava rekisteröidylle oikeudesta käyttää oikeussuojakeinoja.

(49)

Jos henkilötietoja käsitellään rikostutkinnan ja -oikeudenkäynnin yhteydessä, jäsenvaltioiden olisi voitava säätää siitä, että tiedonsaantioikeuden käyttö, pääsy tietoihin ja henkilötietojen oikaiseminen tai poistaminen tai käsittelyn rajoittaminen toteutetaan oikeudellisia menettelyjä koskevien kansallisten sääntöjen mukaisesti.

(50)

Olisi vahvistettava rekisterinpitäjän vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa tarvittavat ja tehokkaat toimenpiteet, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän direktiivin mukaisia. Tällaisia toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski. Rekisterinpitäjän toimenpiteisiin olisi kuuluttava heikommassa asemassa olevien luonnollisten henkilöiden kuten lasten henkilötietojen käsittelyä koskevien erityisten suojatoimien laatiminen ja täytäntöönpano.

(51)

Todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksia ja vapauksia koskevat riskit voivat aiheutua tietojenkäsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten tietojen luottamuksellisuuden menetykseen, pseudonymisoinnin luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa; jos rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan; jos käsitellään sellaisia henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista; jos käsitellään geneettisiä tietoja tai biometrisiä tietoja henkilön yksilölliseksi tunnistamiseksi tai jos käsitellään terveyttä koskevia tietoja ja seksuaalista käyttäytymistä ja seksuaalista suuntautumista tai rikostuomioita ja rikkomuksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; jos arvioidaan henkilökohtaisia ominaisuuksia, erityisesti kun kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; jos käsitellään heikommassa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja; tai jos käsitellään suuria määriä henkilötietoja, jotka koskevat suurta rekisteröityjen määrää.

(52)

Riskin todennäköisyys ja vakavuus olisi määriteltävä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin korkea riski. Korkea riski on etenkin rekisteröityjen oikeuksia ja vapauksia heikentävä riski.

(53)

Luonnollisten henkilöiden oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet tässä direktiivissä säädettyjen vaatimusten noudattamiseksi. Toimenpiteiden toteuttaminen ei tulisi riippua yksinomaan taloudellisista näkökohdista. Osoittaakseen, että direktiiviä on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava toimenpiteitä, jotka noudattavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Jos rekisterinpitäjä on tehnyt tämän direktiivin mukaisen tietosuojaa koskevan vaikutustenarvioinnin, sen tulokset olisi otettava huomioon näiden toimenpiteiden ja menettelyjen kehittämisessä. Toimenpiteitä voisivat olla muun muassa pseudonymisoinnin käyttö mahdollisimman pian. Pseudonymisoinnin käyttö tämän direktiivin puitteissa voi toimia välineenä, jolla voidaan helpottaa henkilötietojen vapaata kulkua vapauden, turvallisuuden ja oikeuden alueella.

(54)

Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttävät, että tässä direktiivissä säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.

(55)

Henkilötietojen käsittelijän suorittamaa käsittelyä olisi säänneltävä oikeudellisella asiakirjalla, johon sisältyy sopimus, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa erityisesti säädetään, että henkilötietojen käsittelijän olisi toimittava ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Henkilötietojen käsittelijän olisi otettava huomioon sisäänrakennetun ja oletusarvoisen tietosuojan periaate.

(56)

Rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä selostetta kaikista sen vastuulla olevien käsittelytoimien eri luokista voidakseen osoittaa, että ne ovat tämän direktiivin mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä tämä seloste, jotta käsittelytoimia voidaan seurata sen pohjalta. Rekisterinpitäjällä tai henkilötietojen käsittelijällä, joka käsittelee tietoja muissa kuin automatisoiduissa käsittelyjärjestelmissä, olisi oltava käytössään tehokkaat menetelmät kuten lokitiedot tai muunmuotoinen seloste, jotta osoitetaan käsittelyn laillisuus, mahdollistetaan omaehtoinen valvonta ja varmistetaan tietojen eheys ja tietoturva.

(57)

Lokitiedot olisi säilytettävä ainakin automatisoiduissa käsittelyjärjestelmissä suoritettavista käsittelytoimista, kuten tietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta siirtäminen mukaan lukien, yhdistämisestä tai poistamisesta. Henkilötietoja koskevan kyselyn tekijän tai henkilötietoja luovuttaneen henkilön tunnistamisesta olisi oltava lokitiedot, ja käsittelytoimen perusteen tulisi olla selvitettävissä tämän tunnistamisen pohjalta. Lokitietoja olisi käytettävä ainoastaan henkilötietojen käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan, tietojen eheyden ja tietoturvallisuuden varmistamiseen sekä rikosoikeudelliseen menettelyyn. Omaehtoiseen valvontaan kuuluvat myös toimivaltaisten viranomaisten sisäiset kurinpitomenettelyt.

(58)

Rekisterinpitäjän olisi tehtävä tietosuojaa koskeva vaikutustenarviointi, jos käsittelytoimiin todennäköisesti liittyy niiden luonteen, laajuuden tai tarkoituksen vuoksi rekisteröityjen vapauksien ja oikeuksien kannalta korkea riski. Arvioinnissa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä, suojatoimia ja mekanismeja, joiden avulla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä direktiiviä on noudatettu. Vaikutustenarviointi olisi kohdistettava asianomaisiin käsittelytoimien järjestelmiin ja prosesseihin eikä yksittäisiin tapauksiin.

(59)

Jotta rekisteröityjen oikeuksia ja vapauksia voitaisiin suojata tehokkaasti, rekisterinpitäjän tai henkilötietojen käsittelijän olisi eräissä tapauksissa kuultava valvontaviranomaista ennen käsittelyä.

(60)

Turvallisuuden ylläpitämiseksi ja direktiivin vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava näiden riskien lieventämiseksi toimenpiteitä, esimerkiksi käytettävä salausta. Tällaisten toimenpiteiden avulla olisi voitava varmistaa asianmukainen turvallisuustaso, mukaan lukien luottamuksellisuus, ja ottaa huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset suhteessa riskiin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskejä arvioitaessa olisi otettava huomioon tietojenkäsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja. Rekisterinpitäjän ja henkilötietojen käsittelijän olisi varmistettava, että asiaankuulumattomat henkilöt eivät käsittele henkilötietoja.

(61)

Jos henkilötietoihin kohdistuvaan tietoturvaloukkaukseen ei puututa riittävän asianmukaisesti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysistä, aineellista tai aineetonta vahinkoa, kuten omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa asianomaiselle luonnolliselle henkilölle. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietoihin kohdistuneesta tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan tilivelvollisuusperiaatteen mukaisesti, että henkilötietoihin kohdistuneesta tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei voida toimittaa 72 tunnin kuluessa, sen mukana olisi toimitettava viivästymisen perustelut, ja tiedot voitaisiin toimittaa vaiheittain ilman aiheetonta viivytystä.

(62)

Luonnollisille henkilöille olisi ilmoitettava ilman aiheetonta viivytystä, jos henkilötietojen tietoturvaloukkauksesta todennäköisesti aiheutuu luonnollisten henkilöiden oikeuksille ja vapauksille korkea riski, jotta nämä voivat ryhtyä tarpeellisiin varotoimiin. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia. Tietoturvaloukkauksesta olisi ilmoitettava rekisteröidylle niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa, noudattaen valvontaviranomaisen tai muiden asiaankuuluvien viranomaisten antamia ohjeita. Esimerkiksi tarve lieventää välittömien haittojen riskiä edellyttää sitä, että tietoturvaloukkauksesta olisi ilmoitettava rekisteröidyille viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien tietoturvaloukkausten estämiseksi voivat olla perusteena pidemmälle ilmoitusajalle. Jos sitä, että vältetään estämästä virallisia tai laillisia tiedusteluja, tutkimuksia tai menettelyjä tai tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille tai rikosoikeudellisten seuraamusten täytäntöönpanolle, tai sitä, että voidaan suojata yleinen tai kansallinen turvallisuus tai muiden henkilöiden oikeudet ja vapaudet, ei voida saavuttaa viivyttämällä tai rajoittamalla henkilötietojen tietoturvaloukkauksesta ilmoittamista kyseiselle luonnolliselle henkilölle, ilmoitus voitaisiin poikkeuksellisissa olosuhteissa jättää tekemättä.

(63)

Rekisterinpitäjän olisi nimettävä henkilö, joka auttaa häntä valvomaan tämän direktiivin nojalla annettujen säännösten noudattamista tällaisen käsittelyn yhteydessä, paitsi jos jäsenvaltio päättää vapauttaa tuomioistuimet ja muut riippumattomat oikeusviranomaiset tästä velvollisuudesta niiden suorittaessa lainkäyttötehtäviään. Tämä henkilö voisi olla rekisterinpitäjän henkilöstön jäsen, joka on saanut erityisen tietosuojaoikeutta ja alan käytänteitä koskevan koulutuksen asiantuntemuksen saamiseksi tällä alalla. Tarvittavan erityisasiantuntemuksen tason olisi määräydyttävä etenkin rekisterinpitäjän suorittaman tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan perusteella. Hän voisi suorittaa tehtäviään osa-aikaisesti tai kokoaikaisesti. Useampi rekisterinpitäjä voi nimittää yhteisen tietosuojavastaavan ottaen huomioon niiden organisaatiorakenteen ja koon esimerkiksi tapauksissa, joissa keskusyksiköillä on jaetut resurssit. Tämä henkilö voidaan myös nimetä rekisterinpitäjien rakenteen eri asemiin. Hänen olisi avustettava rekisterinpitäjää ja henkilötietoja käsitteleviä työntekijöitä antamalla näille tietoja ja neuvoja näiden asiaankuuluvien tietosuojavelvollisuuksien noudattamisesta. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti jäsenvaltion lainsäädännön mukaisesti.

(64)

Jäsenvaltioiden olisi varmistettava, että tietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle vain, jos se on tarpeen rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, ja jos rekisterinpitäjä kolmannessa maassa tai kansainvälisessä järjestössä on tässä direktiivissä tarkoitettu toimivaltainen viranomainen. Vain rekisterinpitäjinä toimivien toimivaltaisten viranomaisten olisi voitava siirtää tietoja, paitsi jos tietojen käsittelijöille on nimenomaisesti annettu tehtäväksi siirtää tiedot rekisterinpitäjien puolesta. Tietoja voidaan siirtää, jos komissio on päättänyt, että kyseinen kolmas maa tai kansainvälinen järjestö huolehtii tietosuojan riittävyydestä, tai jos on toteutettu asianmukaiset suojatoimet tai jos sovelletaan erityistilanteita koskevia poikkeuksia. Kun henkilötietoja siirretään unionista kolmansissa maissa tai kansainvälisissä järjestöissä oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille, ei tulisi vaarantaa luonnollisten henkilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän direktiiviin, ei myöskään tapauksissa, joissa kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa tai muussa kansainvälisessä järjestössä oleville rekisterinpitäjille tai henkilötietojen käsittelijöille.

(65)

Jos henkilötietoja siirretään jäsenvaltiosta kolmansiin maihin tai kansainvälisille järjestöille, siirron olisi lähtökohtaisesti tapahduttava vasta sen jälkeen, kun jäsenvaltio, jolta tiedot on saatu, on antanut luvan niiden siirtämiseen. Tehokkaan lainvalvontayhteistyön edut edellyttävät, että mikäli jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen tai jäsenvaltion olennaisiin etuihin kohdistuva uhka on niin välitön, että ennakkoluvan saaminen ajoissa on mahdotonta, toimivaltaisen viranomaisen olisi voitava siirtää olennaiset henkilötiedot asianomaiseen kolmanteen maahan tai kansainväliselle järjestölle ilman tällaista ennakkolupaa. Jäsenvaltioiden olisi säädettävä, että kaikista siirtoon sovellettavista erityisistä edellytyksistä on ilmoitettava kolmansille maille tai kansainvälisille järjestöille. Tietojen edelleen siirtämiseksi olisi saatava etukäteen alkuperäisen siirron suorittaneen toimivaltaisen viranomaisen lupa. Kun alkuperäisen siirron suorittanut toimivaltainen viranomainen tekee päätöksen siltä pyydetystä luvasta siirtää tietoja edelleen, sen olisi otettava asianmukaisesti huomioon kaikki merkittävät seikat kuten rikoksen vakavuus, tietojen siirtoon liittyvät erityiset ehdot ja tarkoitus, jota varten tiedot on alun perin siirretty, rikosoikeudellisen seuraamuksen täytäntöönpanon luonne ja ehdot sekä henkilötietosuojan taso siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tiedot edelleen siirretään. Alkuperäisen siirron suorittaneen toimivaltaisen viranomaisen olisi voitava myös asettaa erityisehtoja tietojen edelleen siirtämiselle. Tällaisia erityisehtoja voidaan kuvailla esimerkiksi käsittelykoodeissa.

(66)

Komission olisi voitava tehdä koko unionia koskeva päätös siitä, että eräät kolmannet maat tai kolmannen maan tietty alue tai yksi tai useampi erityinen sektori tai tietty kansainvälinen järjestö tarjoavat riittävän tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa niiden kolmansien maiden tai kansainvälisten järjestöjen osalta, joiden katsotaan tarjoavan tämäntasoista suojaa. Tällöin henkilötietoja olisi voitava siirtää kyseisiin maihin ilman erityistä lupaa, paitsi jos toisen jäsenvaltion, josta tiedot on saatu, on annettava siirrolle lupa.

(67)

Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmatta maata tai kolmannen maan aluetta tai tiettyä sektoria arvioidessaan otettava huomioon, miten kyseisessä kolmannessa maassa noudatetaan oikeusvaltioperiaatetta, oikeussuojaa ja kansainvälisiä ihmisoikeussääntöjä ja -normeja sekä kyseisen maan yleistä ja alakohtaista lainsäädäntöä, kuten yleistä turvallisuutta, puolustusta, kansallista turvallisuutta sekä yleistä järjestystä ja rikosoikeutta koskevaa lainsäädäntöä. Hyväksyttäessä päätös kolmannen maan alueen tai tietyn sektorin tietosuojan riittävyydestä olisi otettava huomioon selkeät ja objektiiviset perusteet, kuten erityiset henkilötietojen käsittelytoimet ja kolmannessa maassa sovellettavien oikeusnormien soveltamisala ja voimassa oleva lainsäädäntö. Kolmannen maan olisi tarjottava takeet, joilla varmistetaan riittävä tietosuojan taso, joka vastaa olennaisilta osin unionissa taattua suojan tasoa, erityisesti kun tietoja käsitellään yhdellä tai useammalla erityisalalla. Kolmannen maan olisi erityisesti varmistettava tehokas riippumaton tietosuojavalvonta ja huolehtia jäsenvaltioiden tietosuojaviranomaisten kanssa käytettävistä yhteistyömekanismeista, ja rekisteröidyille olisi taattava vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot.

(68)

Komission olisi kolmannen maan tai kansainvälisen järjestön tekemien kansainvälisten sitoumusten lisäksi otettava myös huomioon velvoitteet, jotka johtuvat kolmannen maan tai kansainvälisen järjestön osallistumisesta monenvälisiin tai alueellisiin järjestelmiin, erityisesti sellaiset velvoitteet, jotka koskevat henkilötietojen suojaamista, sekä kyseisten velvoitteiden täytäntöönpano. Erityisesti olisi otettava huomioon kolmannen maan liittyminen yksilöiden suojelusta henkilötietojen automaattisessa käsittelyssä 28 päivänä tammikuuta 1981 tehtyyn Euroopan neuvoston yleissopimukseen ja sen lisäpöytäkirjaan. Komission olisi kuultava asetuksella (EU) 2016/679 perustettua Euroopan tietosuojaneuvostoa, jäljempänä ’tietosuojaneuvosto’, arvioidessaan kolmansien maiden tai kansainvälisten järjestöjen suojan tasoa. Lisäksi komission olisi otettava huomioon asetuksen (EU) 2016/679 45 artiklan mukaisesti annetut mahdolliset tietosuojan riittävyyttä koskevat päätökset.

(69)

Komission olisi valvottava kolmannen maan tai sen alueen tai tietyn sektorin tai kansainvälisen järjestön tietosuojan tasoa koskevien päätösten toimivuutta. Komission olisi säädettävä tietosuojan riittävyyttä koskevissa päätöksissään niiden toimivuuden säännöllisestä uudelleentarkastelusta. Tällaista tarkastelua tehtäessä olisi kuultava kyseistä kolmatta maata tai kansainvälistä järjestöä ja otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä.

(70)

Komission olisi myös voitava todeta, että jokin kolmas maa tai kolmannen maan alue tai tietty sektori tai kansainvälinen järjestö ei enää tarjoa riittävän tasoista tietosuojaa. Tällöin henkilötietojen siirtäminen kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle olisi kiellettävä, elleivät tässä direktiivissä säädetyt edellytykset, jotka liittyvät asianmukaisia suojatoimia edellyttäviin siirtoihin ja erityistilanteita koskeviin poikkeuksiin, täyty. Lisäksi olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä. Komission olisi hyvissä ajoin ilmoitettava kolmannelle maalle tai kansainväliselle järjestölle perustelut ja aloitettava sen kanssa neuvottelut tilanteen korjaamiseksi.

(71)

Siirrot, jotka eivät perustu tietosuojan riittävyyttä koskevaan päätökseen, olisi sallittava vain, jos oikeudellisesti sitovassa välineessä on toteutettu asianmukaiset suojatoimet, joilla varmistetaan henkilötietojen suoja, tai jos rekisterinpitäjä on arvioinut kaikkia tiedonsiirtoon liittyviä seikkoja ja katsoo arvionsa perusteella, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet. Tällaisia oikeudellisesti sitovia välineitä voisivat olla esimerkiksi oikeudellisesti sitovat kahdenväliset sopimukset, joita jäsenvaltiot ovat tehneet, jotka on pantu täytäntöön niiden oikeusjärjestyksessä ja joihin kyseisen maan rekisteröidyt voisivat vedota ja joissa varmistetaan tietosuojaa koskevien vaatimusten noudattaminen ja rekisteröityjen oikeuksien kunnioittaminen, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien. Rekisterinpitäjän olisi voitava ottaa huomioon Europolin tai Eurojustin ja kolmansien maiden välillä tehdyt yhteistyösopimukset, jotka mahdollistavat henkilötietojen vaihdon, arvioidessaan kaikkia tiedonsiirtoon liittyviä seikkoja. Rekisterinpitäjän olisi voitava ottaa huomioon myös se, että henkilötietojen siirtoihin sovelletaan salassapitovelvollisuutta ja tietyn käsittelytarkoituksen periaatetta, joilla varmistetaan, ettei tietoja käsitellä muita kuin siirron tarkoituksia varten. Tämän lisäksi rekisterinpitäjän olisi otettava huomioon se, että henkilötietoja ei käytetä kuolemanrangaistuksen tai minkään julman ja epäinhimillisen kohtelun pyytämiseen, määräämiseen tai täytäntöönpanemiseen. Vaikka nämä edellytykset voitaisiin katsoa tietojen siirron mahdollistaviksi asianmukaisiksi suojatoimiksi, rekisterinpitäjä olisi voitava vaatia muita suojatoimia.

(72)

Jos tietosuojan tason riittävyyttä koskevaa päätöstä ei ole tehty tai asianmukaisia suojatoimia ei ole toteutettu, henkilötietojen siirto tai siirtojen sarja voidaan toteuttaa ainoastaan erityistilanteissa, jos se on tarpeen rekisteröidyn tai muun henkilön elintärkeiden etujen suojaamiseksi tai rekisteröidyn oikeutettujen etujen turvaamiseksi, jos henkilötiedot siirtävän jäsenvaltion laissa niin säädetään; jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi; yksittäistapauksessa rikosten ennalta estämiseksi, tutkimiseksi, paljastamiseksi tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten; tai yksittäistapauksessa oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Näitä poikkeuksia olisi tulkittava tiukasti, eikä niissä saisi sallia henkilötietojen toistuvia, laajoja ja rakenteellisia siirtoja tai tietojen laajamittaista siirtoa, vaan ne olisi rajoitettava koskemaan pelkästään välttämättömiä tietoja. Tällaiset siirrot olisi dokumentoitava ja niitä koskevat asiakirjat olisi toimitettava pyynnöstä valvontaviranomaiselle siirron laillisuuden valvontaa varten.

(73)

Jäsenvaltioiden toimivaltaiset viranomaiset soveltavat kolmansien maiden kanssa tehtyjä voimassa olevia kahden- tai monenvälisiä kansainvälisiä sopimuksia rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla asiaankuuluvan tiedon vaihtamiseksi siten, että ne pystyvät hoitamaan niille laissa osoitetut tehtävät. Lähtökohtaisesti tietojenvaihto tapahtuu asianomaisten kolmansien valtioiden niiden viranomaisten, jotka ovat tätä direktiiviä sovellettaessa toimivaltaisia, kanssa tehtävän yhteistyön kautta tai ainakin yhteydessä, joskus jopa siinä tapauksessa, että kahden- tai monenvälistä kansainvälistä sopimusta ei ole tehty. Tietyissä yksittäistapauksissa säännölliset menettelyt, jotka edellyttävät yhteydenottoa tällaiseen viranomaiseen kolmannessa maassa, voivat olla tehottomia tai sopimattomia erityisesti sen vuoksi, että tietoja ei ole voitu siirtää riittävän nopeasti tai koska kolmannen maan kyseinen viranomainen ei noudata oikeusvaltioperiaatetta tai kansainvälisiä ihmisoikeussääntöjä ja -normeja, jolloin jäsenvaltioiden toimivaltaiset viranomaiset voivat päättää siirtää henkilötietoja suoraan kyseisiin kolmansiin maihin sijoittautuneille vastaanottajille. Näin voi käydä esimerkiksi silloin, kun on kiireellisesti tarpeen siirtää henkilötietoja sellaisen henkilön hengen pelastamiseksi, joka on vaarassa joutua rikoksen uhriksi, tai kun pyritään estämään rikoksen, mukaan lukien terroriteon, välitön tekeminen. Vaikka tällaisia siirtoja toimivaltaisten viranomaisten ja kolmansiin maihin sijoittautuneiden vastaanottajien välillä tapahtuisi ainoastaan tietyissä yksittäistapauksissa, tässä direktiivissä olisi säädettävä edellytyksistä näiden tapausten sääntelemiseksi. Näitä säännöksiä ei olisi katsottava poikkeuksiksi rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön aloilla tehtyihin olemassa oleviin kahden- tai monenvälisiin kansainvälisiin sopimuksiin. Näitä sääntöjä olisi sovellettava tämän direktiivin muiden sääntöjen, erityisesti käsittelyn lainmukaisuutta koskevien sääntöjen ja V luvun sääntöjen lisäksi.

(74)

Henkilötietojen siirtäminen valtioiden rajojen yli voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella. Lisäksi viranomaisten yhteistyötä valtioiden rajatylittävissä tapauksissa voivat vaikeuttaa myös riittämättömät ennalta ehkäisevät tai korjaavat toimivaltuudet tai epäjohdonmukaiset oikeudelliset toimintaympäristöt. Sen vuoksi olisi edistettävä tietosuojavalvontaviranomaisten tiiviimpää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ulkomaisten kumppaniensa kanssa.

(75)

Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on perustaa jäsenvaltioihin sellaiset valvontaviranomaiset, jotka hoitavat tehtäviään täysin riippumattomasti. Valvontaviranomaisten olisi seurattava tämän direktiivin nojalla annettujen säännösten soveltamista ja edistettävä niiden yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä. Sitä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa.

(76)

Jäsenvaltiot voivat antaa asetuksen (EU) 2016/679 mukaisesti jo perustetuille valvontaviranomaisille tämän direktiivin mukaisesti perustettavien kansallisten valvontaviranomaisten tehtävät.

(77)

Jäsenvaltioiden olisi voitava perustaa useampi kuin yksi valvontaviranomainen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti. Kullekin valvontaviranomaiselle olisi osoitettava taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa. Kullakin valvontaviranomaisella olisi oltava erillinen ja julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

(78)

Valvontaviranomaisten kuluihin olisi voitava soveltaa riippumattomia valvonta- tai seurantamekanismeja edellyttäen, että tällainen varainhoidon valvonta ei vaikuta niiden riippumattomuuteen.

(79)

Valvontaviranomaisen jäseneen tai jäseniin sovellettavat yleiset edellytykset olisi vahvistettava jäsenvaltion lainsäädännössä. Erityisesti olisi säädettävä, että kyseiset jäsenet nimittää joko asianomaisen jäsenvaltion parlamentti tai hallitus tai valtionpäämies hallituksen tai hallituksen edustajan ehdotuksen pohjalta, taikka riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu läpinäkyvää menettelyä noudattaen. Valvontaviranomaisen riippumattomuuden varmistamiseksi sen jäsenen tai jäsenten on toimittava lahjomattomasti, pidätyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saisi toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa. Valvontaviranomaisen riippumattomuuden varmistamiseksi valvontaviranomaisen olisi valittava oma henkilöstönsä, mutta menettelyyn voi puuttua jäsenvaltion lainsäädännössä valtuutettu riippumaton elin.

(80)

Vaikka tätä direktiiviä sovelletaan myös kansallisten tuomioistuinten ja muiden oikeusviranomaisten toimintaan, valvontaviranomaisten toimivallan ei pitäisi kattaa henkilötietojen käsittelyä, jota tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä, jotta voidaan turvata tuomareiden riippumattomuus heidän hoitaessaan lainkäyttötehtäviään. Tämä poikkeus olisi rajattava koskemaan tuomioistuinten lainkäyttötehtäviä oikeudenkäynneissä, eikä sitä pitäisi soveltaa muuhun toimintaan, johon tuomarit saattavat osallistua jäsenvaltion lainsäädännön mukaisesti. Jäsenvaltioiden olisi voitava myös säätää, että valvontaviranomaisten toimivalta ei voi kattaa henkilötietojen käsittelyä, jota muut riippumattomat oikeusviranomaiset, esimerkiksi syyttäjälaitos, suorittavat lainkäyttötehtäviensä yhteydessä. Joka tapauksessa sitä, että tuomioistuimet ja muut riippumattomat oikeusviranomaiset noudattavat tämän direktiivin sääntöjä, on aina valvottava riippumattomasti perusoikeuskirjan 8 artiklan 3 kohdan mukaisesti.

(81)

Kaikkien valvontaviranomaisten olisi käsiteltävä rekisteröityjen tekemiä valituksia ja joko otettava asia tutkittavaksi tai siirrettävä se toimivaltaiselle valvontaviranomaiselle. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asiamukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen tutkittavaksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle.

(82)

Jotta voitaisiin varmistaa tämän direktiivin noudattamisen tosiasiallinen, luotettava ja johdonmukainen seuranta ja se, että direktiivi pannaan täytäntöön kaikkialla unionissa Euroopan unionin toiminnasta tehdyn sopimuksen mukaisesti unionin tuomioistuimen tulkitsemalla tavalla, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, mukaan lukien tutkintavaltuudet, korjaavat toimivaltuudet ja neuvontavaltuudet, jotka ovat tarpeen niiden tehtävien suorittamiseksi. Niiden valtuudet eivät kuitenkaan saisi olla ristiriidassa rikosoikeudellisia menettelyjä, kuten rikosten tutkimista ja niihin liittyviä syytetoimia, koskevien sääntöjen tai tuomioistuinten riippumattomuuden kanssa. Rajoittamatta jäsenvaltion lainsäädännön mukaisia syyttäjäviranomaisten valtuuksia, valvontaviranomaisilla olisi oltava myös valtuudet saattaa tämän direktiivin rikkomiset oikeusviranomaisten tietoon tai panna vireille oikeustoimet. Valvontaviranomaisten valtuuksia olisi käytettävä unionin oikeudessa ja jäsenvaltion lainsäädännössä vahvistettujen asianmukaisten menettelytakeiden mukaisesti puolueettomasti, oikeudenmukaisesti ja kohtuullisessa ajassa. Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen tämän direktiivin noudattamisen varmistamiseksi ottaen huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitettava jokaisen henkilön oikeutta tulla kuulluksi ennen kuin häntä vastaan ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaa asianomaiseen henkilöön epäedullisesti, ja vältettävä aiheuttamasta hänelle tarpeettomia kustannuksia ja liiallisia haittoja. Toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion lainsäädännön erityisvaatimusten mukaisesti, joita ovat esimerkiksi ennakkoluvan saamista koskeva vaatimus. Oikeudellisesti sitovan päätöksen antamiseen olisi sovellettava tuomioistuinvalvontaa päätöksen antaneen valvontaviranomaisen jäsenvaltiossa.

(83)

Valvontaviranomaisten olisi autettava toisiaan tehtäviensä suorittamisessa ja annettava keskinäistä apua, jotta voidaan varmistaa tämän direktiivin nojalla annettujen säännösten johdonmukainen soveltaminen ja täytäntöönpano.

(84)

Tietosuojaneuvoston olisi edistettävä tämän direktiivin yhdenmukaista soveltamista kaikkialla unionissa muun muassa antamalla neuvoja komissiolle ja tukemalla valvontaviranomaisten yhteistyötä unionissa.

(85)

Rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen oikeuksiaan, jotka perustuvat tämän direktiivin nojalla annettuihin säännöksiin, on loukattu, tai jos valvontaviranomainen ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asiamukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen tutkittavaksi. Toimivaltaisen valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja valitusta koskevasta ratkaisustaan kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle. Valitusten jättämisen helpottamiseksi kaikkien valvontaviranomaisen olisi toteutettava toimenpiteitä, esimerkiksi toimitettava valituslomake, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

(86)

Kaikilla luonnollisilla henkilöillä tai oikeushenkilöillä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin toimivaltaisessa kansallisessa tuomioistuimessa sellaista valvontaviranomaisen päätöstä vastaan, joka tuottaa kyseistä henkilöä koskevia oikeusvaikutuksia. Tällaiset päätökset koskevat etenkin valvontaviranomaisen tutkintavaltuuksien, korjaavien valtuuksien ja hyväksymisvaltuuksien käyttöä tai valitusten käsittelemättä jättämistä tai hylkäämistä. Tämä oikeus ei kuitenkaan koske valvontaviranomaisten muita toimenpiteitä, jotka eivät ole oikeudellisesti sitovia, kuten valvontaviranomaisen antamia lausuntoja tai neuvoja. Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut, ja se olisi toteutettava kyseisen jäsenvaltion lainsäädännön mukaisesti. Kyseisten tuomioistuinten olisi käytettävä täyttä oikeudellista toimivaltaa, mukaan lukien toimivalta tarkastella kaikkia tosiseikkoja koskevia ja oikeudellisia kysymyksiä, jotka ovat sen käsiteltäväksi saatetun asian kannalta olennaisia.

(87)

Jos rekisteröity katsoo, että hänen tähän direktiiviin perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin elin, joka pyrkii suojelemaan rekisteröityjen oikeuksia ja etuja heidän henkilötietojensa suojaamiseksi ja joka on perustettu jäsenvaltion lainsäädännön mukaisesti, tekemään puolestaan valitus valvontaviranomaiselle ja käyttämään oikeussuojakeinoja. Rekisteröityjen oikeus edustukseen ei kuitenkaan rajoita jäsenvaltion prosessioikeuden soveltamista, jossa saatetaan pakottavasti edellyttää, että rekisteröityjä edustaa kansallisissa tuomioistuimissa asianajaja, siten kuin se on määritelty neuvoston direktiivissä 77/249/ETY (10).

(88)

Rekisterinpitäjän tai muun jäsenvaltion lainsäädännön nojalla toimivaltaisen viranomaisen olisi korvattava henkilölle mahdolliset vahingot, jotka ovat aiheutuneet käsittelystä, joka rikkoo tämän direktiivin nojalla annettuja säännöksiä. Vahingon käsitettä olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän direktiivin tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Kun viitataan käsittelyyn, joka rikkoo tämän direktiivin nojalla annettuja säännöksiä, tarkoitetaan myös käsittelyä, joka rikkoo tämän direktiivin nojalla annettuja täytäntöönpanosäädöksiä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus heille aiheutuneesta vahingosta.

(89)

Olisi säädettävä seuraamuksista julkis- tai yksityisoikeudellisille luonnollisille henkilöille tai oikeushenkilöille, jotka rikkovat tätä direktiiviä. Jäsenvaltioiden olisi varmistettava, että seuraamukset ovat tehokkaita, oikeasuhteisia ja varoittavia, ja toteutettava kaikki toimenpiteet seuraamusten täytäntöönpanemiseksi.

(90)

Jotta voidaan varmistaa tämän direktiivin yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovalta seuraavien osalta: kolmannen maan, kolmannen maan alueen tai kyseisen kolmannen maan tietyn sektorin taikka kansainvälisen järjestön tarjoaman tietosuojan riittävyys, keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (11) mukaisesti.

(91)

Kolmannen maan, kolmannen maan alueen tai kyseisen kolmannen maan tietyn sektorin taikka kansainvälisen järjestön tarjoaman tietosuojan riittävyyttä, keskinäistä avunantoa koskevia muotoja ja menettelyjä sekä järjestelyjä valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten koskevien täytäntöönpanosäädösten hyväksymiseen olisi sovellettava tarkastelumenettelyä, koska nämä säädökset ovat yleisluonteisia.

(92)

Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun tämä on tarpeen asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät kolmanteen maahan tai kyseisen kolmannen maan alueeseen tai tiettyyn sektoriin tai kansainväliseen järjestöön, joka ei enää tarjoa riittävää tietosuojaa.

(93)

Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän direktiivin tavoitteita, joita ovat luonnollisten henkilöiden perusoikeuksien ja -vapauksien ja erityisesti henkilötietojen suojaa koskevan oikeuden suojeleminen sekä unionin toimivaltaisten viranomaisten välisen henkilötietojen vaihtamisen varmistaminen, vaan ne voidaan toiminnan laajuuden tai vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä direktiivissä ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi.

(94)

Direktiivi ei vaikuta erityisiin säännöksiin, jotka sisältyvät ennen direktiivin hyväksymispäivää annettuihin rikosoikeuden alalla tehtävää oikeudellista yhteistyötä ja poliisiyhteistyötä koskeviin unionin säädöksiin, joilla säännellään henkilötietojen käsittelyä jäsenvaltioiden kesken tai jäsenvaltioiden nimettyjen viranomaisten pääsyä perussopimusten mukaisesti perustettuihin järjestelmiin; näitä ovat esimerkiksi neuvoston päätöksen 2008/615/YOS (12) nojalla sovellettavat erityiset henkilötietojen suojaa koskevat säännökset tai keskinäisestä oikeusavusta rikosasioissa Euroopan unionin jäsenvaltioiden välillä tehdyn yleissopimuksen) (13) 23 artikla. Koska perusoikeuskirjan 8 artiklassa ja SEUT 16 artiklassa edellytetään, että perusoikeus henkilötietojen suojeluun olisi turvattava johdonmukaisesti ja yhtenäisesti koko unionissa, komission olisi arvioitava tämän direktiivin ja niiden ennen direktiivin hyväksymispäivää annettujen säädösten suhdetta, joilla säännellään henkilötietojen käsittelyä jäsenvaltioiden kesken tai jäsenvaltioiden nimettyjen viranomaisten pääsyä perussopimusten mukaisesti perustettuihin järjestelmiin, arvioidakseen, olisiko näitä erityisiä säännöksiä yhdenmukaistettava tämän direktiivin säännösten kanssa. Komission olisi tarvittaessa tehtävä ehdotuksia, jotta voidaan varmistaa, että henkilötietojen käsittelyä koskevat oikeudelliset säännöt ovat johdonmukaisia.

(95)

Henkilötietojen kattavan ja yhtenäisen suojelun varmistamiseksi unionissa jäsenvaltioiden ennen tämän direktiivin voimaantulopäivää tekemät kansainväliset sopimukset, jotka ovat ennen kyseistä päivää sovelletun asiaankuuluvan unionin oikeuden mukaisia, olisi pidettävä voimassa, kunnes ne muutetaan, korvataan tai kumotaan.

(96)

Jäsenvaltioille olisi annettava enintään kahden vuoden määräaika tämän direktiivin voimaantulosta sen saattamiseksi osaksi kansallista lainsäädäntöä. Kyseisenä päivänä jo suoritettavana olevat käsittelyt olisi saatettava tämän direktiivin mukaisiksi kahden vuoden kuluessa tämän direktiivin voimaantulosta. Jos kyseisissä käsittelyissä, joita jo suoritetaan ennen kyseistä päivää, kuitenkin noudatetaan sovellettavaa unionin oikeutta, niihin ei pitäisi soveltaa tämän direktiivin vaatimuksia valvontaviranomaisen ennakkokuulemisesta, koska nämä vaatimukset ovat luonteeltaan sellaisia, että ne on täytettävä ennen käsittelyä. Jos jäsenvaltiot soveltavat pidempää soveltamisaikaa, joka umpeutuu seitsemän vuoden kuluttua tämän direktiivin voimaantulopäivästä, täyttääkseen ennen tämän direktiivin voimaantuloa asetetut automatisoitujen käsittelyjärjestelmien lokitietoja koskevat velvoitteet, rekisterinpitäjällä tai henkilötietojen käsittelijällä olisi oltava käytössään tehokkaat menetelmät kuten lokitiedot tai muunmuotoinen seloste, jotta osoitetaan tietojenkäsittelyn laillisuus, mahdollistetaan omaehtoinen valvonta ja varmistetaan tietojen eheys ja tietoturva.

(97)

Tämä direktiivi ei rajoita Euroopan parlamentin ja neuvoston direktiivissä 2011/93/EU (14) vahvistettuja sääntöjä, jotka koskevat lasten seksuaalisen hyväksikäytön ja seksuaalisen riiston sekä lapsipornografian torjumista.

(98)

Puitepäätös 2008/977/YOS olisi näin ollen kumottava.

(99)

Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyn pöytäkirjan N:o 21 6 a artiklan mukaisesti Yhdistynyttä kuningaskuntaa ja Irlantia eivät sido tässä direktiivissä vahvistetut säännöt, jotka koskevat jäsenvaltioiden suorittamaa henkilötietojen käsittelyä näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, siinä tapauksessa, että Yhdistynyttä kuningaskuntaa ja Irlantia eivät sido rikosasioissa tehtävän oikeudellisen yhteistyön tai poliisiyhteistyön muotoa koskevat säännöt, jotka edellyttävät Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella vahvistettujen säännösten noudattamista.

(100)

Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Tanskan asemasta tehdyn pöytäkirjan N:o 22 2 ja 2 a artiklan mukaisesti tässä direktiivissä vahvistetut säännöt, jotka koskevat jäsenvaltioiden suorittamaa henkilötietojen käsittelyä näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, eivät sido Tanskaa eikä niitä sovelleta Tanskaan. Koska tällä direktiivillä kehitetään Schengenin säännöstöä Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston mukaisesti, Tanska päättää mainitun pöytäkirjan 4 artiklan mukaisesti kuuden kuukauden kuluessa siitä, kun tämä direktiivi on hyväksytty, saattaako se direktiivin osaksi kansallista lainsäädäntöään.

(101)

Islannin ja Norjan osalta tällä direktiivillä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin neuvoston sekä Islannin tasavallan ja Norjan kuningaskunnan välisessä sopimuksessa (15) kyseisten valtioiden osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen.

(102)

Sveitsin osalta tällä direktiivillä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton välisessä sopimuksessa Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen (16).

(103)

Liechtensteinin osalta tällä direktiivillä kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan välisessä pöytäkirjassa Liechtensteinin ruhtinaskunnan liittymisestä Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja kehittämiseen (17).

(104)

Tässä direktiivissä kunnioitetaan perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut periaatteet sellaisina kuin ne on vahvistettu Euroopan unionin toiminnasta tehdyssä sopimuksessa, erityisesti oikeus yksityis- ja perhe-elämän kunnioittamiseen, oikeus henkilötietojen suojaan sekä oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin. Näille oikeuksille asetetut rajoitukset ovat perusoikeuskirjan 52 artiklan 1 kohdan mukaisia, koska rajoitukset ovat välttämättömiä, jotta voidaan saavuttaa unionin tunnustamat yleisen edun mukaiset tavoitteet tai suojella muiden henkilöiden oikeuksia ja vapauksia.

(105)

Jäsenvaltiot ovat selittävistä asiakirjoista 28 päivänä syyskuuta 2011 annetun jäsenvaltioiden ja komission yhteisen poliittisen lausuman mukaisesti sitoutuneet perustelluissa tapauksissa liittämään kansallisia täytäntöönpanotoimenpiteitä koskevaan ilmoitukseensa yhden tai useamman asiakirjan, joista käy ilmi direktiivin osien ja kansallisen lainsäädännön osaksi saattamiseen tarkoitettujen säännösten vastaavien osien suhde. Tämän direktiivin osalta lainsäätäjä pitää tällaisten asiakirjojen toimittamista perusteltuna.

(106)

Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti, ja hän antoi lausunnon 7 päivänä maaliskuuta 2012 (18).

(107)

Tämä direktiivi ei saisi estää jäsenvaltioita panemasta kansallisissa rikosprosessisäännöissään täytäntöön rekisteröidyn oikeuksia, jotka koskevat rekisteröidylle ilmoittamista, pääsyä henkilötietoihin ja henkilötietojen oikaisemista, poistamista ja käsittelyn rajoittamista rikosoikeudellisten menettelyjen yhteydessä sekä näille oikeuksille mahdollisesti asetettuja rajoituksia,

ON HYVÄKSYNYT TÄMÄN DIREKTIIVIN:

I LUKU

Yleiset säännökset

1 artikla

Kohde ja tavoitteet

1.   Tässä direktiivissä vahvistetaan säännöt luonnollisten henkilöiden suojelulle toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

2.   Tämän direktiivin mukaisesti jäsenvaltioiden on

a)

suojeltava luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan; ja

b)

varmistettava, että jos unionin oikeudessa tai jäsenvaltion lainsäädännössä edellytetään toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa, tällaista vaihtoa ei rajoiteta eikä kielletä syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.

3.   Tämä direktiivi ei estä jäsenvaltioita säätämästä suojatoimista, jotka ylittävät tässä direktiivissä vahvistetut suojatoimet rekisteröidyn oikeuksia ja vapauksien suojelemiseksi toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä.

2 artikla

Soveltamisala

1.   Tätä direktiiviä sovelletaan toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn.

2.   Tätä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista, sekä sellaisten henkilötietojen muuhun kuin automatisoituun käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

3.   Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,

a)

jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan;

b)

jota suorittavat unionin toimielimet, elimet ja laitokset.

3 artikla

Määritelmät

Tässä direktiivissä tarkoitetaan

1)

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai välillisesti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

2)

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai muutoin, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

3)

’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;

4)

’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin;

5)

’pseudonymisoinnilla’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu;

6)

’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

7)

’toimivaltaisella viranomaisella’

a)

kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai

b)

kaikkia muita elimiä tai yksiköitä, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;

8)

’rekisterinpitäjällä’ toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin oikeudessa tai jäsenvaltion lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti;

9)

’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

10)

’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti;

11)

’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin;

12)

’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla;

13)

’biometrisillä tiedoilla’ luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa;

14)

’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa, mukaan lukien tiedot terveyspalvelujen tarjoamisesta;

15)

’valvontaviranomaisella’ jäsenvaltion 41 artiklan nojalla perustamaa riippumatonta viranomaista;

16)

’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

II LUKU

Periaatteet

4 artikla

Henkilötietojen käsittelyä koskevat periaatteet

1.   Jäsenvaltioiden on säädettävä siitä, että

a)

henkilötietoja käsitellään lainmukaisesti ja asianmukaisesti;

b)

henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla;

c)

henkilötiedot ovat asianmukaisia ja olennaisia eivätkä ne ole liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään;

d)

henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä;

e)

henkilötiedot säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten;

f)

henkilötietoja käsitellään tavalla, jolla varmistetaan henkilötietojen asianmukainen tietoturva muun muassa suojaamalla niitä luvattomalta ja laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisia teknisiä tai organisatorisia toimenpiteitä hyödyntäen.

2.   Saman tai toisen rekisterinpitäjän suorittama käsittely muuhun 1 artiklan 1 kohdassa säädettyyn tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, sallitaan sikäli kuin

a)

rekisterinpitäjällä on lupa käsitellä tällaisia henkilötietoja tällaista tarkoitusta varten unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti; ja

b)

käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhteista unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

3.   Saman tai toisen rekisterinpitäjän suorittamaan käsittelyyn voi kuulua käsittely yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista käsittelyä varten 1 artiklan 1 kohdassa säädettyihin tarkoituksiin edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet toteutetaan.

4.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1, 2 ja 3 kohtaa on noudatettu.

5 artikla

Säilyttämisen ja tarkistamisen määräajat

Jäsenvaltioiden on säädettävä siitä, että henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten vahvistetaan asianmukaiset määräajat. Määräaikojen noudattaminen on varmistettava menettelysäännöillä.

6 artikla

Eri ryhmiin kuuluvien rekisteröityjen erottaminen

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä erottaa tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten

a)

henkilöt, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen;

b)

rikoksesta tuomitut henkilöt;

c)

rikoksen uhrit tai henkilöt, joiden voidaan tiettyjen seikkojen pohjalta olettaa voivan joutua rikoksen uhriksi; ja

d)

rikokseen nähden kolmannet osapuolet, kuten henkilöt, jotka voidaan kutsua todistamaan rikokseen liittyvän tutkinnan yhteydessä tai sitä seuraavassa rikosoikeudellisessa menettelyssä, henkilöt, jotka voivat antaa tietoa rikoksesta, tai edellä a tai b alakohdassa tarkoitettujen henkilöiden kontaktit tai kumppanit.

7 artikla

Henkilötietojen erottelu ja henkilötietojen laadun varmentaminen

1.   Jäsenvaltioiden on säädettävä siitä, että tosiseikkoihin perustuvat henkilötiedot erotetaan mahdollisuuksien mukaan henkilökohtaisiin arvioihin perustuvista henkilötiedoista.

2.   Jäsenvaltioiden on säädettävä siitä, että toimivaltaiset viranomaiset toteuttavat kaikki kohtuulliset toimet varmistaakseen, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei siirretä eikä aseteta saataville. Tätä varten kunkin toimivaltaisen viranomaisen on varmennettava mahdollisuuksien mukaan henkilötietojen laatu ennen niiden siirtämistä tai saataville asettamista. Kaikkiin henkilötietojen siirtoihin on mahdollisuuksien mukaan lisättävä tarvittavat tiedot, joiden avulla vastaanottava toimivaltainen viranomainen voi arvioida henkilötietojen paikkansapitävyyttä, täydellisyyttä ja luotettavuutta sekä sitä, miltä osin ne ovat ajan tasalla.

3.   Jos ilmenee, että on siirretty virheellisiä henkilötietoja tai että henkilötietoja on siirretty lainvastaisesti, on asiasta ilmoitettava viipymättä vastaanottajalle. Tällaisessa tapauksessa henkilötiedot on oikaistava, poistettava tai niiden käsittelyä on rajoitettava 16 artiklan mukaisesti.

8 artikla

Käsittelyn lainmukaisuus

1.   Jäsenvaltioiden on säädettävä siitä, että käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi 1 artiklan 1 kohdan tarkoitusta varten ja se perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön.

2.   Jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset.

9 artikla

Käsittelyä koskevat erityiset edellytykset

1.   Toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyihin tarkoituksiin keräämiä henkilötietoja ei saa käsitellä muihin kuin 1 artiklan 1 kohdassa säädettyihin tarkoituksiin, ellei kyseistä käsittelyä sallita unionin oikeudessa tai jäsenvaltion lainsäädännössä. Jos henkilötietoja käsitellään mainittuihin muihin tarkoituksiin, sovelletaan asetusta (EU) 2016/679, jollei käsittelyä suoriteta sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

2.   Jos toimivaltaisille viranomaisille on jäsenvaltion lainsäädännön nojalla annettu muita tehtäviä kuin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten toteutettavia tehtäviä, asetusta (EU) 2016/679 sovelletaan tällaisia tarkoituksia varten tapahtuvaan tietojen käsittelyyn, mukaan lukien yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, paitsi jos tietojen käsittely suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

3.   Jäsenvaltioiden on säädettävä siitä, että jos tietoja siirtävään toimivaltaiseen viranomaiseen sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään käsittelyä koskevista erityisistä edellytyksistä, tietoja siirtävän toimivaltaisen viranomaisen on ilmoitettava tällaisten henkilötietojen vastaanottajalle kyseisistä edellytyksistä ja vaatimuksesta noudattaa niitä.

4.   Jäsenvaltioiden on säädettävä siitä, että tietoja siirtävä toimivaltainen viranomainen ei sovella muissa jäsenvaltioissa oleviin vastaanottajiin taikka Euroopan unionin toiminnasta tehdyn sopimuksen V osaston 4 ja 5 lukujen nojalla perustettuihin virastoihin, elimiin ja laitoksiin muita 3 kohdan mukaisia edellytyksiä kuin ne, joita sovelletaan samankaltaisiin tietojensiirtoihin tietoja siirtävän toimivaltaisen viranomaisen jäsenvaltiossa.

10 artikla

Erityisiä henkilötietoryhmiä koskeva käsittely

Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys, sekä geneettisien tietojen, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitettujen biometristen tietojen tai terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien tietojen käsittely sallitaan vain, jos se on ehdottoman välttämätöntä ja edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet on toteutettu ja vain

a)

jos käsittely sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä;

b)

rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi; tai

c)

jos käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.

11 artikla

Automatisoidut yksittäispäätökset

1.   Jäsenvaltioiden on säädettävä siitä, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen.

2.   Tämän artiklan 1 kohdassa tarkoitetut päätökset eivät saa perustua 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

3.   Unionin oikeuden mukaisesti on kiellettävä profilointi, joka johtaa 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään.

III LUKU

Rekisteröidyn oikeudet

12 artikla

Viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toteuttaa kohtuulliset toimet toimittaakseen rekisteröidylle 13 artiklan mukaiset tiedot ja kaikki 11, 14–18 ja 31 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava millä tahansa asianmukaisella tavalla, kuten sähköisesti. Rekisterinpitäjän on pääsääntöisesti toimitettava tiedot samassa muodossa kuin pyyntö.

2.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä helpottaa rekisteröidyn 11 ja 14–18 artiklan mukaisten oikeuksien käyttöä.

3.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle kirjallisesti tämän esittämän pyynnön käsittelystä ilman aiheetonta viivytystä.

4.   Jäsenvaltioiden on säädettävä siitä, että 13 artiklan nojalla toimitetut tiedot ja kaikki 11, 14–18 ja 31 artiklan nojalla tehdyt ilmoitukset tai mainittujen säännösten nojalla toteutetut toimet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi joko

a)

periä kohtuullisen maksun, jossa otetaan huomioon tietojen tai ilmoitusten toimittamisesta tai pyydetyn toimen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai

b)

kieltäytyä suorittamasta pyydettyä toimea.

Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

5.   Jos rekisterinpitäjällä on perusteltua syytä epäillä 14 ja 16 artiklassa tarkoitetun pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.

13 artikla

Rekisteröidyn saataville asetettavat tai hänelle annettavat tiedot

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä asettaa rekisteröidyn saataville ainakin seuraavat tiedot:

a)

rekisterinpitäjän henkilöllisyys ja yhteystiedot;

b)

tarvittaessa tietosuojavastaavan yhteystiedot;

c)

henkilötietojen käsittelyn tarkoitukset;

d)

tieto siitä, että rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, ja valvontaviranomaisen yhteystiedot;

e)

tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista.

2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi jäsenvaltioiden on säädettävä laissa, että rekisterinpitäjä antaa erityistapauksissa rekisteröidylle jäljempänä mainitut tiedot, jotta hänen olisi mahdollista käyttää oikeuksiaan:

a)

käsittelyn oikeusperuste;

b)

henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

c)

mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät, myös kolmansissa maissa tai kansainvälisissä järjestöissä;

d)

tarpeen mukaan lisätietoja varsinkin jos henkilötiedot kerätään rekisteröidyn tietämättä.

3.   Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla viivytetään, rajoitetaan tai jätetään kokonaan tekemättä 2 kohdan mukainen rekisteröidylle ilmoittaminen, siltä osin ja niin pitkäksi aikaa kuin tällainen toimenpide on välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:

a)

jotta vältetään virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

b)

jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

c)

yleisen turvallisuuden suojelemiseksi;

d)

kansallisen turvallisuuden suojelemiseksi;

e)

muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

4.   Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä niiden käsittelyn ryhmien määrittämiseksi, jotka voivat kuulua kokonaan tai osittain jonkin 3 kohdan alakohdan soveltamisalaan.

14 artikla

Rekisteröidyn oikeus saada pääsy henkilötietoihin

Jollei 15 artiklasta muuta johdu, jäsenvaltioiden on säädettävä rekisteröidyn oikeudesta saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

a)

käsittelyn tarkoitukset ja oikeusperuste;

b)

käsittelyn kohteena olevat henkilötietoryhmät;

c)

vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt;

d)

mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika, tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)

rekisteröidyn oikeus pyytää rekisterinpitäjää häntä itseään koskevien henkilötietojen oikaisemista, poistamista tai käsittelyn rajoittamista;

f)

rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle ja valvontaviranomaisen yhteystiedot;

g)

käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot.

15 artikla

Tietoihin pääsyn rajoittaminen

1.   Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla rajoitetaan kokonaan tai osittain rekisteröidyn oikeutta saada pääsy tietoihin siltä osin ja niin pitkäksi aikaa kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:

a)

jotta vältetään virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

b)

jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

c)

yleisen turvallisuuden suojelemiseksi;

d)

kansallisen turvallisuuden suojelemiseksi;

e)

muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

2.   Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä niiden käsittelyn ryhmien määrittämiseksi, jotka voivat kuulua kokonaan tai osittain 1 kohdan a–e alakohdan soveltamisalaan.

3.   Edellä 1 ja 2 kohdassa tarkoitetuissa tapauksissa jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa ilman aiheetonta viivytystä rekisteröidylle kirjallisesti, jos tietoihin pääsy evätään tai sitä rajoitetaan, sekä tällaisen epäämisen tai rajoittamisen perustelut. Tällaiset tiedot voidaan jättää pois, jos niiden ilmoittaminen vaarantaisi 1 kohdan mukaisen tarkoituksen. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja.

4.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä dokumentoi ne seikat tai oikeudelliset syyt, joihin päätös perustuu. Näiden tietojen on oltava pyynnöstä valvontaviranomaisten saatavilla.

16 artikla

Oikeus henkilötietojen oikaisemiseen tai poistamiseen sekä käsittelyn rajoittamiseen

1.   Jäsenvaltioiden on säädettävä siitä, että rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan ilman aiheetonta viivytystä rekisteröityä koskevat virheelliset henkilötiedot. Käsittelyn tarkoitukset huomioon ottaen jäsenvaltioiden on säädettävä siitä, että rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

2.   Jäsenvaltioiden on vaadittava, että rekisterinpitäjä poistaa henkilötiedot ilman aiheetonta viivytystä ja säädettävä rekisteröidyn oikeudesta saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, jos tietojen käsittely rikkoo 4, 8 tai 10 artiklan nojalla annettuja säännöksiä tai jos henkilötiedot on poistettava rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.

3.   Poistamisen sijasta rekisterinpitäjän on rajoitettava käsittelyä, jos

a)

rekisteröity kiistää tietojen paikkansapitävyyden eikä tietojen paikkansapitävyyttä tai virheellisyyttä voida todentaa; tai

b)

henkilötiedot on säilytettävä todistelua varten;

Jos käsittelyä on rajoitettu ensimmäisen alakohdan a alakohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kuin käsittelyä koskeva rajoitus poistetaan.

4.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle kirjallisesti, jos henkilötietojen oikaisemisesta, poistamisesta tai käsittelyn rajoittamisesta kieltäydytään, sekä kieltäytymisen syistä. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla rajoitetaan kokonaan tai osittain velvoitetta antaa tällaisia tietoja siltä osin kuin tällainen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:

a)

jotta vältetään virallisten tai laillisten tiedustelujen, tutkimusten tai menettelyjen estäminen;

b)

jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

c)

yleisen turvallisuuden suojelemiseksi;

d)

kansallisen turvallisuuden suojelemiseksi;

e)

muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle mahdollisuuksista tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja.

5.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa virheellisten henkilötietojen oikaisemisesta toimivaltaiselle viranomaiselle, jolta virheelliset henkilötiedot ovat peräisin.

6.   Jäsenvaltioiden on säädettävä siitä, että tapauksissa, joissa henkilötietoja on oikaistu tai poistettu taikka käsittelyä on rajoitettu 1, 2 ja 3 kohdan nojalla, rekisterinpitäjä ilmoittaa asiasta vastaanottajille ja että vastaanottajat oikaisevat tai poistavat henkilötietoja taikka rajoittavat henkilötietojen käsittelyä vastuullaan.

17 artikla

Rekisteröidyn oikeuksien käyttäminen ja valvontaviranomaisen tekemät tarkistukset

1.   Jäsenvaltioiden on 13 artiklan 3 kohdassa, 15 artiklan 3 kohdassa ja 16 artiklan 4 kohdassa tarkoitetuissa tapauksissa toteutettava toimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksia voidaan käyttää myös toimivaltaisen valvontaviranomaisen välityksellä.

2.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle mahdollisuudesta käyttää hänelle kuuluvia oikeuksia valvontaviranomaisen välityksellä 1 kohdan mukaisesti.

3.   Jos 1 kohdassa tarkoitettua oikeutta käytetään, valvontaviranomaisen on ilmoitettava rekisteröidylle ainakin siitä, että valvontaviranomainen on tehnyt kaikki tarvittavat tarkistukset tai toteuttanut uudelleentarkastelun. Valvontaviranomaisen on myös tiedotettava rekisteröidylle hänen oikeudestaan käyttää oikeussuojakeinoja.

18 artikla

Rekisteröidyn oikeudet rikostutkinnassa ja rikosoikeudellisissa menettelyissä

Jäsenvaltiot voivat säätää siitä, että 13, 14 ja 16 artiklassa tarkoitettuja oikeuksia käytetään jäsenvaltion lainsäädännön mukaisesti, jos henkilötiedot sisältyvät rikostutkinnan ja rikosoikeudellisen menettelyn yhteydessä käsiteltyyn tuomioistuimen päätökseen, asiakirjaan tai tapausaineistoon.

IV LUKU

Rekisterinpitäjä ja henkilötietojen käsittelijä

1 jakso

Yleiset velvollisuudet

19 artikla

Rekisterinpitäjän velvollisuudet

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä, ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että käsittely tapahtuu tämän direktiivin mukaisesti. Näitä toimenpiteitä on tarvittaessa tarkistettava ja ajantasaistettava.

2.   Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä toteuttaa asianmukaisia tietosuojaa koskevia menettelyjä.

20 artikla

Sisäänrakennettu ja oletusarvoinen tietosuoja

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä, ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisen henkilön oikeuksille ja vapauksille, toteuttaa tehokkaasti käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisoinnin, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näillä toimenpiteillä on etenkin varmistettava, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman luonnollisten henkilöiden määrän saataville ilman henkilön myötävaikutusta.

21 artikla

Yhteiset rekisterinpitäjät

1.   Jäsenvaltioiden on säädettävä siitä, että jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisiä rekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin tämän direktiivin mukaisen vastuualueen, erityisesti rekisteröityjen oikeuksien käytön ja 13 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritetään rekisterinpitäjien vastuualueet. Järjestelyn puitteissa on nimettävä rekisteröidyille tarkoitettu yhteyspiste. Jäsenvaltiot voivat nimetä jonkin yhteisistä rekisterinpitäjistä toimimaan yhtenä yhteyspisteenä rekisteröidyille kysymyksissä, jotka koskevat heille kuuluvien oikeuksien käyttöä.

2.   Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista jäsenvaltiot voivat säätää, että rekisteröity voi käyttää tämän direktiivin nojalla annettujen säännösten mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

22 artikla

Henkilötietojen käsittelijä

1.   Jäsenvaltioiden on säädettävä, että jos käsittely suoritetaan rekisterinpitäjän lukuun, tämä käyttää vain sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet toteutetaan siten, että käsittely täyttää tämän direktiivin vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun.

2.   Jäsenvaltioiden on säädettävä siitä, että henkilötietojen käsittelijä ei käytä toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista lupaa. Yleisen luvan tapauksessa henkilötietojen käsittelijän on aina ilmoitettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3.   Jäsenvaltioiden on säädettävä siitä, että henkilötietojen käsittelijän suorittamaa käsittelyä säännellään sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeustoimella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään, ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Mainitussa sopimuksessa tai muussa oikeustoimessa ja on erityisesti määrättävä, että henkilötietojen käsittelijä

a)

toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti;

b)

varmistaa, että henkilötietojen käsittelyluvan saaneet henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus;

c)

avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan;

d)

rekisterinpitäjän valinnan mukaan poistaa taikka palauttaa tietojenkäsittelypalveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

e)

saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tämän artiklan noudattamisen osoittamiseksi;

f)

täyttää 2 ja 3 kohdassa tarkoitetut toisen käsittelijän käyttöä koskevat edellytykset.

4.   Edellä 3 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mikä viittaa myös sähköiseen muotoon.

5.   Jos henkilötietojen käsittelijä määrittelee tämän direktiivin vastaisesti käsittelyn tarkoitukset ja keinot, käsittelijä katsotaan rekisterinpitäjäksi kyseisen käsittelyn osalta.

23 artikla

Tietojenkäsittely rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa

Jäsenvaltioiden on säädettävä siitä, ettei henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, käsittele kyseisiä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti, jollei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.

24 artikla

Seloste käsittelytoimista

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän on ylläpidettävä selostetta kaikista sen vastuulle kuuluvista käsittelytoimien ryhmistä. Seloste käsittää kaikki seuraavat tiedot:

a)

rekisterinpitäjän ja tarvittaessa yhteisen rekisterinpitäjän ja tietosuojavastaavan nimi ja yhteystiedot;

b)

käsittelyn tarkoitukset;

c)

henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

d)

kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;

e)

tarvittaessa profiloinnin käyttö;

f)

tarvittaessa kolmanteen maahan tai kansainväliselle järjestölle suoritettujen henkilötietojen siirtojen ryhmät;

g)

maininta suunniteltujen henkilötietojen käsittelytoimien, kuten siirtojen, oikeusperusteesta;

h)

mahdollisuuksien mukaan eri henkilötietoryhmien poistamisen suunnitellut määräajat;

i)

mahdollisuuksien mukaan yleinen kuvaus 29 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

2.   Jäsenvaltioiden on säädettävä siitä, että henkilötietojen käsittelijä ylläpitää selostetta kaikista rekisterinpitäjien lukuun suoritettavista henkilötietojen käsittelytoimien ryhmistä siten, että seloste käsittää seuraavat tiedot:

a)

henkilötietojen käsittelijän tai useamman käsittelijän ja kunkin rekisterinpitäjän, jonka lukuun käsittelijä toimii, sekä tietosuojavastaavan nimi ja yhteystiedot;

b)

kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;

c)

jos rekisterinpitäjä on nimenomaisesti niin ohjeistanut, mahdolliset tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä;

d)

mahdollisuuksien mukaan yleinen kuvaus 29 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

3.   Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mikä viittaa myös sähköiseen muotoon.

Rekisterinpitäjän ja henkilötietojen käsittelijän on pyydettäessä esitettävä saatavilla olevat selosteet valvontaviranomaiselle.

25 artikla

Lokitiedot

1.   Jäsenvaltioiden on säädettävä siitä, että ainakin seuraavista automatisoiduissa käsittelyjärjestelmissä suoritettavista käsittelytoimista on säilytettävä lokitiedot: tietojen kerääminen, muuttaminen, kysely, luovuttaminen siirrot mukaan lukien, yhdistäminen ja poistaminen. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä toteamaan kyseisten toimien perusteet, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys.

2.   Lokitietoja on käytettävä ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin.

3.   Rekisterinpitäjän ja henkilötietojen käsittelijän on pyynnöstä asetettava lokitiedot valvontaviranomaisen saataville.

26 artikla

Yhteistyö valvontaviranomaisen kanssa

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ja henkilötietojen käsittelijä pyynnöstä tekevät yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi.

27 artikla

Tietosuojaa koskeva vaikutustenarviointi

1.   Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toteuttaa ennen käsittelyä arvioinnin suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojaan.

2.   Edellä 1 kohdassa tarkoitetussa arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä, toimet, joiden avulla riskeihin on tarkoitus puuttua, sekä suojatoimet, turvatoimet ja -mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä direktiiviä on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

28 artikla

Valvontaviranomaisen ennakkokuuleminen

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä tai henkilötietojen käsittelijä kuulee valvontaviranomaista ennen henkilötietojen käsittelyä, joka muodostaa osan uutta, tekeillä olevaa rekisteriä, jos

a)

27 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaa korkean riskin, ellei rekisterinpitäjä toteuta toimenpiteitä riskin lieventämiseksi; tai

b)

tietojen käsittely on sen luonteista, että siihen sisältyy muutoin, erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käytön johdosta, rekisteröityjen oikeuksien ja vapauksien kannalta korkea riski.

2.   Jäsenvaltioiden on säädettävä siitä, että valvontaviranomaista kuullaan valmisteltaessa kansallisen parlamentin hyväksyntää varten ehdotusta lainsäädäntötoimenpiteeksi tai tällaiseen lainsäädäntötoimenpiteeseen perustuvaa sääntelytoimenpidettä, joka liittyy käsittelyyn.

3.   Jäsenvaltioiden on säädettävä siitä, että valvontaviranomainen voi laatia luettelon käsittelytoimista, joihin sovelletaan 1 kohdassa tarkoitettua ennakkokuulemista.

4.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toimittaa valvontaviranomaiselle 27 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin ja pyynnöstä mahdolliset muut tiedot, joiden avulla valvontaviranomainen voi arvioida käsittelyn vaatimustenmukaisuutta ja erityisesti riskejä rekisteröidyn henkilötietojen suojan kannalta ja tähän liittyviä suojatoimia.

5.   Jäsenvaltioiden on säädettävä siitä, että jos valvontaviranomainen katsoo, että suunniteltu tämän artiklan 1 kohdassa tarkoitettu käsittely rikkoisi tämän direktiivin nojalla annettuja säännöksiä, erityisesti jos rekisterinpitäjä ei ole yksilöinyt tai lieventänyt riittävästi riskiä, valvontaviranomainen antaa enintään kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta kirjallisesti ohjeet rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle, ja se voi käyttää 47 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle mahdollisesta jatketusta määräajasta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta.

2 jakso

Henkilötietojen turvallisuus

29 artikla

Käsittelyn turvallisuus

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ja henkilötietojen käsittelijä, ottaen huomioon uusimman tekniikan ja toteuttamiskustannusten, käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvan todennäköisyydeltään ja vakavuudeltaan vaihtelevan riskin, toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskiä vastaavan turvallisuustason varsinkin 10 artiklassa tarkoitettujen erityisten henkilötietoryhmien osalta.

2.   Kunkin jäsenvaltion on säädettävä siitä, että automatisoidun käsittelyn osalta rekisterinpitäjä tai henkilötietojen käsittelijä toteuttavat riskinarvioinnin pohjalta toimenpiteet, joiden tarkoituksena on

a)

evätä asiattomilta pääsy käsittelyyn käytettäviin laitteisiin (”laitteillepääsyn valvonta”);

b)

estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen tai poistaminen (”tietovälineiden valvonta”);

c)

estää henkilötietojen luvaton syöttäminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen tai poistaminen (”tallentamisen valvonta”);

d)

estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla (”käyttäjien valvonta”);

e)

varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan valtuutuksensa piiriin kuuluviin henkilötietoihin (”pääsyn valvonta”);

f)

varmistaa, että on mahdollista tarkistaa ja todeta, mille tahoille henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tiedonsiirtolaitteiden avulla (”tiedonvälityksen valvonta”);

g)

varmistaa, että on mahdollista tarkistaa ja todeta jälkikäteen, mitä henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka henkilötietoja on syöttänyt (”tietojen syöttämisen valvonta”);

h)

estää henkilötietojen asiaton lukeminen, jäljentäminen, muuttaminen tai poistaminen niitä siirrettäessä tai tietovälineitä kuljetettaessa (”siirron valvonta”);

i)

varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen (”toimintakunnon palauttaminen”);

j)

varmistaa, että järjestelmä toimii, että havaituista toimintojen virheistä ilmoitetaan (”luotettavuus”) ja että järjestelmän toimintahäiriö ei voi vahingoittaa tallennettuja henkilötietoja (”eheys”).

30 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1.   Jäsenvaltioiden on säädettävä siitä, että henkilötietojen tietoturvaloukkauksen tapauksessa rekisterinpitäjä ilmoittaa siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta, paitsi jos tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta valvontaviranomaiselle 72 tunnin kuluessa, ilmoitukseen on liitettävä viivytyksen syyt.

2.   Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3.   Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)

kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)

ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)

kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)

kuvattava toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi.

4.   Jos ja siltä osin kuin ei ole mahdollista toimittaa tietoja samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

5.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä dokumentoi kaikki 1 kohdassa tarkoitetut henkilötietojen tietoturvaloukkaukset, sisältäen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

6.   Jäsenvaltioiden on säädettävä siitä, että jos tietoturvaloukkaukseen sisältyy toisen jäsenvaltion rekisterinpitäjän toimittamia tai tälle toimitettuja henkilötietoja, 3 kohdassa tarkoitetut tiedot on toimitettava ilman aiheetonta viivytystä tämän jäsenvaltion rekisterinpitäjälle.

31 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1.   Jäsenvaltioiden on säädettävä siitä, että jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjä on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2.   Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 30 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3.   Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

a)

rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b)

rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksien ja vapauksien kannalta korkea riski ei enää todennäköisesti toteudu;

c)

se vaatisi kohtuutonta vaivaa. Tällöin on rekisteröidylle tarkoitetun ilmoituksen sijaan käytettävä julkista ilmoitusta tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

4.   Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkausta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti tietoturvaloukkaus aiheuttaa korkean riskin.

5.   Tämän artiklan 1 kohdassa tarkoitettua rekisteröidylle ilmoittamista voidaan viivästyttää tai rajoittaa tai se voidaan jättää tekemättä 13 artiklan 3 kohdan mukaisilla edellytyksillä ja perusteilla.

3 jakso

Tietosuojavastaava

32 artikla

Tietosuojavastaavan nimittäminen

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä nimittää tietosuojavastaavan. Jäsenvaltiot voivat vapauttaa tuomioistuimet ja muut riippumattomat oikeusviranomaiset tästä velvoitteesta näiden hoitaessa lainkäyttötehtäviään.

2.   Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojaoikeudesta ja alan käytännöstä sekä valmiudet suorittaa 34 artiklassa tarkoitetut tehtävät.

3.   Yksi ainoa tietosuojavastaava voidaan nimittää useaa toimivaltaista viranomaista varten niiden organisaatiorakenne ja koko huomioon ottaen.

4.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä julkistaa tietosuojavastaavan yhteystiedot ja ilmoittaa ne valvontaviranomaiselle.

33 artikla

Tietosuojavastaavan asema

1.   Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä huolehtii tietosuojavastaavan ottamisesta asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2.   Rekisterinpitäjän on tuettava tietosuojavastaavaa tämän 34 artiklassa tarkoitettujen tehtävien hoitamisessa antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien hoitamisessa, ja pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämisessä.

34 artikla

Tietosuojavastaavan tehtävät

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä osoittaa tietosuojavastaavalle ainakin seuraavat tehtävät:

a)

antaa rekisterinpitäjälle ja henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän direktiivin ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia;

b)

valvoa, että noudatetaan tätä direktiiviä, muita unionin tai jäsenvaltioiden tietosuojasäännöksiä ja rekisterinpitäjän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tietoisuuden lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

c)

antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 27 artiklan mukaisesti;

d)

tehdä yhteistyötä valvontaviranomaisen kanssa;

e)

toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 28 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.

V LUKU

Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

35 artikla

Henkilötietojen siirtoja koskevat yleiset periaatteet

1.   Jäsenvaltioiden on säädettävä siitä, että kaikki toimivaltaisen viranomaisen suorittamat sellaisten henkilötietojen siirrot, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen – mukaan luettuna siirrot edelleen toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle – toteutetaan ainoastaan tämän direktiivin muiden säännösten nojalla annettuja säännöksiä noudattaen ja ainoastaan jos täytetään tässä luvussa vahvistetut edellytykset, eli

a)

siirto on tarpeen 1 artiklan 1 kohdassa vahvistettuja tarkoituksia varten;

b)

henkilötiedot siirretään kolmanteen maahan tai kansainväliseen järjestöön rekisterinpitäjälle, joka on viranomaisena 1 artiklan 1 kohdan mukaisten tarkoitusten suhteen toimivaltainen;

c)

jos henkilötietoja siirretään tai asetetaan saataville toisesta jäsenvaltiosta, kyseinen jäsenvaltio on antanut siirrolle ennakkolupansa kansallisen lainsäädäntönsä mukaisesti;

d)

komissio on hyväksynyt tietosuojan riittävyyttä koskevan päätöksen 36 artiklan mukaisesti tai, jos tällaista päätöstä ei ole tehty, asianmukaisista suojatoimista on säädetty tai ne ovat olemassa 37 artiklan mukaisesti, tai, 36 artiklan mukaisen päätöksen ja 37 artiklan mukaisten asianmukaisten suojatoimien puuttuessa, sovelletaan 38 artiklan mukaisia erityistilanteita koskevia poikkeuksia; ja

e)

jos henkilötiedot siirretään edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, alkuperäisen siirron toteuttanut toimivaltainen viranomainen tai kyseisen jäsenvaltion muu toimivaltainen viranomainen antaa luvan edelleen siirtämiselle otettuaan asianmukaisesti huomioon kaikki merkittävät tekijät, kuten rikoksen vakavuuden, henkilötietojen alkuperäisen siirron tarkoituksen ja henkilötietojen suojan tason siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle tiedot siirretään edelleen.

2.   Jäsenvaltioiden on säädettävä siitä, että siirrot, jotka tehdään ilman toisen jäsenvaltion antamaa 1 kohdan c alakohdan mukaista ennakkolupaa, sallitaan ainoastaan, jos henkilötietojen siirto on tarpeen jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen tai jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi, eikä ennakkolupaa voida saada ajoissa. Ennakkoluvan antamisesta vastaavalle viranomaiselle on ilmoitettava asiasta viipymättä.

3.   Tämän luvun kaikkia säännöksiä on sovellettava, jotta varmistetaan, ettei tällä direktiivillä taattua luonnollisten henkilöiden suojelun tasoa heikennetä.

36 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

1.   Jäsenvaltioiden on säädettävä siitä, että henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa, kolmannen maan alue tai vähintään yksi erityinen sektori tai kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

2.   Arvioidessaan suojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:

a)

oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat tehokkaat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;

b)

se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, mukaan lukien riittävät täytäntöönpanovaltuudet, tarjota rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tehdä yhteistyötä EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; sekä

c)

kyseisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai välineistä sekä monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.

3.   Komissio voi suojan riittävyyttä arvioituaan täytäntöönpanosäädöksellä päättää, että kolmas maa, kolmannen maan alue tai yksi tai useampi erityinen sektori, tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen ja alakohtainen soveltamisala ja nimetään mahdollinen tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen. Täytäntöönpanosäädös hyväksytään 58 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4.   Komissio seuraa jatkuvasti kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa 3 kohdan nojalla hyväksyttyjen päätösten toimivuuteen.

5.   Jos saatavilla olevista tiedoista käy ilmi varsinkin tämän artiklan 3 kohdassa tarkoitetun arvioinnin jälkeen, että kolmas maa tai kolmannen maan alue tai tietty sektori tai kansainvälinen järjestö ei tarjoa enää tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, komissio täytäntöönpanosäädöksellä tarpeen mukaan kumoaa tämän artiklan 3 kohdassa tarkoitetun päätöksen, muuttaa sitä tai keskeyttää sen soveltamisen ilman takautuvaa vaikutusta. Täytäntöönpanosäädös hyväksytään 58 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Komissio hyväksyy 58 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa.

6.   Komissio aloittaa neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa korjatakseen tilanteen, jonka johdosta 5 kohdan mukainen päätös annettiin.

7.   Jäsenvaltioiden on säädettävä siitä, että 5 kohdan nojalla annettu päätös ei rajoita 37 ja 38 artiklan nojalla tehtäviä henkilötietojen siirtoja kolmanteen maahan tai kyseisen kolmannen maan alueelle tai yhdelle tai useammalle määrätylle sektorille tai kyseiselle kansainväliselle järjestölle.

8.   Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietyistä sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei enää ole riittävä.

37 artikla

Asianmukaisia suojatoimia edellyttävä siirto

1.   Jollei 36 artiklan 3 kohdan mukaista päätöstä ole tehty, jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle, jos

a)

oikeudellisesti sitovalla välineessä on määrätty asianmukaiset suojatoimet, joilla varmistetaan henkilötietojen suoja; tai

b)

rekisterinpitäjä on arvioinut kaikkia henkilötietojen siirtoon liittyviä seikkoja ja katsoo, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet.

2.   Rekisterinpitäjän on ilmoitettava valvontaviranomaiselle 1 kohdan b alakohdassa tarkoitettujen siirtojen sarjat.

3.   Kun siirto perustuu 1 kohdan b alakohtaan, se on dokumentoitava ja asiakirjat on asetettava valvontaviranomaisen saataville pyynnöstä, mukaan lukien siirron päivämäärä ja ajankohta, vastaanottavan toimivaltaisen viranomaisen tiedot, siirron perusteet ja siirretyt henkilötiedot.

38 artikla

Erityistilanteita koskevat poikkeukset

1.   Edellä olevan 36 artiklan mukaisen tietosuojan tason riittävyyttä koskevan päätöksen tai 37 artiklan mukaisten asianmukaisten suojatoimien puuttuessa jäsenvaltioiden on säädettävä siitä, että henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain sillä edellytyksellä, että siirto on tarpeen

a)

rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi;

b)

rekisteröidyn oikeutettujen etujen turvaamiseksi, jos henkilötietoja siirtävän jäsenvaltion lainsäädännössä niin säädetään;

c)

jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan ehkäisemiseksi;

d)

yksittäistapauksissa 1 artiklan 1 kohdassa vahvistettuja tarkoituksia varten; tai

e)

yksittäistapauksessa 1 artiklan 1 kohdassa vahvistettuihin tarkoituksiin liittyvien oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi.

2.   Henkilötietoja ei saa siirtää, jos siirron toteuttava toimivaltainen viranomainen katsoo, että asianomaisen rekisteröidyn perusoikeudet ja -vapaudet syrjäyttävät yleisen edun 1 kohdan d ja e alakohdassa tarkoitetussa siirrossa.

3.   Jos siirto perustuu 1 kohtaan, se on dokumentoitava ja asiakirjat on asetettava valvontaviranomaisen saataville pyynnöstä, mukaan lukien siirron päivämäärä ja ajankohta, vastaanottavan toimivaltaisen viranomaisen tiedot, siirron perustelu ja siirretyt henkilötiedot.

39 artikla

Henkilötietojen siirrot kolmansiin maihin sijoittautuneille vastaanottajille

1.   Poiketen siitä, mitä 35 artiklan 1 kohdan b alakohdassa säädetään ja tämän artiklan 2 kohdassa tarkoitettujen kansainvälisten sopimusten soveltamista rajoittamatta, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan säätää, että 3 artiklan 7 kohdan a alakohdassa tarkoitetut toimivaltaiset viranomaiset voivat yksittäis- ja erityistapauksissa siirtää henkilötietoja suoraan kolmansiin maihin sijoittautuneille vastaanottajille vain, jos tämän direktiivin muita säännöksiä noudatetaan ja kaikki seuraavat edellytykset täyttyvät:

a)

siirto on ehdottoman välttämätön, jotta siirron toteuttava toimivaltainen viranomainen voi suorittaa unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetyt tehtävänsä 1 artiklan 1 kohdassa vahvistettuja tarkoituksia varten;

b)

siirron toteuttava toimivaltainen viranomainen katsoo, että asianomaisen rekisteröidyn perusoikeudet ja -vapaudet eivät syrjäytä yleistä etua, jonka perusteella siirto käsiteltävänä olevassa tapauksessa on tarpeen;

c)

siirron toteuttava toimivaltainen viranomainen katsoo, että kolmannen maan viranomaiselle, joka on toimivaltainen 1 artiklan 1 kohdan mukaisissa tarkoituksissa, tapahtuva siirto on tehoton tai epätarkoituksenmukainen erityisesti siitä syystä, että siirtoa ei voida tehdä hyvissä ajoin;

d)

kolmannen maan viranomaiselle, joka on toimivaltainen 1 artiklan 1 kohdan mukaisissa tarkoituksissa, ilmoitetaan siirrosta ilman aiheetonta viivästystä, ellei tämä ole tehotonta tai epätarkoituksenmukaista;

e)

siirron toteuttava toimivaltainen viranomainen ilmoittaa vastaanottajalle, mitä tiettyä tarkoitusta tai tiettyjä tarkoituksia varten tämä saa ainoastaan käsitellä henkilötietoja sillä edellytyksellä, että tällainen käsittely on tarpeellista.

2.   Edellä 1 kohdassa tarkoitettu kansainvälinen sopimus on mikä tahansa jäsenvaltioiden ja kolmansien maiden välillä voimassa oleva kahden- tai monenvälinen kansainvälinen sopimus rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön alalla.

3.   Siirron toteuttavan toimivaltaisen viranomaisen on ilmoitettava valvontaviranomaiselle tämän artiklan nojalla tehtävät siirrot.

4.   Jos siirto perustuu 1 kohtaan, se on dokumentoitava.

40 artikla

Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

Komission ja jäsenvaltioiden on toteutettava kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

a)

kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaamista koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

b)

tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi tiedonannolla, lähettämällä valituksia käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

c)

saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)

edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytännön vaihtoa sekä dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

VI LUKU

Riippumattomat valvontaviranomaiset

1 jakso

Riippumaton asema

41 artikla

Valvontaviranomainen

1.   Jäsenvaltioiden on säädettävä siitä, että vähintään yksi riippumaton viranomainen vastaa tämän direktiivin soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan kulun edistämiseksi unionissa, jäljempänä ’valvontaviranomainen’.

2.   Jokaisen valvontaviranomaisen on myötävaikutettava tämän direktiivin yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.

3.   Jäsenvaltiot voivat säätää, että asetuksen (EU) 2016/679 mukaisesti perustettu valvontaviranomainen voi olla tässä direktiivissä tarkoitettu valvontaviranomainen ja ottaa hoitaakseen tämän artiklan 1 kohdan mukaisesti perustettavan valvontaviranomaisen tehtävät.

4.   Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, jäsenvaltion on nimettävä valvontaviranomainen, joka edustaa näitä viranomaisia 51 artiklassa tarkoitetussa tietosuojaneuvostossa.

42 artikla

Riippumattomuus

1.   Kunkin jäsenvaltion on säädettävä siitä, että jokainen valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään sille tämän direktiivin mukaisesti annettuja valtuuksia.

2.   Jäsenvaltioiden on säädettävä siitä, että niiden valvontaviranomaisen jäseneen tai jäseniin ei vaikuteta ulkopuolelta suoraan eikä välillisesti näiden hoitaessa tehtäviään ja käyttäessä valtuuksiaan tämän direktiivin mukaisesti, ja että ne eivät pyydä eivätkä ota ohjeita miltään taholta.

3.   Jäsenvaltioiden valvontaviranomaisen jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

4.   Kunkin jäsenvaltion on säädettävä siitä, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen, jotta valvontaviranomainen voi suorittaa tehtävänsä ja käyttää valtuuksiaan tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.

5.   Kunkin jäsenvaltion on säädettävä siitä, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii kyseisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.

6.   Kunkin jäsenvaltion on säädettävä siitä, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen, ja että sillä on erillinen ja julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

43 artikla

Valvontaviranomaisen jäseniä koskevat yleiset edellytykset

1.   Jäsenvaltioiden on säädettävä siitä, että niiden valvontaviranomaisten jokaisen jäsenen nimittää läpinäkyvää menettelyä noudattaen asianomaisen jäsenvaltion

parlamentti;

hallitus;

valtionpäämies; tai

riippumaton elin, jolle nimittäminen on uskottu jäsenvaltion lainsäädännössä.

2.   Jokaisella jäsenellä on oltava tehtävien hoitamisessa ja valtuuksien käyttämisessä tarvittava pätevyys, kokemus ja ammattitaito erityisesti henkilötietojen suojaamisen alalla.

3.   Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hänet erotetaan asianomaisen jäsenvaltion lainsäädännön mukaisesti.

4.   Jäsen voidaan erottaa ainoastaan vakavan väärinkäytöksen perusteella tai jos hän ei enää täytä velvollisuuksien suorittamisessa vaadittuja edellytyksiä.

44 artikla

Valvontaviranomaisen perustamista koskevat säännöt

1.   Kunkin jäsenvaltion on laissa säädettävä kaikesta seuraavasta:

a)

kunkin valvontaviranomaisen perustamisesta;

b)

pätevyydestä ja kelpoisuusehdoista, joita kunkin valvontaviranomaisen jäseneksi nimitettäviltä edellytetään;

c)

kunkin valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä;

d)

kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä 6 päivän toukokuuta 2016 jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla;

e)

siitä, voidaanko kunkin valvontaviranomaisen jäsen tai jäsenet nimittää uudelleen ja, jos näin on, kuinka moneksi toimikaudeksi;

f)

kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä, yhteensopimatonta toimintaa ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen ja tehtävien päättymistä koskevista säännöistä.

2.   Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän direktiivin rikkomisista.

2 jakso

Toimivalta, tehtävät ja valtuudet

45 artikla

Valtuudet

1.   Kunkin jäsenvaltion on säädettävä siitä, että jokaisella valvontaviranomaisilla on niille tämän direktiivin mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.

2.   Kunkin jäsenvaltion on säädettävä siitä, että valvontaviranomaisella ei ole toimivaltaa valvoa sellaisia käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä. Kukin jäsenvaltio voi säätää siitä, että valvontaviranomaisella ei ole toimivaltaa valvoa käsittelytoimia, joita muut riippumattomat oikeusviranomaiset suorittavat lainkäyttötehtäviensä yhteydessä.

46 artikla

Tehtävät

1.   Kunkin jäsenvaltion on säädettävä siitä alueellaan siitä, että kukin valvontaviranomainen

a)

valvoo tämän direktiivin ja sen täytäntöönpanotoimenpiteiden nojalla annettujen säännösten soveltamista ja panee ne täytäntöön;

b)

edistää yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista;

c)

antaa jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvontaa luonnollisten henkilöiden oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d)

edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tekemistä tietoisiksi niille tämän direktiivin mukaan kuuluvista velvollisuuksista;

e)

antaa pyynnöstä rekisteröidyille tietoja heille tämän direktiivin mukaan kuuluvien oikeuksien käytöstä ja tekee tarvittaessa yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

f)

käsittelee rekisteröidyn tai 55 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkii valituksen tarpeellisin osin ja ilmoittaa valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g)

tarkistaa 17 artiklan mukaisesti käsittelyn lainmukaisuuden ja ilmoittaa rekisteröidylle kohtuullisen ajan kuluessa kyseisen artiklan 3 kohdan mukaisesti tarkistuksen tuloksesta tai siitä, miksi tarkistusta ei ole suoritettu;

h)

tekee yhteistyötä muun muassa jakamalla tietoa ja tarjoaa keskinäistä apua muille valvontaviranomaisille, jotta voidaan varmistaa, että tätä direktiiviä sovelletaan ja se pannaan täytäntöön johdonmukaisesti;

i)

suorittaa tutkimuksia tämän direktiivin soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

j)

seuraa henkilötietojen suojaan vaikuttavaa kehitystä, erityisesti tieto- ja viestintäteknologian kehitystä;

k)

antaa neuvontaa 28 artiklassa tarkoitettujen käsittelytoimien osalta; ja

l)

osallistuu tietosuojaneuvoston toimintaan.

2.   Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten tarjoamalla valituslomakkeen, joka voidaan täyttää sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3.   Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tietosuojavastaavalle.

4.   Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia erityisesti siitä syystä, että niissä on toistuvuutta, valvontaviranomainen voi periä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

47 artikla

Valtuudet

1.   Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on tehokkaat tutkintavaltuudet. Näihin valtuuksiin on sisällyttävä vähintään valtuudet saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin käsiteltävän oleviin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen valvontaviranomaisen tehtävien suorittamisessa.

2.   Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on tehokkaat korjaavat toimivaltuudet, kuten esimerkiksi valtuudet

a)

varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän direktiivin nojalla hyväksyttyjen säännösten vastaisia;

b)

määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän direktiivin nojalla hyväksyttyjen säännösten mukaisiksi tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa, erityisesti määräämällä henkilötietojen korjaamisesta tai poistamisesta taikka käsittelyn rajoittamisesta 16 artiklan mukaisesti;

c)

asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto.

3.   Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on tehokkaat neuvontavaltuudet antaa rekisterinpitäjälle neuvoja 28 artiklassa tarkoitetun ennakkokuulemismenettelyn mukaisesti ja antaa omasta aloitteestaan tai pyynnöstä lausuntoja kyseisen jäsenvaltion kansalliselle parlamentille, hallitukselle tai kansallisen lainsäädäntönsä mukaisesti muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä.

4.   Valvontaviranomaiselle tämän artiklan nojalla annetun toimivallan käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, siten kuin niistä säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.

5.   Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on valtuudet saattaa tämän direktiivin nojalla hyväksyttyjen säännösten rikkomiset oikeusviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää oikeustoimet tämän direktiivin nojalla hyväksyttyjen säännösten täytäntöönpanemiseksi.

48 artikla

Rikkomisista ilmoittaminen

Jäsenvaltioiden on säädettävä siitä, että toimivaltaiset viranomaiset ottavat käyttöön tehokkaita mekanismeja, jotka kannustavat ilmoittamaan tämän direktiivin rikkomisista luottamuksellisesti.

49 artikla

Toimintakertomukset

Jokaisen valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon voi sisältyä luettelo siitä, millaisia rikkomisia on ilmoitettu ja millaisia seuraamuksia määrätty. Kertomukset on toimitettava kansalliselle parlamentille, hallitukselle ja muille jäsenvaltion lainsäädännössä nimetyille viranomaisille. Ne on saatettava yleisön, komission ja tietosuojaneuvoston saataville.

VII LUKU

Yhteistyö

50 artikla

Keskinäinen avunanto

1.   Jäsenvaltioiden on säädettävä siitä, että valvontaviranomaiset antavat toisilleen tarvittavat tiedot ja keskinäistä apua tämän direktiivin johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteuttavat toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten kuulemisten, tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2.   Jäsenvaltioiden on säädettävä siitä, että jokainen valvontaviranomainen toteuttaa kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3.   Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, kuten pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4.   Pyynnön vastaanottanut valvontaviranomainen voi kieltäytyä noudattamasta pyyntöä vain, jos

a)

asia, jota pyyntö koskee, ei kuulu sen toimivaltaan tai sillä ei ole toimivaltaa toteuttaa pyydettyjä toimenpiteitä; tai

b)

pyynnön täyttäminen rikkoisi tätä direktiiviä tai sellaista unionin oikeutta tai jäsenvaltion lainsäädäntöä, jota sovelletaan pyynnön vastaanottaneeseen valvontaviranomaiseen.

5.   Pyynnön vastaanottanut valvontaviranomainen ilmoittaa pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Jos pyynnön vastaanottanut valvontaviranomainen kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, sen on esitettävä kieltäytymisen syyt.

6.   Pyynnön vastaanottaneen valvontaviranomaisen on lähtökohtaisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7.   Pyynnön vastaanottanut valvontaviranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat keskenään sopia säännöistä, jotka koskevat keskinäisestä avunannosta poikkeuksellisissa olosuhteissa aiheutuvista erityisistä kustannuksista maksettavia korvauksia.

8.   Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten. Nämä täytäntöönpanosäädökset hyväksytään 58 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

51 artikla

Tietosuojaneuvoston tehtävät

1.   Asetuksella (EU) 2016/679 perustettu neuvosto hoitaa seuraavia tämän direktiivin soveltamisalaan kuuluvaan käsittelyyn liittyviä tehtäviä:

a)

antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän direktiivin mahdollisesta muuttamisesta;

b)

tarkastella omasta aloitteestaan, jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän direktiivin soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän direktiivin johdonmukaista soveltamista;

c)

laatia valvontaviranomaisille suuntaviivoja, jotka koskevat 47 artiklan 1 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista;

d)

antaa tämän kohdan b alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 30 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietojen tietoturvaloukkausten toteamiseksi ja aiheettoman viivästyksen määrittämiseksi sekä niistä erityisolosuhteista, joissa rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

e)

antaa tämän kohdan b alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 31 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

f)

tarkastella b ja c alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön;

g)

antaa komissiolle lausunto kolmannen maan, kolmannen maan alueen tai yhden tai useamman määrätyn sektorin tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö tällainen kolmas maa tai alue tai kansainvälinen järjestö tai määrätty sektori enää varmistamaan tietosuojan riittävää tasoa;

h)

edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

i)

edistää yhteisiä koulutusohjelmia ja helpottaa henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

j)

edistää tietosuojaoikeutta ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa.

Ensimmäisen alakohdan g alakohdan osalta komissio toimittaa tietosuojaneuvostolle kaikki tarpeelliset asiakirjat, kuten kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai määrätyn sektorin, tai kansainvälisen järjestön kanssa käydyn kirjeenvaihdon.

2.   Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

3.   Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 58 artiklan 1 kohdassa tarkoitetulle komitealle ja julkaistava ne.

4.   Komission on ilmoitettava tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden perusteella.

VIII LUKU

Oikeussuojakeinot, vastuu ja seuraamukset

52 artikla

Oikeus tehdä valitus valvontaviranomaiselle

1.   Jäsenvaltioiden on säädettävä siitä, että jokaisella rekisteröidyllä on oikeus tehdä valitus yhdelle valvontaviranomaiselle, jos rekisteröity katsoo, että häneen liittyvässä henkilötietojen käsittelyssä rikotaan tämän direktiivin nojalla annettuja säännöksiä, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2.   Jäsenvaltioiden on säädettävä siitä, että valvontaviranomainen, jolle valitus on tehty, toimittaa sen toimivaltaiselle valvontaviranomaiselle ilman aiheetonta viivytystä, jos valitusta ei ole tehty 45 artiklan 1 kohdan nojalla toimivaltaiselle valvontaviranomaiselle. Rekisteröidylle on ilmoitettava siirrosta.

3.   Jäsenvaltioiden on säädettävä siitä, että valvontaviranomainen, jolle valitus on tehty, antaa lisäapua rekisteröidyn pyynnöstä.

4.   Toimivaltaisen valvontaviranomaisen on ilmoitettava rekisteröidylle valituksen etenemisestä ja ratkaisusta, mukaan lukien 53 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

53 artikla

Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan

1.   Jäsenvaltioiden on säädettävä luonnollisten henkilöiden tai oikeushenkilöiden oikeudesta käyttää tehokkaita oikeussuojakeinoja valvontaviranomaisen oikeudellisesti sitovia heitä koskevia päätöksiä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

2.   Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 45 artiklan 1 kohdan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 52 artiklan mukaisesti tehdyn valituksen etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

3.   Jäsenvaltioiden on säädettävä siitä, että kanne valvontaviranomaista vastaan nostetaan sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

54 artikla

Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan

Jäsenvaltioiden on säädettävä, että rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tämän direktiivin nojalla annettuihin säännöksiin perustuvia oikeuksiaan on rikottu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu kyseisiä säännöksiä, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 52 artiklan mukainen oikeus tehdä valitus valvontaviranomaiselle.

55 artikla

Rekisteröityjen edustaminen

Jäsenvaltioiden on jäsenvaltion prosessioikeuden mukaisesti säädettävä siitä, että rekisteröidyllä on oikeus valtuuttaa sellainen voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröityjen oikeuksien ja vapauksien suojelemisen alalla heidän henkilötietojensa suojan osalta, tekemään valitus puolestaan ja käyttämään puolestaan 52, 53 ja 54 artiklassa tarkoitettuja oikeuksia.

56 artikla

Oikeus vahingonkorvaukseen

Jäsenvaltioiden on säädettävä siitä, että jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta tämän direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, hänellä on oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta.

57 artikla

Seuraamukset

Jäsenvaltioiden on vahvistettava säännöt tämän direktiivin nojalla annettuihin säännöksiin kohdistuvien rikkomisten johdosta määrättävistä seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

IX LUKU

Täytäntöönpanosäädökset

58 artikla

Komiteamenettely

1.   Komissiota avustaa asetuksen (EU) 2016/679 93 artiklalla perustettu komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.   Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3.   Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä sen 5 artiklan kanssa.

X LUKU

Loppusäännökset

59 artikla

Puitepäätöksen 2008/977/YOS kumoaminen

1.   Kumotaan puitepäätös 2008/977/YOS 6 päivästä toukokuuta 2018.

2.   Viittauksia 1 kohdassa tarkoitettuun, kumottuun päätökseen pidetään viittauksina tähän direktiiviin.

60 artikla

Jo voimassa olevat unionin säädökset

Direktiivi ei vaikuta henkilötietojen suojaa koskeviin erityisiin säännöksiin, jotka sisältyvät rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön alalla ennen 6 päivää toukokuuta 2016 voimaan tulleisiin unionin säädöksiin, joilla säännellään käsittelyä jäsenvaltioiden kesken ja jäsenvaltioiden nimettyjen viranomaisten pääsyä perussopimusten mukaisesti perustettuihin tietojärjestelmiin tämän direktiivin soveltamisalan puitteissa.

61 artikla

Suhde rikosasioissa tehtävää oikeudellista yhteistyötä ja poliisiyhteistyötä koskeviin, aiemmin tehtyihin kansainvälisiin sopimuksiin

Henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille edellyttävät kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen 6 päivää toukokuuta 2016 ja jotka ovat unionissa kyseistä päivää voimassa olleen oikeuden mukaisia, ovat edelleen voimassa, kunnes niitä muutetaan tai ne korvataan tai kumotaan.

62 artikla

Komission kertomukset

1.   Komissio toimittaa Euroopan parlamentille ja neuvostolle 6 päivään toukokuuta 2022 mennessä, ja tämän jälkeen neljän vuoden välein säännöllisesti kertomukset tämän direktiivin arvioinnista ja uudelleentarkastelusta. Kertomukset julkistetaan.

2.   Edellä 1 kohdassa tarkoitettujen arviointien ja uudelleentarkastelujen yhteydessä komissio tarkastelee erityisesti kolmansiin maihin tai kansainvälisille järjestöille tapahtuvaa henkilötietojen siirtoa koskevan V luvun säännösten soveltamista ja toimivuutta varsinkin 36 artiklan 3 kohdan ja 39 artiklan nojalla hyväksyttävien päätösten osalta.

3.   Komissio voi pyytää jäsenvaltioilta ja valvontaviranomaisilta tietoja 1 ja 2 kohdan tarkoituksiin.

4.   Komission on 1 ja 2 kohdassa tarkoitettuja arviointeja ja uudelleentarkasteluja toteuttaessaan otettava huomioon Euroopan parlamentin, neuvoston sekä muiden asiaan liittyvien elimien tai lähteiden kannat ja havainnot.

5.   Komissio voi tarvittaessa toimittaa asianmukaisia ehdotuksia tämän direktiivin muuttamiseksi, ottaen erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuva kehitys.

6.   Komissio tarkastelee 6 päivään toukokuuta 2019 mennessä muita unionin hyväksymiä säädöksiä, joilla säännellään toimivaltaisten viranomaisten suorittamaa käsittelyä 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten, mukaan lukien 60 artiklassa tarkoitetutunionin säädökset, arvioidakseen, olisiko niitä yhdenmukaistettava tämän direktiivin kanssa, ja tekee tarvittaessa tarpeelliset ehdotukset kyseisten säädösten muuttamiseksi, jotta voidaan varmistaa johdonmukainen lähestymistapa henkilötietojen suojaan tämän direktiivin soveltamisalan puitteissa.

63 artikla

Saattaminen osaksi kansallista lainsäädäntöä

1.   Jäsenvaltioiden on annettava ja julkaistava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018. Niiden on viipymättä ilmoitettava komissiolle kirjallisina nämä säännökset. Jäsenvaltioiden on sovellettava näitä säännöksiä 6 päivästä toukokuuta 2018.

Näissä jäsenvaltioiden antamissa säädöksissä on viitattava tähän direktiiviin tai niihin on liitettävä tällainen viittaus, kun ne julkaistaan virallisesti. Jäsenvaltioiden on säädettävä siitä, miten viittaukset tehdään.

2.   Jäsenvaltio voi 1 kohdasta poiketen säätää, että jos siitä aiheutuu suhteetonta vaivaa, ennen 6 päivää toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät on saatettava 25 artiklan 1 kohdan mukaisiksi poikkeuksellisesti viimeistään 6 päivänä toukokuuta 2023.

3.   Tämän artiklan 1 ja 2 kohdasta poiketen jäsenvaltio voi poikkeuksellisissa olosuhteissa saattaa tietyn tämän kohdan 2 alakohdassa tarkoitetun automatisoidun käsittelyjärjestelmän 25 artiklan 1 kohdan mukaiseksi määräajan kuluessa tämän artiklan 2 kohdassa tarkoitetusta ajanjaksosta, jos tästä muutoin aiheutuisi vakavia vaikeuksia kyseisen automatisoidun käsittelyjärjestelmän toiminnalle. Asianomainen jäsenvaltio ilmoittaa komissiolle vakavien vaikeuksien ja sen määräajan perusteista, jonka kuluessa sen on saatettava kyseinen automatisoitu käsittelyjärjestelmä 25 artiklan 1 kohdan mukaiseksi. Määräaika ei saa missään tapauksessa olla myöhemmin kuin 6 päivänä toukokuuta 2026.

4.   Jäsenvaltioiden on toimitettava tässä direktiivissä tarkoitetuista kysymyksistä antamansa keskeiset kansalliset säännökset kirjallisina komissiolle.

64 artikla

Voimaantulo

Tämä direktiivi tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.

65 artikla

Osoitus

Tämä direktiivi on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 27 päivänä huhtikuuta 2016.

Euroopan parlamentin puolesta

Puhemies

M. SCHULZ

Neuvoston puolesta

Puheenjohtaja

J.A. HENNIS-PLASSCHAERT


(1)  EUVL C 391, 18.12.2012, s. 127.

(2)  Euroopan parlamentin kanta, vahvistettu 12. maaliskuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston ensimmäisen käsittelyn kanta, vahvistettu 8. huhtikuuta 2016 (ei vielä julkaistu virallisessa lehdessä). Euroopan parlamentin kanta, vahvistettu 14. huhtikuuta 2016.

(3)  Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(4)  Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä marraskuuta 2008, rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta (EUVL L 350, 30.12.2008, s. 60).

(5)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (ks. tämän virallisen lehden s. 1).

(6)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(7)  Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(8)  Neuvoston yhteinen kanta 2005/69/YOS, vahvistettu 24 päivänä tammikuuta 2005, eräiden tietojen vaihdosta Interpolin kanssa (EUVL L 27, 29.1.2005, s. 61).

(9)  Neuvoston päätös 2007/533/YOS, tehty 12 päivänä kesäkuuta 2007, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä (EUVL L 205, 7.8.2007, s. 63).

(10)  Neuvoston direktiivi 77/249/ETY, annettu 22 päivänä maaliskuuta 1977, asianajajien palvelujen tarjoamisen vapauden tehokkaan käyttämisen helpottamisesta (EYVL L 78, 26.3.1977, s. 17).

(11)  Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(12)  Neuvoston päätös 2008/615/YOS, tehty 23 päivänä kesäkuuta 2008, rajatylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajatylittävän rikollisuuden torjumiseksi (EUVL L 210, 6.8.2008, s. 1).

(13)  Neuvoston säädös, annettu 29 päivänä toukokuuta 2000, Euroopan unionista tehdyn sopimuksen 34 artiklan mukaisen yleissopimuksen tekemisestä keskinäisestä oikeusavusta rikosasioissa Euroopan unionin jäsenvaltioiden välillä (EYVL C 197, 12.7.2000, s. 1).

(14)  Euroopan parlamentin ja neuvoston direktiivi 2011/93/EU, annettu 13 päivänä joulukuuta 2011, lasten seksuaalisen hyväksikäytön ja seksuaalisen riiston sekä lapsipornografian torjumisesta ja neuvoston puitepäätöksen 2004/68/YOS korvaamisesta (EUVL L 335, 17.12.2011, s. 1).

(15)  EYVL L 176, 10.7.1999, s. 36.

(16)  EUVL L 53, 27.2.2008, s. 52.

(17)  EUVL L 160, 18.6.2011, s. 21.

(18)  EUVL C 192, 30.6.2012, s. 7.


4.5.2016   

FI

Euroopan unionin virallinen lehti

L 119/132


EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI (EU) 2016/681,

annettu 27 päivänä huhtikuuta 2016,

matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 82 artiklan 1 kohdan d alakohdan ja 87 artiklan 2 kohdan a alakohdan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),

ovat kuulleet alueiden komiteaa,

noudattavat tavallista lainsäätämisjärjestystä (2),

sekä katsovat seuraavaa:

(1)

Komissio hyväksyi 6 päivänä marraskuuta 2007 ehdotuksen neuvoston puitepäätökseksi matkustajarekisterin (PNR) käytöstä lainvalvontatarkoituksiin. Lissabonin sopimuksen tultua voimaan 1 päivänä joulukuuta 2009 komission ehdotuksesta, jota neuvosto ei ollut kyseiseen päivään mennessä hyväksynyt, tuli kuitenkin vanhentunut.

(2)

Asiakirjassa ”Tukholman ohjelma – Avoin ja turvallinen Eurooppa kansalaisia ja heidän suojeluaan varten” (3) komissiota kehotetaan esittämään ehdotus matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista, tutkimista ja niitä koskevia syytetoimia varten.

(3)

Komissio hahmotteli asiaa koskevan unionin politiikan keskeisiä piirteitä 21 päivänä syyskuuta 2010 antamassaan tiedonannossa matkustajarekisteritietojen (PNR) siirtoa kolmansiin maihin koskevasta kokonaisvaltaisesta lähestymistavasta.

(4)

Neuvoston direktiivillä 2004/82/EY (4) säännellään ennalta annettavien matkustajatietojen (API-tiedot) siirtämistä toimivaltaisille kansallisille viranomaisille lentoliikenteen harjoittajien toimesta rajavalvonnan parantamiseksi ja laittoman maahanmuuton torjumiseksi.

(5)

Tämän direktiivin tavoitteina on muun muassa varmistaa turvallisuus, suojella ihmisten elämää ja turvallisuutta sekä luoda matkustajarekisteritietojen suojelua koskeva oikeudellinen kehys toimivaltaisten viranomaisten suorittamaa tietojenkäsittelyä varten.

(6)

PNR-tietojen tehokas käyttäminen muun muassa vertailemalla PNR-tietoja erilaisiin etsittyjä henkilöitä ja esineitä koskeviin tietokantoihin on tarpeen terrorismirikosten ja vakavan rikollisuuden ennalta estämisen, paljastamisen ja tutkimisen sekä tällaisiin rikoksiin liittyvien syytetoimien kannalta ja siten sisäisen turvallisuuden parantamiseksi, todisteiden hankkimiseksi ja tarvittaessa rikollisten apureiden ja rikollisverkostojen paljastamiseksi.

(7)

PNR-tietojen arvioinnin avulla on mahdollista yksilöidä henkilöitä, joita ei ole epäilty osallisuudesta terrorismirikoksiin tai vakavaan rikollisuuteen ennen sellaista arviointia, ja joiden suhteen toimivaltaisten viranomaisten olisi tehtävä lisätutkimuksia. PNR-tietojen avulla voidaan puuttua terrorismirikosten ja vakavan rikollisuuden uhkaan eri tavoin kuin muuntyyppisiä henkilötietoja käsittelemällä. Jotta voidaan varmistaa, että PNR-tietoja käsitellään vain siinä määrin kuin on tarpeen, arviointiperusteiden laatiminen ja soveltaminen olisi rajoitettava kattamaan terrorismirikokset ja vakavat rikokset, joiden kohdalla kyseisten perusteiden käyttö on asianmukaista. Lisäksi arviointiperusteet olisi määritettävä niin, että järjestelmä yksilöi mahdollisimman vähän viattomia henkilöitä.

(8)

Lentoliikenteen harjoittajat keräävät ja käsittelevät jo matkustajien PNR-tietoja omia kaupallisia tarkoituksiaan varten. Tällä direktiivillä ei pitäisi velvoittaa lentoliikenteen harjoittajia keräämään tai säilyttämään mitään uusia matkustajatietoja eikä velvoittaa matkustajia antamaan mitään uusia tietoja lentoliikenteen harjoittajille nykyään annettavien tietojen lisäksi.

(9)

Jotkin lentoliikenteen harjoittajat säilyttävät keräämiään API-tietoja osana PNR-tietoja, toiset taas eivät. PNR-tietojen käyttö yhdessä API-tietojen käytön kanssa tuo lisäarvoa auttamalla jäsenvaltioita yksilön henkilöllisyyden tarkistamisessa, mikä vahvistaa tarkistuksen tuloksen arvoa lainvalvonnan kannalta ja minimoi viattomien henkilöiden tarkastukset ja tutkimisen. Tämän vuoksi on tärkeää varmistaa, että kun lentoliikenteen harjoittajat keräävät API-tietoja, ne siirtävät tiedot riippumatta siitä, säilyttävätkö ne API-tietoja eri teknisin keinoin kuin muita PNR-tietoja.

(10)

Terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista, tutkimista sekä tällaisiin rikoksiin liittyviä syytetoimia varten on erittäin tärkeää, että kaikki jäsenvaltiot antavat säännöksiä, joissa vahvistetaan EU:n ulkopuolisia lentoja suorittaville lentoliikenteen harjoittajille velvollisuus siirtää kaikki kerätyt PNR-tiedot, myös API-tiedot. Jäsenvaltioilla olisi oltava mahdollisuus laajentaa tämä velvollisuus EU:n sisäisiä lentoja suorittaviin lentoliikenteen harjoittajiin. Nämä säännökset eivät saisi rajoittaa direktiivin 2004/82/EY soveltamista.

(11)

Henkilötietojen käsittelyn olisi oltava oikeassa suhteessa tämän direktiivin erityisiin turvallisuustavoitteisiin nähden.

(12)

Tässä direktiivissä sovellettavan terrorismirikosten määritelmän olisi oltava sama kuin neuvoston puitepäätöksessä 2002/475/YOS (5). Vakavan rikollisuuden määritelmän olisi katettava tämän direktiivin liitteessä II luetellut rikollisuuden muodot.

(13)

PNR-tiedot olisi siirrettävä asianomaisen jäsenvaltion nimetylle matkustajatietoyksikölle, jotta voidaan varmistaa selkeä toimintatapa ja vähentää lentoliikenteen harjoittajille aiheutuvia kustannuksia. Matkustajatietoyksiköllä voi olla eri toimipaikkoja yhdessä jäsenvaltiossa, ja jäsenvaltiot voivat myös yhteisesti perustaa yhden matkustajatietoyksikön. Jäsenvaltioiden olisi vaihdettava tietoja keskenään asiaankuuluvien tiedonvaihtoverkkojen kautta, jotta voidaan helpottaa tietojen jakamista ja varmistaa yhteentoimivuus.