SELETUSKIRI

1. ETTEPANEKU TAUST

Selles seletuskirjas on täpsemalt selgitatud ELis isikuandmete kaitseks kavandatud uut õigusraamistikku, mis on sätestatud teatises COM(2012) xxx (final)[1]. Kavandatud uus õigusraamistik koosneb järgmisest kahest seadusandlikust ettepanekust:

– ettepanek võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus) ning

– ettepanek võtta vastu Euroopa Parlamendi ja nõukogu direktiiv üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta[2].

See seletuskiri käsitleb isikuandmete kaitse üldmääruse seadusandlikku ettepanekut.

Isikuandmete kaitset käsitlev ELi n-ö tuumikõigusakt, direktiiv 95/46/EÜ[3] võeti 1995. aastal vastu kahel eesmärgil: et kaitsta põhiõigust isikuandmete kaitsele ja tagada isikuandmete vaba liikumine liikmesriikide vahel. Seda täiendati raamotsusega 2008/977/JSK, millest sai Euroopa Liidu tasandil üldine õigusakt isikuandmete kaitseks kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas[4].

Tehnoloogia kiire areng on põhjustanud uued probleemid isikuandmete kaitse valdkonnas. Jagatavate ja kogutavate andmete maht on oluliselt suurenenud. Tehnoloogia võimaldab nii eraettevõtetel kui ka riigiasutustel kasutada isikuandmeid enneolematult laias ulatuses oma tegevuse elluviimiseks. Üksikisikud muudavad isiklikku teavet avalikult ja üle maailma üha enam kättesaadavamaks. Tehnoloogia on muutnud nii majandust kui ka ühiskondlikku elu.

Usalduse loomine internetikeskkonnas on majandusarengu alus. Usalduse puudumine tekitab tarbijates kõhklusi interneti teel ostude sooritamisel ja uute teenuste kasutuselevõtmisel. See võib põhjustada uute tehnoloogiate uuenduslike kasutusviiside väljatöötamise aeglustumist. Isikuandmete kaitse on seetõttu digitaalarengu tegevuskavas[5] ja üldisemalt strateegias „Euroopa 2020”[6] keskse tähtsusega.

Lissaboni lepinguga kasutusele võetud Euroopa Liidu toimimise lepingu artikli 16 lõikega 1 sätestatakse põhimõte, et igaühel on õigus tema kohta käivate isikuandmete kaitsele. Euroopa Liidu toimimise lepingu artikli 16 lõike 2 näol luuakse Lissaboni lepinguga spetsiaalne õiguslik alus isikuandmete kaitse eeskirjade vastuvõtmiseks. Euroopa Liidu põhiõiguste harta artiklis 8 on isikuandmete kaitse sätestatud ühe põhiõigusena.

Euroopa Ülemkogu palus komisjonil hinnata isikuandmete kaitset käsitlevate ELi õigusaktide toimimist ning esitada vajaduse korral täiendavaid seadusandlikke ja muid algatusi[7]. Euroopa Parlament avaldas oma resolutsioonis Stockholmi programmi kohta[8] heameelt ELi tervikliku isikuandmete kaitse süsteemi üle ning kutsus muu hulgas vaatama läbi raamotsust. Komisjon rõhutas oma Stockholmi programmi rakendamise tegevuskavas[9] vajadust tagada, et ELi kõigis poliitikavaldkondades kaitstakse alati põhiõigust isikuandmete kaitsele.

Teatises „Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus”[10] märkis komisjon kokkuvõtvalt, et EL vajab ulatuslikku ja terviklikku lähenemisviisi, millega oleks tagatud isikuandmete kaitsega seotud põhiõiguse austamine.

Praegune raamistik on jätkuvalt korrakohane eesmärkide ja põhimõtete seisukohast, kuid see ei ole takistanud liidus isikuandmete kaitse rakendamisviisi killustumist, õiguslikku ebakindlust ning üldsuse levinud arusaama, et eelkõige internetis tegutsemisega on seotud olulised ohud[11]. Seetõttu on aeg luua ELis tugevam ja sidusam isikuandmete kaitse raamistik, mida toetab tugev jõustamine, mis võimaldab digitaalmajandusel areneda kõikjal siseturul, annab isikutele kontrolli oma andmete üle ning tagab õigusliku ja praktilise kindluse ettevõtjatele ja riigiasutustele.

2. HUVITATUD ISIKUTEGA KONSULTEERIMISE JA MÕJU HINDAMISE TULEMUSED

Käesolev algatus on kõigi peamiste sidusrühmadega isikuandmete kaitse praeguse õigusraamistiku läbivaatamise teemal peetud laialdase konsulteerimise tulemus. Konsulteerimine kestis üle kahe aasta ning hõlmas 2009. aasta mais toimunud kõrgetasemelist konverentsi[12] ja kahte järgmist avalikkusega konsulteerimise etappi:

– 9. juuli – 31. detsember 2009: arutelu isikuandmete kaitset kui põhiõigust käsitleva ELi õigusraamistiku teemal. Komisjonile laekus 168 vastust: 127 üksikisikutelt, äriorganisatsioonidelt ja -ühingutelt ning 12 riigiasutustelt[13];

– 4. november 2010 – 15. jaanuar 2011: komisjoni terviklikku lähenemisviisi isikuandmete kaitsele Euroopa Liidus käsitlev arutelu. Komisjonile laekus 305 vastust: 54 kodanikelt, 31 riigiasutustelt ja 220 eraõiguslikelt organisatsioonidelt, eelkõige äriühingutelt ja valitsusvälistelt organisatsioonidelt[14].

Toimus ka sihipärane konsulteerimine põhiliste sidusrühmadega; liikmesriikide ametiasutustega ning erasektori sidusrühmadega ja eraelu puutumatuse, isikuandmete kaitse ja tarbijaorganisatsioonidega korraldati eriüritused 2010. aasta juunis ja juulis[15]. 2010. aasta novembris korraldas Euroopa Komisjoni asepresident Reding isikuandmete kaitsereformi teemal ümarlaua. 28. jaanuaril 2011 (isikuandmete kaitse päeval) korraldasid Euroopa Komisjon ja Euroopa Nõukogu ühiselt kõrgetasemelise konverentsi ELi õigusraamistiku reformiga seotud küsimuste ning üle maailma ühiste isikuandmete kaitse standardite kehtestamise vajadusega seotud küsimuste arutamiseks[16]. Kaks isikuandmete kaitse alast konverentsi korraldati Ungari ja Poola eesistumise ajal vastavalt 16.–17. juunil 2011. aastal ja 21. septembril 2011. aastal.

Eriküsimusi käsitlevaid sihtotstarbelisi õpikodasid ja seminare korraldati kogu 2011. aasta vältel. Jaanuaris korraldas Euroopa Võrgu- ja Infoturbeamet (ENISA)[17] õpikoja andmetega seotud rikkumistest teatamise kohta Euroopas[18]. Veebruaris kutsus komisjon kokku liikmesriikide ametiasutuste õpikoja, et arutada isikuandmete kaitse küsimusi kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas, sealhulgas raamotsuse rakendamine, ning Euroopa Liidu Põhiõiguste Amet korraldas sidusrühmadega konsultatiivse kohtumise teemal „Isikuandmete kaitse ja eraelu puutumatus”. Reformiga seotud põhiküsimuste üle arutleti 13. juulil 2011 riiklike andmekaitseasutustega. ELi kodanikega konsulteeriti 2010. aasta novembrist detsembrini toimunud Eurobaromeetri uuringu raames[19]. Korraldati ka mitu uuringut[20]. Artikli 29 töörühm[21] esitas komisjonile mitmeid seisukohti ja kasulikku teavet[22]. Euroopa andmekaitseinspektor esitas samuti põhjaliku arvamuse komisjoni 2010. aasta novembri teatises tõstatatud küsimuste kohta[23].

Euroopa Parlament kiitis oma 6. juuli 2011. aasta resolutsiooniga heaks raporti, mis toetas komisjoni lähenemisviisi isikuandmete kaitse raamistiku reformile[24]. Euroopa Liidu Nõukogu võttis 24. veebruaril 2011 vastu järeldused, millega ta üldjoontes toetab komisjoni kavatsust reformida isikuandmete kaitse raamistik ning nõustub komisjoni lähenemisviisi mitme aspektiga. Euroopa Majandus- ja Sotsiaalkomitee toetas samuti komisjoni eesmärki tagada ELi isikuandmete kaitse eeskirjade[25] järjepidevam kohaldamine kõigis liikmesriikides ning direktiivi 95/46/EÜ asjakohane läbivaatamine[26].

Tervikliku lähenemisviisiga seotud konsulteerimise ajal oli valdav enamik sidusrühmadest nõus, et üldised põhimõtted jäävad kehtima, kuid praegust raamistikku on vaja kohandada, et reageerida paremini uute (eelkõige interneti-) tehnoloogiate kiirest arengust ning suurenevast üleilmastumisest põhjustatud probleemidele, säilitades samal ajal õigusraamistiku tehnoloogilise neutraalsuse. Eelkõige majanduslikud sidusrühmad on palju kritiseerinud liidu isikuandmete kaitse praegust killustatust ning soovinud isikuandmete kaitse eeskirjade suuremat õiguskindlust ning ühtlustatust. Nad peavad isikuandmete rahvusvahelise edastamise eeskirjade keerukust oluliseks takistuseks oma tegevusele, kuna neil on vaja regulaarselt edastada isikuandmeid EList maailma muudesse piirkondadesse.

Komisjon viis kooskõlas parema õigusliku reguleerimise poliitikaga ellu poliitikavalikute mõju hindamise. Mõjuhinnang põhines kolmel poliitikaeesmärgil: isikuandmete kaitse siseturumõõtme laiendamine, isikuandmete kaitsega seotud õiguse tõhusam kasutamine kodanike poolt ning kõikehõlmava ja ühtse raamistiku kujundamine liidu kõigis pädevusvaldkondades, sealhulgas kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. Hinnati kolme erineva sekkumismääraga poliitilist valikuvõimalust. Esimene valikuvõimalus koosnes minimaalsetest seadusandlikest muudatustest ning tõlgendavate teatiste ja poliitika toetamise meetmete, näiteks rahastamisprogrammide ja tehniliste vahendite kasutamisest; teine valikuvõimalus hõlmas analüüsi raames leitud iga probleemi käsitlevate seadusandlike sätete komplekti ning kolmas valikuvõimalus oli ELi tasandil isikuandmete kaitse tsentraliseerimine kõigi sektorite jaoks täpsete ja üksikasjalike eeskirjade kehtestamise ning kõnealuste sätete järelevalveks ja jõustamiseks ELi asutuse loomise teel.

Talitustevahelise juhtrühma kaasabil hinnati iga poliitikavalikut komisjoni kehtestatud meetodi kohaselt, vaadeldes valiku tõhusust poliitikaeesmärkide täitmisel, majanduslikku mõju sidusrühmadele (sealhulgas ELi institutsioonide eelarvele), sotsiaalset mõju ja mõju põhiõigustele. Keskkonnamõju ei hinnatud. Kogumõju analüüsi tulemusel kujundati välja eelistatud poliitiline valikuvõimalus, mis põhineb teisel valikuvõimalusel ja hõlmab ülejäänud kahe valikuvõimaluse elemente, ning see kaasati käesolevasse ettepanekusse. Mõjuhinnangu kohaselt viib selle rakendamine muu hulgas olulise arenguni järgmistes valdkondades: vastutavate töötlejate ja kodanike õiguskindlus, halduskoormuse vähenemine, isikuandmete kaitse jõustamise järjepidevus liidus, üksikisikute võimalus oma isikuandmete kaitsega seotud õigusi ELis isikuandmete kaitse jaoks tulemuslikult kasutada ning isikuandmete kaitse järelevalve ja jõustamise tõhusus. Eelistatud poliitilise valikuvõimaluse rakendamine aitab samuti eeldatavasti kaasa lihtsustamisega ja halduskoormuse vähendamisega seotud komisjoni eesmärgi saavutamisele ning digitaalarengu tegevuskava, Stockholmi tegevuskava ja strateegia „Euroopa 2020” eesmärkide saavutamisele.

9. septembril 2011 andis mõju hindamise komitee mõjuhinnangu projekti suhtes arvamuse. Pärast seda tehti mõjuhinnangusse eelkõige järgmised muudatused:

– selgitati praeguse õigusraamistiku (millises ulatuses eesmärgid täideti ja millises mitte) ning kavandatud reformi eesmärke;

– probleemikäsitluse jaotisesse lisati tõendusmaterjali ja täiendavaid selgitusi/täpsustusi;

– lisati proportsionaalsuse jaotis;

– kõik lähtestsenaariumi ja eelistatud valiku halduskoormusega seotud arvutused ning hinnangud vaadati täies ulatuses üle ja neid muudeti ning teatiste kulude ja üldise killustatuse kulude omavahelist suhet (sealhulgas lisa 10) selgitati;

– määrati täpsemalt kindlaks mõju mikro-, väike- ja keskmise suurusega ettevõtjatele (eelkõige andmekaitseametnikele) ja isikuandmete kaitse mõju hindamised.

Koos ettepanekutega avaldati mõjuhinnangu aruanne ja kokkuvõte.

3. ETTEPANEKU ÕIGUSLIK KÜLG 3.1. Õiguslik alus

See ettepanek põhineb Euroopa Liidu toimimise lepingu artiklil 16, mis on Lissaboni lepinguga vastu võetud uus õiguslik alus isikuandmete kaitse eeskirjade vastuvõtmiseks. See säte võimaldab võtta vastu eeskirju üksikisikute kaitse kohta Euroopa Liidu liikmesriikide poolsel isikuandmete töötlemisel, kui viiakse ellu Euroopa Liidu õiguse reguleerimisalasse jäävat tegevust. See võimaldab samuti võtta vastu eeskirju isikuandmete, sealhulgas liikmesriikide või eraõiguslike poolte töödeldud isikuandmete vaba liikumise kohta.

Määrust peetakse kõige kohasemaks õigusaktiks liidu isikuandmete kaitse raamistiku kindlaksmääramiseks. Määruse vahetu kohaldatavus kooskõlas Euroopa Liidu toimimise lepingu artikliga 288 vähendab õiguslikku killustatust ning suurendab õiguskindlust, kehtestades ühtlustatud põhieeskirjade komplekti, parandades üksikisikute põhiõiguste kaitset ning aidates kaasa siseturu toimimisele.

Viide Euroopa Liidu toimimise lepingu artikli 114 lõikele 1 on vajalik üksnes direktiivi 2002/58/EÜ muutmiseks, et kõnealuse direktiiviga nähtaks ette ka juriidilisest isikust abonentide õiguslike huvide kaitse.

3.2. Subsidiaarsus ja proportsionaalsus

Subsidiaarsuse põhimõtte (Euroopa Liidu lepingu artikli 5 lõige 3) kohaselt võetakse Euroopa Liidu tasandil meetmeid ainult juhul, kui liikmesriigid ei saa piisavalt kavandatud eesmärke saavutada ning neid on ulatuse või kavandatud meetmete mõju tõttu võimalik liidu tasandil paremini saavutada. Eespool kirjeldatud probleeme arvesse võttes märgitakse subsidiaarsuse analüüsis vajadust ELi tasandi meetme järele järgmistel põhjustel.

– Euroopa Liidu põhiõiguste harta artiklis 8 sätestatud isikuandmete kaitse õigus nõuab kogu liidus sama tasandi isikuandmete kaitse tagamist. Ühiste ELi eeskirjade puudumise korral tekib oht, et liikmesriikides kehtestatakse erinevad kaitsetasemed ning selle tõttu on erinevate standarditega liikmesriikide vahel isikuandmete piiriülesed vood takistatud.

– Isikuandmeid edastatakse kiiresti suureneval määral ning riikide sise- ja välispiire ületades. Isikuandmete kaitset käsitlevate õigusaktide jõustamise valdkonnas esineb lisaks praktilisi probleeme ning liikmesriigid ja nende pädevad asutused peavad tegema koostööd – seda saab liidu õiguse ühtlase kohaldamise tagamiseks korraldada vaid ELi tasandil. ELil on kõige paremad võimalused tagada üksikisikutele nende isikuandmete edastamisel kolmandatele riikidele tõhus, ühtlane ja sama tasandi kaitse.

– Liikmesriigid üksi ei suuda praeguseid probleeme vähendada, eriti neid, mis tulenevad riigisiseste õigusaktide killustatusest. Seepärast on vaja kehtestada ühtlustatud ja sidus raamistik, mis võimaldab isikuandmete sujuvamat edastamist ELi riikide vahel ning tagada samas ELi kõigi elanike tõhus kaitse.

– Probleemide olemus ja ulatus muudab kavandatud ELi õigusmeetmed tõhusamaks kui samad meetmed liikmesriikides eraldi ja nimetatud probleemide lahendamisel ei saa piirduda ühe või mitme liikmesriigi tasandi tegevusega.

Proportsionaalsuse põhimõtte kohaselt peavad kõik meetmed olema sihipärased ega tohi minna kaugemale, kui on vaja püstitatud eesmärkide täitmiseks. Käesoleva ettepaneku ettevalmistamisel on nimetatud põhimõtet alates eri poliitiliste valikuvõimaluste kindlaksmääramise ja hindamise etapist kuni seadusandliku ettepaneku koostamiseni arvesse võetud.

3.3. Põhiõigustega seotud küsimuste kokkuvõte

Õigus isikuandmete kaitsele on sätestatud Euroopa Liidu põhiõiguste harta artiklis 8, Euroopa Liidu toimimise lepingu artiklis 16 ning ka Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8. Nagu on rõhutanud Euroopa Liidu Kohus,[27] ei ole õigus isikuandmete kaitsele siiski absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas[28]. Isikuandmete kaitse on tihedalt seotud õigusega era- ja perekonnaelu austamisele, mis on sätestatud harta artiklis 7. See kajastub direktiivi 95/46/EÜ artikli 1 lõikes 1, milles on ette nähtud, et liikmesriigid kaitsevad isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele.

Muud potentsiaalselt mõjutatavad hartaga kaitstud põhiõigused on järgmised: sõnavabadus (harta artikkel 11); ettevõtlusvabadus (artikkel 16); õigus omandile ja eelkõige intellektuaalomandi kaitsele (artikli 17 lõige 2); igasuguse diskrimineerimise keeld muu hulgas rassi, etnilise päritolu, geneetiliste omaduste, usutunnistuse või veendumuste, poliitiliste või muude arvamuste, puuete või seksuaalse sättumuse alusel (artikkel 21); lapse õigused (artikkel 24); õigus kõrgetasemelisele tervishoiule (artikkel 35); õigus tutvuda dokumentidega (artikkel 42); õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele (artikkel 47).

3.4. Ettepaneku üksikasjalik selgitus 3.4.1. I PEATÜKK – ÜLDSÄTTED

Artiklis 1 määratakse kindlaks määruse reguleerimisese ning (nagu ka direktiivi 95/46/EÜ artiklis 1) sätestatakse määruse kaks eesmärki.

Artiklis 2 määratakse kindlaks määruse reguleerimisala.

Artiklis 3 määratakse kindlaks määruse territoriaalne kohaldamisala.

Artikkel 4 sisaldab määruses kasutatud mõistete seletusi. Osa mõisteid on võetud üle direktiivist 95/46/EÜ, osa muudetud või täiendatud lisaelementidega, osa täiesti uued („isikuandmetega seotud rikkumine”, mis põhineb eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi 2002/58/EÜ[29] (mida on muudetud direktiiviga 2009/136/EÜ)[30] artikli 2 punktil h, „geneetilised andmed”, „biomeetrilised andmed”, „terviseandmed”, „peamine tegevuskoht”, „esindaja”, „ettevõte”, „kontsern”, „siduvad ettevõtluseeskirjad” ja „laps”, mis põhineb ÜRO lapse õiguste konventsioonil,[31] ning „järelevalveamet”).

Nõusoleku selgituses on lisatud kriteerium „otsene”, et vältida segadust tekitavat vastavust „ühemõttelise” nõusolekuga ning et kasutada nõusoleku ühte ja järjepidevat mõistet, millega tagatakse andmesubjekti teadlikkus nõusoleku andmise kohta ning selle kohta, millele ta nõusoleku annab.

3.4.2. II PEATÜKK – PÕHIMÕTTED

Artiklis 5 sätestatakse isikuandmete töötlemise põhimõtted, mis vastavad direktiivi 95/46/EÜ artiklis 6 sätestatule. Täiendavad uued elemendid on eelkõige läbipaistvuse põhimõte, võimalikult väheste andmete kogumise põhimõtte selgitus ning vastutava töötleja tervikliku vastutuse põhimõtte kehtestamine.

Artiklis 6 sätestatakse direktiivi 95/46/EÜ artikli 7 alusel seadusliku töötlemise kriteeriumid, mida selgitatakse täpsemalt huvide tasakaalu kriteeriumi ning õiguslike kohustuste ja avaliku huvi järgimise seisukohast.

Artiklis 7 selgitatakse tingimusi, mille alusel on nõusolek kehtiv seadusliku töötlemise alusena.

Artiklis 8 sätestatakse laste isikuandmete töötlemise seaduslikkuse täiendavad tingimused neile otse pakutavate infoühiskonna teenuste seisukohast.

Artiklis 9 sätestatakse isikuandmete eri kategooriate töötlemise üldine keeld ning kõnealuse üldeeskirja erandid, tuginedes direktiivi 95/46/EÜ artiklile 8.

Artiklis 10 selgitatakse, et vastutav töötleja ei ole kohustatud hankima lisateavet andmesubjekti kindlaksmääramiseks ainult käesoleva määruse mis tahes sätte järgimise eesmärgil.

3.4.3. III PEATÜKK – ANDMESUBJEKTI ÕIGUSED 3.4.3.1. Jaotis 1 – läbipaistvus ja kord

Artikliga 11 kehtestatakse vastutavate töötlejate kohustus tagada läbipaistev, kergesti juurdepääsetav ja arusaadav teave. Nimetatu põhineb eelkõige Madridi resolutsioonil isikuandmete kaitse ja eraelu puutumatuse rahvusvaheliste standardite kohta[32].

Artikliga 12 nõutakse vastutavalt töötlejalt menetluste ja mehhanismide tagamist andmesubjekti õiguste kaitsmiseks, sealhulgas elektrooniliste taotluste esitamise vahendid, kohustus vastata andmesubjekti taotlusele kindlaksmääratud tähtaja piires ning põhjendada taotluse rahuldamisest keeldumist.

Artikliga 13 sätestatakse, tuginedes direktiivi 95/46/EÜ artikli 12 punktile c, andmete vastuvõtjate õigused, mis laienevad kõigile andmete vastuvõtjatele, sealhulgas ühistele vastutavatele ja volitatud töötlejatele.

3.4.3.2. Jaotis 2 – teavitamine ja andmetele juurdepääs

Artikliga 14 sätestatakse täpsemalt vastutava töötleja andmesubjekti teavitamise kohustused, tuginedes direktiivi 95/46/EÜ artiklitele 10 ja 11, millega sätestatakse täiendava teabe esitamine andmesubjektile, sealhulgas salvestamise aeg ja õigus kaebuste esitamiseks, mis on seotud rahvusvahelise edastamisega ning andmete päritolu allikaga. Sellega säilitatakse samuti direktiivis 95/46/EÜ kehtestatud võimalikud erandid, näiteks ei ole kõnealust kohustust, kui salvestamine või avaldamine on õigusaktides selgelt sätestatud. Seda võib kohaldada näiteks konkurentsiasutuste, maksu- ja tolliametite või sotsiaalkindluse küsimustes pädevate teenistuste menetluste raames.

Artiklis 15 sätestatakse andmesubjekti õigus tutvuda oma isikuandmetega, tuginedes direktiivi 95/46/EÜ artikli 12 punktile a ning lisades uued elemendid, näiteks andmesubjektide teavitamine andmete salvestamise perioodi kohta ning õiguste kohta seoses parandamise, kustutamise ning kaebuse esitamisega.

3.4.3.3. Jaotis 3 – parandamine ja kustutamine

Artiklis 16 sätestatakse andmesubjekti õigus parandada andmeid, mis põhineb direktiivi 95/46/EÜ artikli 12 punktil b.

Artiklis 17 sätestatakse andmesubjekti õigus olla unustatud ja kustutada andmed. Sellega selgitatakse täiendavalt ja täpsustatakse direktiivi 95/46/EÜ artikli 12 punktis b sätestatud andmete kustutamise õigust ning sätestatakse tingimused õiguse kohta olla unustatud, sealhulgas isikuandmed avaldanud vastutava töötleja kohustus teavitada kolmandaid isikuid andmesubjekti taotlusest kustutada mis tahes lingid isikuandmetele, isikuandmete koopiad või paljundused. Lisatud on ka õigus piirata teatavatel juhtudel andmete töötlemist, vältides ebaselget terminit „andmete sulgemine”.

Artikliga 18 sätestatakse andmesubjekti õigus andmete ülekandmisele, s.o andmete edastamisele ühest elektroonilisest töötlemissüsteemist teise, ilma et vastutav töötleja seda takistaks. Eeltingimusena ja selleks, et parandada veelgi üksikisikute võimalusi tutvuda oma isikuandmetega, sätestatakse sellega õigus saada vastutavalt töötlejalt kõnealused andmed struktureeritud viisil ja üldkasutatavas elektroonilises vormingus.

3.4.3.4. Jaotis 4 – vaidlustamisõigus ja profiilianalüüs

Artikliga 19 sätestatakse andmesubjekti vaidlustamisõigus. See põhineb mõningate muudatustega direktiivi 95/46/EÜ artiklil 14, mis käsitleb muu hulgas tõendamiskohustust ja selle kohaldamist otseturunduse suhtes.

Artikkel 20 käsitleb andmesubjekti õigust mitte olla profiilianalüüsil põhineva meetme subjekt. See põhineb muudatuste ja täiendavate kaitsemeetmetega direktiivi 95/46/EÜ artikli 15 lõikel 1 automatiseeritud üksikotsuste kohta ning võtab arvesse Euroopa Nõukogu soovitust profiilianalüüsi kohta[33].

3.4.3.5. Jaotis 5 – piirangud

Artiklis 21 selgitatakse liidu või liikmesriikide pädevust säilitada või kehtestada artiklis 5 sätestatud põhimõtete ning artiklites 11–20 ja artiklis 32 sätestatud andmesubjekti õigustega seotud piiranguid. Kõnealune säte põhineb direktiivi 95/46/EÜ artiklil 13 ning Euroopa Liidu põhiõiguste hartast ja Euroopa inimõiguste ja põhivabaduste kaitse konventsioonist tulenevatel nõuetel, nagu neid on tõlgendanud Euroopa Liidu Kohus ja Euroopa Inimõiguste kohus.

3.4.4. IV PEATÜKK – VASTUTAV TÖÖTLEJA JA VOLITATUD TÖÖTLEJA 3.4.4.1. Jaotis 1 – üldised kohustused

Artiklis 22 võetakse arvesse vastutamise põhimõtet käsitlevat arutelu ja kirjeldatakse üksikasjalikult vastutava töötleja kohustust järgida käesolevat määrust ning tõendada kõnealust järgimist, sealhulgas võttes vastu sisepoliitika ja -mehhanismid kõnealuse vastavuse tagamiseks.

Artiklis 23 sätestatakse vastutava töötleja kohustused, mis tulenevad kavandatud ja ette nähtud isikuandmete kaitse põhimõtetest.

Kaasvastutavaid töötlejaid käsitlevas artiklis 24 selgitatakse kaasvastutavate töötlejate vastutusala nende sisesuhete ja andmesubjektiga seotud suhte seisukohast.

Artikkel 25 kohustab teatud tingimustel neid vastutavaid töötlejaid, kes ei ole asutatud liidus, määrama juhul, kui määrust kohaldatakse nende töötlemisega seotud tegevuse suhtes, omale esindaja Euroopa Liidus.

Artiklis 26 selgitatakse volitatud töötlejate ametiseisundit ja kohustusi, tuginedes osaliselt direktiivi 95/46/EÜ artikli 17 lõikele 2 ning lisades uusi elemente, sealhulgas selle kohta, et volitatud töötleja, kes töötleb andmeid vastutava töötleja juhistest suuremal määral, on kaasvastutav töötleja.

Vastutava töötleja ja volitatud töötleja alluvuses toimuvat töötlemist käsitlev artikkel 27 põhineb direktiivi 95/46/EÜ artiklil 16.

Artiklis 28 kehtestatakse vastutavate töötlejate ja volitatud töötlejate kohustus säilitada dokumendid oma vastutusala raames toimuva töötlemistegevuse kohta, mida kohaldatakse direktiivi 95/46/EÜ artikli 18 lõikes 1 ja artiklis 19 sätestatud järelevalveameti üldise teavitamise nõude asemel.

Artiklis 29 selgitatakse vastutava töötleja ja volitatud töötleja kohustust teha koostööd järelevalveasutusega.

3.4.4.2. Jaotis 2 – andmeturve

Artikliga 30 kohustatakse vastutavat töötlejat ja volitatud töötlejat rakendama kohaseid meetmeid töötlemise turvalisuse tagamiseks, tuginedes direktiivi 95/46/EÜ artikli 17 lõikele 1, laiendades kõnealust kohustust volitatud töötlejatele vastutava töötlejaga sõlmitud lepingust olenemata.

Artiklitega 31 ja 32 kehtestatakse kohustus teavitada isikuandmetega seotud rikkumistest, tuginedes eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi 2002/58/EÜ artikli 4 lõikes 3 sätestatud isikuandmetega seotud rikkumistest teatamisele.

3.4.4.3. Jaotis 3 – isikuandmete kaitsele avaldatava mõju hinnang ja eelnev luba

Artikliga 33 kehtestatakse vastutavatele töötlejatele ja volitatud töötlejatele kohustus teha enne ohtlikke töötlemistoiminguid isikuandmete kaitse mõju hindamine.

Artikkel 34 käsitleb juhtumeid, kui järelevalveasutuselt loa saamine ja temaga konsulteerimine on enne töötlemist kohustuslik, tuginedes direktiivi 95/46/EÜ artiklis 20 sätestatud eelneva kontrolli kontseptsioonile.

3.4.4.4. Jaotis 4 – andmekaitseametnik

Artikliga 35 kehtestatakse andmekaitseametniku määramise kohustus avalikule sektorile ja erasektoris suurtele ettevõtetele või nendel juhtudel, kui vastutava töötleja või volitatud töötleja põhitegevus hõlmab töötlemistegevust, mis vajab korrapärast ja süstemaatilist järelevalvet. See põhineb direktiivi 95/46/EÜ artikli 18 lõikel 2, mis sätestas liikmesriikidele võimaluse kehtestada kõnealune nõue üldise teavitamise nõude asendusmeetmena.

Artiklis 36 määratakse kindlaks andmekaitseametniku ametiseisund.

Artiklis 37 sätestatakse andmekaitseametniku ülesanded.

3.4.4.5. Jaotis 5 – toimimisjuhendid ja sertifitseerimine

Artikkel 38 käsitleb toimimisjuhendeid, tuginedes direktiivi 95/46/EÜ artikli 27 lõikes 1 sätestatud kontseptsioonile, ja selgitab juhiste ja menetluste sisu ning sätestab komisjoni volituse otsustada toimimisjuhiste üldise kehtivuse üle.

Artikliga 39 sätestatakse võimalus kehtestada sertifitseerimise mehhanismid ning isikuandmete kaitse pitserid ja märgised.

3.4.5. V PEATÜKK – ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE VÕI RAHVUSVAHELISTELE ORGANISATSIOONIDELE

Artiklis 40 sätestatakse üldine põhimõte, et selles peatükis esitatud kohustuste järgimine on kohustuslik kolmandatele riikidele või rahvusvahelistele organisatsioonidele mis tahes isikuandmete edastamiste, sealhulgas andmete edasisaatmise korral.

Artiklis 41 sätestatakse kriteeriumid, tingimused ja menetlused komisjoni poolt piisava kaitse otsuse tegemise kohta, mis tugineb direktiivi 95/46/EÜ artiklile 25. Komisjoni poolt kaitsetaseme piisavuse või ebapiisavuse hindamisel arvesse võetavad kriteeriumid hõlmavad otseselt õigusriigi, õiguskaitse ja sõltumatu järelevalve põhimõtteid. Artikliga kinnitatakse nüüd sõnaselgelt komisjoni võimalus hinnata kolmanda riigi territooriumi või töötleva sektori tagatud kaitsetaset.

Artikliga 42 nõutakse nende kolmandatesse riikidesse edastamiste korral, mille puhul komisjon ei ole piisava kaitse otsust teinud, kohaste kaitsemeetmete, eelkõige isikuandmete kaitse standardklauslite, siduvate ettevõtluseeskirjade ja lepingutingimuste esitamist. Komisjoni isikuandmete kaitse standardklauslite kasutamise võimalus tugineb direktiivi 95/46/EÜ artikli 26 lõikele 4. Uue elemendina võib kõnealuseid isikuandmete kaitse standardklausleid nüüd samuti kehtestada järelevalveamet ning komisjon võib need üldkehtivaks kuulutada. Siduvad ettevõtluseeskirjad on nüüd õigusakti tekstis eraldi välja toodud. Lepingutingimuste variant annab vastutavale või volitatud töötlejale mingil määral paindlikkust, kuid see oleneb järelevalveametilt eelneva loa saamisest.

Artiklis 43 kirjeldatakse täpsemalt siduvate ettevõtluseeskirjade alusel edastamise tingimusi, tuginedes praegustele tavadele ja järelevalveametite nõuetele.

Artiklis 44 kirjeldatakse ja selgitatakse andmeedastuse erandeid, mis põhinevad direktiivi 95/46/EÜ artiklis 26 esitatud olemasolevatel sätetel. Seda kohaldatakse eelkõige nende andmeedastuste suhtes, mida nõutakse ja mis on vajalikud avaliku huvi tähtsate elementide kaitseks, näiteks konkurentsi-, maksu- või tolliametite või sotsiaalkindlustuse või kalavarude majandamise valdkonnas tegutsevate teenistuste vahel toimuva rahvusvahelise andmeedastuse korral. Lisaks sellele võib piiratud tingimustel olla andmeedastus õigustatud vastutava või volitatud töötleja õigustatud huvi alusel, kuid seda ainult pärast kõnealuse edastustegevuse asjaolude hindamist ja dokumenteerimist.

Artiklis 45 sätestatakse sõnaselgelt rahvusvahelise koostöö mehhanismid isikuandmete kaitseks komisjoni ja kolmandate riikide järelevalveasutuste vahel ning seda eriti nende järelevalveasutuste korral, mis pakuvad piisavat kaitsetaset, võttes arvesse Majanduskoostöö ja Arengu Organisatsiooni (OECD) 12. juuni 2007. aasta soovitust piiriülese koostöö kohta eraelu puutumatuse kaitse õiguse jõustamisel.

3.4.6. VI PEATÜKK – SÕLTUMATUD JÄRELEVALVEASUTUSED 3.4.6.1. Jaotis 1 – sõltumatus

Artikliga 46 kohustatakse liikmesriike looma järelevalveasutused, tuginedes direktiivi 95/46/EÜ artikli 28 lõikele 1, ja laiendama järelevalveasutuste ülesandeid üksteisega ja komisjoniga tehtavale koostööle.

Artiklis 47 selgitatakse järelevalveasutuste sõltumatuse tingimusi, rakendades Euroopa Liidu Kohtu kohtupraktikat,[34] artikkel põhineb ka määruse (EÜ) nr 45/2001 artiklil 44[35].

Artiklis 48 sätestatakse üldtingimused järelevalveasutuse liikmetele, rakendades asjakohast kohtupraktikat,[36] artikkel põhineb ka määruse (EÜ) nr 45/2001 artikli 42 lõigetel 2–6.

Artiklis 49 sätestatakse järelevalveasutuse loomise eeskirjad, mis tuleb liikmesriikides seadusega sätestada.

Artiklis 50 sätestatakse järelevalveasutuse liikmete ja töötajate ametisaladus, mis põhineb direktiivi 95/46/EÜ artikli 28 lõikel 7.

3.4.6.2. Jaotis 2 – kohustused ja volitused

Artiklis 51 sätestatakse järelevalveasutuste pädevus. Direktiivi 95/46/EÜ artikli 28 lõikel 6 põhinevat üldeeskirja (pädevus oma liikmesriigi territooriumil) täiendatakse uute, juhtiva ametiasutuse pädevustega, kui vastutav või volitatud töötleja on asutatud mitmes liikmesriigis, et tagada kohaldamise ühtsus (ühtne kontaktpunkt). Kohtud ei kuulu oma õiguspädevuse raames tegutsedes järelevalveasutuse tehtava kontrolli alla, kuid nende suhtes kohaldatakse siiski isikuandmete kaitse põhieeskirju.

Artiklis 52 sätestatakse järelevalveasutuse ülesanded, sealhulgas kaebuste kuulamine ja uurimine ning avalikkuse teadlikkuse parandamine ohtude, eeskirjade, kaitsemeetmete ja õiguste suhtes.

Artiklis 53 sätestatakse järelevalveasutuse volitused nendes osades, mis põhinevad direktiivi 95/46/EÜ artikli 28 lõikel 3 ja määruse (EÜ) nr 45/2001 artiklil 47 ning lisatakse mõni uus element, sealhulgas volitus karistada haldusrikkumisi.

Artikliga 54 kohustatakse järelevalveasutusi koostama iga-aastased tegevusaruanded, tuginedes direktiivi 95/46/EÜ artikli 28 lõikele 5.

3.4.7. VII PEATÜKK – KOOSTÖÖ JA JÄRJEPIDEVUS 3.4.7.1. Jaotis 1 – koostöö

Artiklis 55 kehtestatakse sõnaselged eeskirjad kohustusliku vastastikuse abistamise kohta, sealhulgas teise järelevalveasutuse taotluse mittejärgimise tagajärjed, tuginedes direktiivi 95/46/EÜ artikli 28 lõike 6 teisele lõigule.

Artikliga 56 kehtestatakse ühisoperatsioonide eeskirjad, mis tuginevad nõukogu otsuse 2008/615/JSK[37] artiklile 17, sealhulgas järelevalveasutuste õigus kõnealustes tegevustes osaleda.

3.4.7.2. Jaotis 2 – järjepidevus

Artiklis 57 sätestatakse järjepidevuse mehhanism, millega tagatakse mitme liikmesriigi andmesubjektidega seonduda võiva töötlemistegevuse kohaldamise ühtsus.

Artiklis 58 sätestatakse menetlused ja tingimused Euroopa Andmekaitsenõukogu arvamuse taotlemiseks.

Artikkel 59 käsitleb komisjoni arvamusi nende küsimuste kohta, millega järjepidevuse mehhanismi raames tegeletakse, ning järelevalveasutuse meetme eelnõu. Arvamus võib olla kas kooskõlas Euroopa Andmekaitsenõukogu arvamusega või sellest erineda. Kui küsimuse on tõstatanud Euroopa Andmekaitsenõukogu vastavalt artikli 58 lõikele 3, võib eeldada, et komisjon kasutab vajaduse korral oma kaalutlusõigust ja esitab oma arvamuse.

Artikkel 60 käsitleb komisjoni otsuseid, millega nõutakse pädevalt asutuselt meetme eelnõu peatamist, kui see on käesoleva määruse kohase rakendamise tagamiseks vajalik.

Artiklis 61 sätestatakse võimalus võtta kiirmenetluse puhul ajutisi meetmeid.

Artiklis 62 sätestatakse nõuded järjepidevuse mehhanismi alusel vastuvõetavatele komisjoni rakendusaktidele.

Artiklis 63 kehtestatakse kohustus täita järelevalveasutuse meetmeid kõigis asjaomastes liikmesriikides ning sätestatakse, et järjepidevuse mehhanismi kohaldamine on vastava meetme õigusliku kehtivuse ja täitmise eeltingimus.

3.4.7.3. Jaotis 3 – Euroopa Andmekaitsenõukogu

Artikliga 64 luuakse Euroopa Andmekaitsenõukogu, mis koosneb iga liikmesriigi järelevalveasutuste juhatajatest ning Euroopa andmekaitseinspektorist. Euroopa Andmekaitsenõukogu asendab direktiivi 95/46/EÜ artikliga 29 asutatud töörühma üksikisikute kaitseks seoses isikuandmete töötlemisega. Selgitatakse, et komisjon ei ole Euroopa Andmekaitsenõukogu liige, kuid tal on õigus selle tegevuses osaleda ning olla esindatud.

Artiklis 65 rõhutatakse ja selgitatakse Euroopa Andmekaitsenõukogu sõltumatust.

Artiklis 66 selgitatakse Euroopa Andmekaitsenõukogu ülesandeid, tuginedes direktiivi 95/46/EÜ artikli 30 lõikele 1, ning sätestatakse täiendavad elemendid, mis kajastavad Euroopa Andmekaitsenõukogu tegevuse suuremat ulatust Euroopa Liidus ja sellest väljaspool. Kiireloomulistes olukordades reageerimiseks annab Andmekaitsenõukogu komisjonile võimaluse küsida arvamust määratud ajavahemiku jooksul.

Artikliga 67 nõutakse, et Euroopa Andmekaitsenõukogu annaks oma tegevusest igal aastal aru, tuginedes direktiivi 95/46/EÜ artikli 30 lõikele 6.

Artiklis 68 sätestatakse Euroopa Andmekaitsenõukogu otsuste langetamise menetlused, sealhulgas kohustus võtta vastu menetluseeskirjad, mis peaksid hõlmama ka toimimispõhimõtteid.

Artikkel 69 sisaldab sätteid Euroopa Andmekaitsenõukogu eesistuja ja tema asetäitjate kohta.

Artiklis 70 sätestatakse eesistuja ülesanded.

Artiklis 71 sätestatakse, et Euroopa andmekaitseinspektor tagab Euroopa Andmekaitsenõukogu sekretariaadi töö, ning määratakse kindlaks sekretariaadi ülesanded.

Artiklis 72 kehtestatakse konfidentsiaalsuseeskirjad.

3.4.8. VIII PEATÜKK – ÕIGUSKAITSEVAHENDID, VASTUTUS JA SANKTSIOONID

Artiklis 73 sätestatakse mis tahes andmesubjekti õigus esitada järelevalveasutusele kaebusi, tuginedes direktiivi 95/46/EÜ artikli 28 lõikele 4. Seal määratakse samuti kindlaks asutused, organisatsioonid või ühendused, mis võivad andmesubjekti nimel või isikuandmetega seotud rikkumise korral andmesubjekti kaebusest olenemata kaebuse esitada.

Artikkel 74 käsitleb õigust kasutada järelevalveasutuse vastu kohtulikku õiguskaitsevahendit. See tugineb direktiivi 95/46/EÜ artikli 28 lõike 3 üldsättele. Sellega sätestatakse täpsemalt kohtulik õiguskaitsevahend, mis kohustab järelevalveasutust kaebuse korral tegutsema, ning selgitab nende liikmesriikide kohtute pädevust, kus järelevalveasutus on loodud. Sellega sätestatakse samuti võimalus, et andmesubjekti asukoha liikmesriigi järelevalveasutus võib andmesubjekti nimel algatada menetluse teise sellise liikmesriigi kohtus, kus pädev järelevalveasutus on asutatud.

Artikkel 75 käsitleb õigust kasutada kohtulikku õiguskaitsevahendit vastutava või volitatud töötleja vastu, tuginedes direktiivi 95/46/EÜ artiklile 22, ning sätestab võimaluse alustada kohtumenetlust liikmesriigis, kus on asutatud kostja või kus on andmesubjekti asukoht. Kui sama küsimusega seotud menetlus on järjepidevuse mehhanismis pooleli, siis võib kohus menetluse peatada, kui ei ole tegemist kiireloomulise küsimusega.

Artiklis 76 sätestatakse kohtumenetluse üldeeskirjad, sealhulgas asutuste, organisatsioonide või ühenduste õigused andmesubjekte kohtus esindada, järelevalveasutuste õigused õigusmenetlusega tegeleda ning kohtu teave paralleelsete menetluste kohta teises liikmesriigis ja kohtute võimalus kõnealusel juhul menetlus peatada[38]. Liikmesriikidel on kohustus tagada kohtute kiire tegevus[39].

Artiklis 77 sätestatakse õigus hüvitusele ning vastutus. See tugineb direktiivi 95/46/EÜ artiklile 23, laiendab kõnealust õigust volitatud töötlejate põhjustatud kahjudele ning selgitab ühiste vastutavate ja volitatud töötlejate vastutust.

Artikliga 78 kohustatakse liikmesriike kehtestatama kõnealuse määruse rikkumise eest kohaldatavaid karistusi käsitlevad eeskirjad ning tagama nende rakendamine.

Artikliga 79 kohustatakse iga järelevalveasutust kohaldama kõnealuses sättes esitatud kataloogides loetletud haldusrikkumiste eest karistusi, kehtestades kuni maksimumsummani ulatuvaid trahve, võttes kohaselt arvesse iga konkreetse juhtumi asjaolusid.

3.4.9. IX PEATÜKK – ANDMETE TÖÖTLEMISE ERIOLUKORDADEGA SEOTUD SÄTTED

Artiklis 80 kohustatakse liikmesriike tegema määruse konkreetsete sätete suhtes erandeid ja kõrvalekaldeid, kui see on vajalik isikuandmete kaitse õiguse sõnavabaduse õigusega kooskõlla viimiseks. See põhineb direktiivi 95/46/EÜ artiklil 9, nagu Euroopa Liidu Kohus on seda tõlgendanud[40].

Artikkel 81 kohustab liikmesriike tagama lisaks andmete erikategooriate tingimustele eri kaitsemeetmed andmete töötlemiseks tervishoiu eesmärgil.

Artiklis 82 sätestatakse liikmesriikide volitus võtta vastu konkreetseid seadusi isikuandmete töötlemiseks tööhõive kontekstis.

Artiklis 83 sätestatakse eritingimused isikuandmete töötlemiseks ajaloolisel, statistilisel ja teadusuuringute eesmärgil.

Artikliga 84 antakse liikmesriikidele volitus võtta vastu erieeskirju järelevalveasutuste juurdepääsu kohta isikuandmetele ja ruumidele, kui vastutavatele töötlejatele kehtib saladuse hoidmise kohustus.

Artiklis 85 lubatakse Euroopa Liidu toimimise lepingu artikliga 17 kooskõlas jätkuvalt kohaldada kirikute kehtivaid terviklikke isikuandmete kaitse eeskirju, kui need viiakse käesoleva määrusega kooskõlla.

3.4.10. X PEATÜKK – DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID

Artikkel 86 sisaldab kooskõlas Euroopa Liidu toimimise lepingu artikliga 290 delegeeritud volituste kasutamise standardsätteid. See võimaldab seadusandjal delegeerida komisjonile õigus võtta vastu muid kui seadusandlikke akte, mis on üldkohaldatavad ja täiendavad või muudavad seadusandliku akti (poolseadusandlike aktide) teatavaid mitteolemuslikke osi.

Artikkel 87 sisaldab sätet komiteemenetluse kasutamise kohta rakendusvolituste delegeerimisel komisjonile juhtudel, kui kooskõlas Euroopa Liidu toimimise lepingu artikliga 291 on liidu õiguslikult siduvate aktide rakendamiseks vaja ühetaolisi tingimusi. Kohaldatakse kontrollimenetlust.

3.4.11. XI PEATÜKK – LÕPPSÄTTED

Artikliga 88 tunnistatakse kehtetuks direktiiv 95/46/EÜ.

Artikliga 89 selgitatakse seost eraelu puutumatust ja elektroonilist sidet käsitleva direktiiviga 2002/58/EÜ ning muudetakse seda.

Artikkel 90 annab komisjonile kohustuse määrust hinnata ning esitada seonduvaid aruandeid.

Artiklis 91 sätestatakse määruse jõustumise kuupäev ning selle kohaldamise kuupäevaga seotud üleminekuaeg.

4.           MÕJU EELARVELE

Ettepaneku konkreetne mõju eelarvele on seotud Euroopa andmekaitseinspektorile määratud ülesannetega, nagu on kirjeldatud käesoleva ettepanekuga kaasas olevates õigusaktile lisatavates finantsselgitustes. Kõnealuse mõju tõttu on nõutav finantsperspektiivi rubriigi 5 ümberplaneerimine.

Ettepanekul ei ole mõju tegevuskuludele.

Kõnealuse määruse ettepanekuga kaasasolev õigusaktile lisatav finantsselgitus hõlmab määruse ning politsei- ja õigusalase koostööga seotud isikuandmete kaitse direktiivi mõju eelarvele.

2012/0011 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS

üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2 ja artikli 114 lõiget 1,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust[41],

olles konsulteerinud Euroopa Andmekaitseinspektoriga[42],

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu põhiõiguste harta artikli 8 lõikes 1 ja ELi toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele.

(2) Isikuandmete töötlemine on mõeldud teenima inimkonda ning üksikisikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks füüsiliste isikute rahvusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Isikuandmete töötlemine peaks kaasa aitama vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu saavutamisele, majanduslikule ja sotsiaalsele arengule, majanduse tugevdamisele ja lähendamisele siseturul ning üksikisikute heaolule.

(3) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta)[43] eesmärk on ühtlustada füüsiliste isikute põhiõiguste ja -vabaduste kaitset töötlemistoimingutel ning tagada isikuandmete vaba liikumine liikmesriikide vahel.

(4) Siseturu toimimisest tulenev majandus- ja sotsiaalne integratsioon on isikuandmete piirideüleseid vooge märkimisväärselt suurendanud. Majandus- ja sotsiaal- ning avaliku ja erasektori osalejate vaheline andmevahetus on suurenenud terves Euroopa Liidus. Liikmesriikide ametiasutusi kutsutakse liidu õigusaktidega üles koostööle ja isikuandmete vahetamisele, et neil oleks võimalik täita oma ülesandeid või teha seda teise liikmesriigi ametiasutuse nimel.

(5) Kiire tehnoloogiline areng ja üleilmastumine tekitavad isikuandmete kaitsel uusi probleeme. Andmete jagamise ja kogumise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii era- kui ka avaliku sektori asutustel kasutada isikuandmeid oma eesmärkide saavutamiseks enneolematus ulatuses. Üksikisikud avaldavad isikuandmeid üha avalikumalt ja ülemaailmsemalt. Tehnoloogia on põhjalikult muutnud nii majandust kui ka ühiskondlikku elu ja nõuab ELi-sisese andmete liikumise ning nende kolmandatesse riikidesse ja rahvusvahelisele organisatsioonile edastamise täiendavat hõlbustamist, tagades samas isikuandmete kõrgetasemelise kaitse.

(6) Need muudatused nõuavad ELis tugeva ja ühtsema isikuandmete kaitse raamistiku loomist ning selle täitmise tagamist, et suurendada usaldust, mis võimaldab digitaalsel majandusel areneda terve siseturu lõikes. Üksikisikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus- ja tegelikku kindlust üksikisikute, ettevõtjate ja avaliku sektori asutuste seisukohast.

(7) Direktiivi 95/46/EÜ eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud ELis andmetekaitse rakendusviiside killustumist, õiguskindlusetust ega avalikkuses laialtlevinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud üksikisikute kaitsele. Liikmesriikide poolt tagatavate üksikisikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete ELi-sisest vaba liikumist. Need erinevused võivad seetõttu takistada ELi tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende ELi õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erisustest direktiivi 95/46/EÜ rakendamisel ja kohaldamisel.

(8) Et tagada üksikisikute järjekindel ja kõrgetasemeline kaitse ning takistuste kõrvaldamiseks isikuandmete liikumisel peaks üksikisikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine terves ELis.

(9) Tõhusaks isikuandmete kaitseks terves ELis tuleks tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja selle üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel ning rikkujatele määratavaid karistusi liikmesriikides.

(10) ELi toimimise lepingu artikli 16 lõikega 2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju üksikisikute kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba liikumise eeskirju.

(11) Et tagada üksikisikute järjekindel kaitse terves ELis ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on tarvis määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtete, sealhulgas mikro-, väike- ja keskmise suurusega ettevõtete jaoks ning milles sätestatakse kõigi liikmesriikide üksikisikute samaväärsed kohtulikult kaitstavad õigused ja kohustused ning vastutavate töötlejate ja volitatud töötlejate vastutus, et tagada pidev isikuandmete töötlemise jälgimine nagu ka samad karistused kõigis liikmesriikides ning liikmesriikide järelevalveasutuste tõhus koostöö. Käesolevas määruses on ette nähtud mitu erandit, et võtta arvesse mikro-, väike- ja keskmise suurusega ettevõtete erilist olukorda. Lisaks kutsutakse ELi institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse rakendamisel arvesse mikro-, väike- ja keskmise suurusega ettevõtete erivajadusi. Mikro-, väike- ja keskmise suurusega ettevõtete määratlus tugineb komisjoni 6. mai 2003. aasta soovitusele mikro-, väike- ja keskmise suurusega ettevõtjate määratluse kohta.

(12) Käesoleva määrusega pakutav kaitse laieneb füüsiliste isikute isikuandmete töötlemisele, olenemata asjaomase isiku kodakondsusest või elukohast. Ühelgi isikul ei ole võimalik nõuda käesoleva määrusega ettenähtavat kaitset seoses selliste andmete töötlemisega, mis käsitlevad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmetega. Seda kohaldatakse ka juhul, kui juriidilise isiku nimi sisaldab ühe või mitme füüsilise isiku nime.

(13) Üksikisikute kaitse peaks olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud vahenditest, vastasel juhul tekib märkimisväärne oht, et eeskirjade täitmisest hoitakse kõrvale. Kui andmed sisalduvad toimikusüsteemis või kui nad hiljem kantakse toimikusüsteemi, peab üksikisikute kaitse kehtima nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul. Käesoleva määruse reguleerimisalasse ei kuulu toimikud või toimikute kogumid ega nende esilehed, mis ei ole teatavate kriteeriumide kohaselt korrastatud.

(14) Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitset ega andmete vaba liikumist väljapoole ELi õiguse reguleerimisala jäävate meetmete puhul ega isikuandmete töötlemist ELi institutsioonide, asutuste ja ametite poolt, mille kohta kehtib määrus (EÜ) nr 45/2001,[44] ega isikuandmete töötlemist liikmesriikide poolt ELi ühise välis- ja julgeolekupoliitikaga seonduvate meetmete puhul.

(15) Käesolevat määrust ei tuleks kohaldata isikuandmete töötlemise suhtes füüsilise isiku poolt üksnes isiklikel või kodustel eesmärkidel, näiteks kirjavahetus ja aadresside loetelu ning ilma tulutoova eesmärgita ning väljaspool ametialast ja äritegevust. Erandit ei tuleks kohaldada vastutavate töötlejate ega volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid.

(16) Üksikisikute kaitset isikuandmete töötlemisel pädevate asutuste poolt seoses kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega ning kriminaalkaristuste täitmisele pööramisega ning selliste andmete vaba liikumist käsitletakse eraldiseisvas ELi tasandi õigusaktis. Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate töötlemistoimingute suhtes. Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse seoses kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega ning kriminaalkaristuste täitmisele pööramisega, reguleeritakse konkreetsema ELi tasandi õigusaktiga (direktiiv XX/YYYY).

(17) Käesolevat määrust tuleks kohaldada, ilma et see piiraks direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist.

(18) Käesoleva määruse sätete kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet.

(19) ELis vastutava töötleja või volitatud töötleja asutuse tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töötlemine toimub ELis. Asutus eeldab tegelikku ja tulemuslikku tegutsemist ning stabiilset asukohta. Tegevuse õiguslik vorm (kas filiaali või juriidilise isiku tütarettevõtja kaudu) ei ole selles osas määrav.

(20) Selleks et tagada üksikisikutele kaitse, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool ELi asuva vastutava töötleja poolt ELis asuvate andmesubjektide isikuandmete töötlemise suhtes, kui töötlemistoimingud on seotud kaupade või teenuste pakkumisega kõnealustele andmesubjektidele või nende käitumise jälgimisega.

(21) Selleks et teha kindlaks, kas töötlemistoimingut võib pidada andmesubjekti „käitumise jälgimiseks”, tuleb selgitada välja, kas üksikisikut jälgitakse internetis andmetöötlusmeetoditega, mis hõlmavad üksikisiku profileerimist eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid.

(22) Kui liikmesriigi õigust kohaldatakse rahvusvahelise avaliku õigusena, tuleks käesolevat määrust kohaldada ka väljaspool ELi asuva vastutava töötleja suhtes, näiteks liikmesriigi diplomaatilise või konsulaaresinduse puhul.

(23) Kaitsepõhimõtteid tuleks kohaldada tuvastatud või tuvastatavat isikut käsitleva igasuguse teabe suhtes. Isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib üksikisiku tuvastamiseks tõenäoliselt kasutada. Isikuandmete kaitse põhimõtteid ei tuleks kohaldada teabe suhtes, mis on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik tuvastada.

(24) Sidusteenuste kasutamisel võib üksikisikut seostada tema seadmete, rakenduste, tööriistade ja protokollide jagatavate veebiidentifikaatoritega, näiteks IP-aadresside või küpsistega. See võib jätta jälgi, mida kombineeritult serveritesse saabuvate kordumatute identifikaatoritega ja muu teabega võidakse kasutada üksikisikute profileerimiseks ja nende tuvastamiseks. Sellest järeldub, et identifitseerimisnumbreid, asukohaandmeid, veebiidentifikaatoreid ja muid konkreetseid tegureid ei ole iseenesest tingimata vaja pidada isikuandmeteks.

(25) Nõusolek tuleb anda selgesõnaliselt ükskõik millisel sobival viisil, mis võimaldab andmesubjektil väljendada vabatahtlikku, konkreetset ja teadlikku tahet, kasutades selleks andmesubjekti avaldust või selget kinnitust, millega tagatakse, et üksikisik on teadlik sellest, et ta annab oma nõusoleku isikuandmete töötlemiseks, sealhulgas märgistades veebisaidil vajaliku lahtri või mis tahes muu avalduse või käitumise kaudu, millest selles kontekstis konkreetselt nähtub andmesubjekti nõusolek nende isikuandmete kavandatavaks töötlemiseks. Vaikimist või tegevusetust ei tohiks seega pidada nõusolekuks. Nõusolek peaks hõlmama kõiki samal eesmärgil või samadel eesmärkidel teostatavaid töötlemistoimingud. Kui andmesubjekti nõusolek tuleb anda pärast elektroonilise taotluse esitamist, peab taotlus olema selge ja kokkuvõtlik, kuid mitte põhjendamatult häirima selle teenuse kasutamist, mille kohta taotlus esitatakse.

(26) Terviseandmete hulka kuuluvad eelkõige kõik andmesubjekti tervislikku seisundit käsitlevad andmed; teave üksikisiku registreerimise kohta temale tervishoiuteenuste osutamise eesmärgil; üksikisikuga seonduv teave tervishoiuteenuse eest tasumise või tema õiguse kohta saada tervishoiuteenuseid; number, tähis või eritunnus, mis on üksikisikule määratud tema tuvastamiseks tervishoiuga seotud eesmärkidel; mis tahes teave üksikisiku kohta, mida on kogutud temale tervishoiuteenuste osutamise käigus; teave, mida on saadud mingi kehaosa või kehast pärineva aine, sealhulgas bioloogiliste proovide, kontrollimise või uurimise tulemusena; teave selle isiku kohta, kes on üksikisikule tervishoiuteenust osutanud; ning igasugune teave näiteks haiguse, puude, haigestumisohu, haigusloo, kliinilise ravi ja andmesubjekti tegeliku füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata selle allikast (näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in vitro diagnostika).

(27) ELis asuva vastutava töötleja peamine tegevuskoht tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärki, tingimusi ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel ning stabiilset asukohta. See kriteerium ei tohiks sõltuda sellest, kas isikuandmete töötlemine toimub tegelikult kõnealuses kohas, kuna isikuandmete töötlemise või töötlemistoimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseendast ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid. Volitatud töötleja peamine tegevuskoht on koht, kus asub tema ELi juhtkond.

(28) Kontsern peaks hõlmama kontrollivat ettevõtjat ja tema kontrolli all olevaid ettevõtjaid, kusjuures kontrolliv ettevõtja peaks saama kasutada teiste ettevõtjate üle valitsevat mõju näiteks omanikuna, rahalise osaluse kaudu, põhikirja alusel või volituse kaudu rakendada isikuandmete kaitse eeskirju.

(29) Laste isikuandmed vajavad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud ohtudest, tagajärgedest, kaitsemeetmetest ja oma isikuandmete töötlemisega seonduvatest õigustest. Selleks et määrata kindlaks, kas üksikisik on laps, tuleks käesolevas määruses üle võtta ÜRO lapse õiguste konventsioonis esitatud määratlus.

(30) Isikuandmete igasugune töötlemine peaks olema seaduslik, andmesubjektide suhtes õiglane ja läbipaistev. Eelkõige peaksid olema selged ja õiguspärased andmete töötlemise konkreetsed eesmärgid, mis tuleb kindlaks määrata andmete kogumise ajal. Andmed peaksid olema asjakohased, piisavad ja piirduma töötlemise otstarbe seisukohalt minimaalselt vajalikuga; mistõttu tuleb eelkõige tagada, et andmete kogumine ja nende säilitamise aeg piirduks minimaalsega. Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole võimalik saavutada muude vahendite abil. Tagamaks, et ebatäpsed andmed kustutatakse või parandatakse, tuleks võtta kõik mõistlikud meetmed. Selle tagamiseks, et andmeid ei säilitataks vajalikust kauem, peab vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks.

(31) Töötlemise seaduslikkuse tagamiseks tuleks isikuandmed töödelda asjaomase isiku nõusolekul või muul seaduses, käesolevas määruses või muus käesolevas määruses osutatud ELi või liikmesriigi õiguses ettenähtud õiguslikul alusel.

(32) Kui töötlemine toimub andmesubjekti nõusolekul, peaks vastutaval töötlejal lasuma tõendamiskohustus, et andmesubjekt on töötlemistoimingu heaks kiitnud. Eelkõige muid küsimusi käsitleva kirjaliku avalduse puhul tuleks kaitsemeetmetega tagada, et andmesubjekt on teadlik nõusoleku andmisest ja nõusoleku andmise ulatusest.

(33) Vabatahtliku nõusoleku tagamiseks tuleks täpsustada, et nõusolek ei kujuta endast kehtivat õiguslikku alust siis, kui üksikisikul puudub tegelik ja vaba valik ja ta ei saa seetõttu ilma negatiivsete tagajärgedeta nõusoleku andmisest keelduda või nõusolekut tagasi võtta.

(34) Nõusolek ei tohiks anda isikuandmete töötlemiseks kehtivat õiguslikku alust, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras. Nii on see eriti juhul, kui andmesubjekt sõltub vastutavast töötlejast, muu hulgas juhul, kui tööandja töötleb töövõtjate isikuandmeid töösuhte kontekstis. Juhul kui vastutav töötleja on avaliku sektori asutus, puudub tasakaal ainult selliste konkreetsete andmetöötlustoimingute puhul, mille juures avalik-õiguslik asutus saab kehtestada kohustuse oma asjakohastest avaliku võimu teostamise volitustest tulenevalt ja nõusolekut ei saa lugeda vabalt antuks, võttes arvesse andmesubjekti huve.

(35) Töötlemine peaks olema seaduslik juhul, kui see on vajalik seoses lepinguga või kavandatavaks lepingu sõlmimiseks.

(36) Kui töötlemine toimub vastavalt vastutava töötleja seadusjärgsele kohustusele või kui töötlemine on vajalik avalikes huvides täidetava ülesande täitmiseks või ametliku võimu kasutamiseks, peaks töötlemise õiguslik alus olema sätestatud ELi õiguses või liikmesriigi õiguses, mis vastab Euroopa Liidu põhiõiguste harta nõuetele õiguste ja vabaduste mistahes piiramise osas. See, kas avaliku huviga seotud ülesannet täitev või avalikku võimu teostav vastutav töötleja peaks olema riigiasutus või muu avalik-õiguslik või füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata ELi või liikmesriikide õiguses.

(37) Isikuandmete töötlemist tuleks pidada samaväärselt seaduslikuks ka siis, kui see on vajalik andmesubjekti eluliste huvide kaitsmiseks.

(38) Töötlemise õiguslikuks aluseks võib olla vastutava töötleja õigustatud huvi tingimusel, et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad. See vajab hoolikat hindamist eelkõige juhul, kui andmesubjekt on laps, kuna lapsed vajavad erilist kaitset. Andmesubjektil peaks olema õigus töötlemine vaidlustada tema konkreetse olukorraga seonduvatel põhjustel ja tasuta. Läbipaistvuse tagamiseks peaks vastutav töötleja olema kohustatud andmesubjekti selgesõnaliselt teavitama oma õigustatud huvist asjaomase isiku vastu ja vaidlustamisõigusest ning samuti olema kohustatud need õigustatud huvid dokumenteerima. Arvestades, et avaliku sektori asutuste jaoks peab andmete töötlemise õigusliku aluse õigusaktiga kehtestama seadusandja, ei tuleks nimetatud õiguslikku alust kohaldada avalik-õiguslike asutuste poolse, nende ülesannete täitmiseks teostatava töötlemise puhul.

(39) Andmete töötlemine sellisel määral, mis on tingimata vajalik võrgu- ja infoturbe – s.o võrgu- ja infosüsteemi võime kaitsta end teatava kindlusega õnnetuste või ebaseaduslike või pahatahtlike tegevuste eest, mis seavad ohtu salvestatud või edastatud andmete kättesaadavuse, autentsuse, terviklikkuse ja konfidentsiaalsuse ja nende võrkude ja süsteemide poolt pakutavate või nende kaudu juurdepääsetavate teenuste turvalisuse – tagamiseks avaliku sektori asutuste, infoturbeintsidentidega tegelevate rühmade – CERTide, arvutiturbe juhtumitele reageerimise rühmade – CSIRTide, elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib näiteks sisaldada elektroonilise side võrkudele ebaseadusliku juurdepääsu ja pahatahtliku koodi levitamise takistamist, teenusetõkestamise rünnete ning arvutite ja elektroonilise side süsteemide kahjustamise peatamist.

(40) Isikuandmete töötlemine muul eesmärgil peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks andmed algselt koguti, eelkõige juhul, kui töötlemine on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil. Kui muu eesmärk ei ole kooskõlas eesmärgiga, mille jaoks andmed algselt koguti, peaks vastutav töötleja andmete nimetatud muul eesmärgil töötlemiseks saama andmesubjekti nõusoleku või valima töötlemiseks seadusliku töötlemise muu õigusliku aluse, eelkõige kui see on ette nähtud ELi või selle liikmesriigi õigusega, mille õigust vastutava töötleja suhtes kohaldatakse. Igal juhul tuleks tagada käesolevas määruses sätestatud põhimõtete kohaldamine ja eelkõige andmesubjekti teavitamine kõnealustest muudest eesmärkidest.

(41) Oma loomult põhiõiguste ja eraelu puutumatuse seisukohast eriti tundlikud ja haavatavad isikuandmed vajavad erilist kaitset. Neid andmeid ei tohiks töödelda, välja arvatud juhul, kui andmesubjekt annab oma selgesõnalise nõusoleku. Erivajaduste puhul tuleks aga selgesõnaliselt sätestada käesolevast keelust tehtavad erandid, eelkõige juhul, kui töötlemine toimub teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

(42) Tundlike andmeliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka seaduse alusel ja rakendades asjakohaseid kaitsemeetmeid, et kaitsta isikuandmeid ja muid põhiõigusi, kui seda õigustab avalik huvi, eelkõige tervishoiu, sealhulgas rahvatervise, sotsiaalkaitse ja tervishoiuteenuste korraldamise valdkonnas eelkõige selleks, et tagada hüvitisenõuete rahuldamise kord ja teenuste kvaliteet ning tasuvus tervisekindlustuse puhul, või ajaloo- või statistikauurimuste ning teadustöö eesmärgil.

(43) Lisaks sellele töötlevad ametiasutused isikuandmeid avalike huvidega seotud eesmärgil ametlikult tunnustatud religioossete ühenduste konstitutsiooniõiguses või rahvusvahelises avalikus õiguses sätestatud eesmärkide saavutamiseks.

(44) Kui valimisprotsessi käigus eeldab liikmesriigi demokraatlik süsteem, et poliitilised parteid koguvad andmeid inimeste poliitiliste veendumuste kohta, võib selliste andmete töötlemine olla lubatud avalike huvidega seotud põhjustel ja tingimusel, et rakendatakse vajalikke kaitsemeetmeid.

(45) Juhul kui vastutav töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima lisateavet ainult käesoleva määruse järgimiseks. Juurdepääsutaotluse korral on vastutaval töötlejal õigus küsida andmesubjektilt lisateavet, mis võimaldaks vastutaval töötlejal leida isikuandmed, mida see isik otsib.

(46) Läbipaistvuspõhimõte nõuab, et üldsusele ja andmesubjektile suunatud teave peaks olema lihtsalt kättesaadav, arusaadav ning selgelt ja lihtsalt sõnastatud. Eriti asjakohane on see sellistes olukordades nagu näiteks veebireklaam, mille puhul osapoolte arvukuse ja tehnoloogilise keerukuse tõttu on andmesubjektil keeruline teada saada ja mõista, kas kogutakse nende isikuandmeid, kes neid kogub ja millisel eesmärgil. Arvestades, et lapsed vajavad erilist kaitset, peaks laste isikuandmete töötlemisel kogu teave olema ja suhtlemine toimuma selges ja lihtsas keeles, mida laps kergesti mõistab.

(47) Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil tasuta taotleda eelkõige juurdepääsu andmetele, õigust andmeid parandada ja kustutada ning kasutada vaidlustamisõigust. Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele kindlaksmääratud tähtaja jooksul ning vastamisest keeldumise korral seda põhjendama.

(48) Õiglase ja läbipaistva töötlemise põhimõte nõuab, et andmesubjekti tuleks teavitada eelkõige töötlemistoimingu tegemisest ja selle eesmärkidest ning andmete säilitamise tähtajast, nendega tutvumise, nende muutmise ja kustutamise nõudmise ning kaebuse esitamise õigusest. Kui andmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid esitama, ja andmete esitamata jätmise tagajärgedest.

(49) Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle asjaoludest olenevalt kas kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid ei koguta andmesubjektilt. Kui andmeid võib õiguspäraselt avaldada muule isikule, teavitatakse andmesubjekti sellest andmete esmakordsel avaldamisel.

(50) Sellist kohustust ei pea siiski kehtestama juhul, kui andmesubjektil on see teave juba olemas või juhul, kui andmete kogumine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suuri jõupingutusi. Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui töötlemine toimub ajaloo- või statistikauurimuste ning teadustöö eesmärgil; sellisel juhul võib arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki vastuvõetud kompenseerivaid meetmeid.

(51) Selleks, et töötlemisest teada ja kontrollida selle seaduslikkust, peaks igaühel olema õigus tutvuda andmetega, mis on tema kohta kogutud, ja õigus selle õiguse lihtsale kasutamisele. Igal andmesubjektil peaks seega olema õigus teada eelkõige andmete töötlemise eesmärke, ajavahemikku, andmete saajaid, töödeldavate andmete loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt profiilianalüüsi korral) ning saada eelneva kohta teavet. See õigus ei tohiks kahjustada teiste isikute õigusi ja vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla see, et andmesubjektile ei anta üldse teavet.

(52) Vastutav töötleja peaks kasutama juurdepääsu taotleva andmesubjekti isiku tuvastamiseks kõiki mõistlikke meetmeid, seda eelkõige sidusteenuste ja veebiidentifikaatorite korral. Vastutav töötleja ei tohiks isikuandmeid säilitada üksnes selleks, et suuta reageerida võimalikele päringutele.

(53) Igal isikul peaks olema õigus teda käsitlevate isikuandmete parandamisele ja õigus olla unustatud juhul, kui selliste andmete säilitamine ei ole kooskõlas käesoleva määrusega. Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui andmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on loobunud oma töötlemisele antud nõusolekust või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele. Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada. Andmete jätkuv säilitamine peaks olema lubatud aga juhul, kui see on vajalik ajaloo- või statistikauurimuste ning teadustöö eesmärgil, rahvatervise valdkonna avalikes huvides, seadusega tagatud väljendusvabaduse õiguse kasutamiseks või kui esineb andmete töötlemise piiramise, mitte nende kustutamise põhjus.

(54) Selleks et tugevdada võrgukeskkonnas õigust olla unustatud, tuleks laiendada õigust andmete kustutamisele selliselt, et isikuandmed avaldanud vastutav töötleja on kohustatud teavitama andmeid töötlevaid kolmandaid isikuid andmesubjekti taotlusest kustutada mis tahes lingid nimetatud isikuandmetele ja andmekoopiad ja -kordused. Teavitamise tagamiseks peaks vastutav töötleja võtma kõik mõistlikud meetmed, sealhulgas tehnilised meetmed, mis on seotud andmetega, mille avaldamise eest vastutav töötleja vastutab. Kui isikuandmed avaldab kolmas isik, peaks avaldamise eest vastutama kolmandale isikule avaldamise loa andnud vastutav töötleja.

(55) Selleks et tugevdada kontrolli oma andmete ja nendega tutvumise õiguse üle, peaks andmesubjektidel olema struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise puhul õigus saada neid käsitlevate andmete koopia samuti üldkasutatavas elektroonilises vormingus. Andmesubjektil peaks olema võimalik edastada enda esitatud andmeid ühest automatiseeritud rakendusest (näiteks sotsiaalvõrgustikust) teise. Seda tuleks kohaldada juhul, kui andmesubjekt esitas andmed automatiseeritud töötlemissüsteemi nõusoleku alusel või lepingu täitmisel.

(56) Juhul kui isikuandmeid võib seaduslikult töödelda andmesubjekti eluliste huvide kaitsmiseks, ametiasutuse avalikes huvides või vastutava töötleja õiguspärastes huvides, on igal andmesubjektil ikkagi õigus teda käsitlevate andmete töötlemine vaidlustada. Tõendamiskohustus peaks lasuma vastutaval töötlejal, kes peaks tõendama, et tema õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

(57) Kui isikuandmeid töödeldakse otseturunduse eesmärgil, peaks olema andmesubjektil õigus selline töötlemine tasuta, lihtsalt ja tulemuslikult vaidlustada.

(58) Igal füüsilisel isikul peaks olema õigus sellele, et tema suhtes ei kohaldata automatiseeritud töötlemise teel tehtaval profiilianalüüsil põhinevat meedet. Selline meede peaks olema lubatud aga siis, kui see on selgesõnaliselt lubatud seadusega, seda kasutatakse lepingu sõlmimisel või täitmisel või siis, kui andmesubjekt on selleks andnud oma nõusoleku. Igal juhul tuleks sellise töötlemise korral kohaldada sobivaid kaitsemeetmeid, kaasa arvatud andmesubjektile antavat konkreetset teavet, õigust otsesele isiklikule kontaktile ning seda, et sellist meedet ei tohiks kohaldata lapse puhul.

(59) Konkreetsete põhimõtete, õiguste saada seoses isikuandmetega teavet, nendega andmetega tutvuda, neid parandada ja kustutada, õiguse andmete ülekantavusele, vaidlustamisõiguse, profiilianalüüsil põhinevate meetmete, andmesubjekti isikuandmetega seotud rikkumisest teavitamise ning vastutavate töötlejate teatavate seonduvate kohustuste piirangud võib kehtestada ELi või liikmesriikide õigusaktidega, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetuste korral, kuritegude ja reguleeritud kutsealade ametieetika rikkumise tõkestamine, uurimine ja nende eest vastutusele võtmine, ELi või liikmesriigi muu avalik huvi, eelkõige ELi või liikmesriigi oluline majandus- või finantshuvi, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse. Nimetatud piirangud peaksid vastama Euroopa Liidu põhiõiguste hartas ning inimõiguste ja põhivabaduste kaitse Euroopa konventsioonis sätestatud nõuetele.

(60) Tuleks kehtestada vastutava töötleja laialdane vastutus temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest. Eelkõige peaks vastutav töötleja tagama iga töötlemistoimingu kooskõla käesoleva määrusega, samuti on ta kohustatud seda kooskõla tõendama.

(61) Andmesubjektide õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete võtmist nii töötlemise kavandamise kui ka töötlemise ajal, et tagada käesoleva määruse nõuete täitmine. Käesoleva määruse täitmise tagamiseks ja selle tõendamiseks peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama asjakohaseid meetmeid, mis vastavad eelkõige isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele.

(62) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas järelevalveasutuste teostatava kontrolli ja võetavate meetmete korral nõuab vastutusvaldkondade selget jaotamist käesolevas määruses, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid koos teiste vastutavate töötlejatega või kui töötlemistoimingut teostatakse vastutava töötleja nimel.

(63) Kui väljaspool ELi asuv vastutav töötleja töötleb ELis elavate andmesubjektide isikuandmeid ja tema töötlemistoimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele või nende käitumise jälgimisega, peaks vastutav töötleja nimetama esindaja, välja arvatud juhul, kui vastutav töötleja asub kolmandas riigis, mis tagab kaitse piisava taseme, vastutava töötleja on väike- või keskmise suurusega ettevõte, avaliku sektori asutus või organ või kui vastutav töötleja pakub sellistele andmesubjektidele kaupu või teenuseid ainult juhuti. Esindaja peaks tegutsema vastutava töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused.

(64) Selleks et määrata kindlaks, kas vastutav töötleja pakub ELis elavatele andmesubjektidele kaupu ja teenuseid ainult juhuti, tuleks kontrollida, kas vastutava töötleja kogu tegevuse põhjal on ilmne, et sellistele andmesubjektidele kaupade ja teenuste pakkumine on tema kõrvaltegevus.

(65) Käesoleva määruse täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja dokumenteerima iga töötlemistoimingu. Iga vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse korral kättesaadavaks, et neid saaks kasutada nimetatud töötlemistoimingute kontrollimiseks.

(66) Turvalisuse tagamiseks ja käesoleva määruse vastase töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohte ja rakendama meetmeid asjaomaste riskide leevendamiseks. Võttes arvesse tehnika taset ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, mis vastaks ohtudele ja kaitstavate isikuandmete laadile. Töötlemise turvalisuse tagamiseks tehniliste standardite ja korralduslike meetmete kehtestamisel peaks komisjon edendama tehnoloogia neutraalsust, koostalitusvõimet ja innovatsiooni ning vajaduse korral koostööd kolmandate riikidega.

(67) Isikuandmetega seotud rikkumisega võib asjaomasele üksikisikule kaasneda oluline majanduslik ja sotsiaalne kahju, sealhulgas identiteedipettus, kui sellega piisavalt ja õigeaegselt ei tegelda. Seetõttu niipea, kui vastutav töötleja sellise rikkumise toimumisest teada saab, peaks ta teatama rikkumisest viivitamata järelevalveasutusele, tehes seda võimaluse korral 24 tunni jooksul. Kui 24 tunni jooksul teatamine ei ole võimalik, tuleks lisada teatisele selle hilinemise põhjused. Üksikisikut, kelle isikuandmeid rikkumine kahjustada võib, tuleks teavitada põhjendamatu viivituseta, et nad saaksid võtta vajalikke ettevaatusabinõusid. Rikkumist tuleks pidada andmesubjekti isikuandmeid ja eraelu puutumatust kahjustavaks juhul, kui selle tulemuseks võib olla identiteedivargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine. Teatises tuleks kirjeldada isikuandmetega seotud rikkumise olemust, samuti tuleks anda asjaomasele üksikisikule soovitusi võimaliku kahjuliku mõju leevendamiseks. Teatis tuleks saata andmesubjektile nii kiiresti kui võimalik ning tihedas koostöös järelevalveasutusega, pidades kinni tema või muude asjakohaste asutuste (nt õiguskaitseasutuste) suunistest. Näiteks andmesubjekti võimalus vähendada kahju tekkimise otsest ohtu nõuab tema operatiivset teavitamist, samas kui võimalus rakendada asjakohaseid meetmeid isikuandmetega seonduvate jätkuvate või samalaadsete rikkumiste vastu võib õigustada pikemat tähtaega.

(68) Selleks et määrata kindlaks, kas isikuandmetega seotud rikkumisest on teatatud järelevalveasutusele ja andmesubjektile asjatu viivituseta, tuleks kontrollida, kas vastutav töötleja on rakendanud ja kohaldanud asjakohaseid tehnoloogilise kaitse ja korralduslikke meetmeid, et viivitamata kindlaks teha, kas isikuandmetega seotud rikkumine on toimunud, ning teavitada sellest viivitamata järelevalveasutust ning andmesubjekti, enne kui kahjustatakse isiklikke ja majandushuve kaitsmisele, võttes arvesse eelkõige isikuandmetega seotud rikkumise laadi, tõsidust ja tagajärgi ning kahjulikku mõju andmesubjektile.

(69) Isikuandmetega seotud rikkumisest teatamise vormide ja korra kohta üksikasjalike eeskirjade koostamisel tuleks võtta arvesse ka rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid kodeeritud või mõnel muul sellisel moel kaitstud asjakohaste tehniliste kaitsemeetmetega, mis vähendab tõhusalt identiteedipettuse või muu väärkasutuse tõenäosust. Lisaks tuleks sellistes eeskirjades ja korras arvesse võtta õiguskaitseasutuste õigustatud huve juhtudel, kui varajane avalikustamine võib tarbetult takistada rikkumise asjaolude uurimist.

(70) Direktiivis 95/46/EÜ nähti ette üldine kohustus teatada isikuandmete töötlemisest järelevalveasutustele. Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid see ei aidanud alati parandada isikuandmete kaitset. Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada see tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile töötlemistoimingutele, mis oma laadi, ulatuse või eesmärgi poolest võivad endast tõenäoliselt kujutada konkreetset ohtu andmesubjektide õigustele ja vabadustele. Sellistel juhtudel peaks vastutav töötleja või volitatud töötleja koostama enne töötlemist isikuandmete kaitse alase mõjuhinnangu, mis peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

(71) Seda tuleks eelkõige kohaldada hiljuti loodud suurte toimikusüsteemide puhul, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ning mis võivad mõjutada paljusid andmesubjekte.

(72) On juhtumeid, mille puhul võib olla mõistlik ja säästlik hõlmata isikuandmete kaitse alase mõjuhinnanguga rohkem kui üht projekti, näiteks juhul, kui avaliku sektori asutused või organid kavatsevad kasutusele võtta ühise rakenduse või töötlemisplatvormi või mitu vastutavat töötlejat kavatseb kasutusele võtta ühise rakenduse või töötlemiskeskkonna terves tööstusharus või allharus või laialdaselt kasutatava horisontaalse tegevuse puhul.

(73) Kui isikuandmete kaitse alaseid mõjuhinnanguid ei ole koostatud juba selliste siseriiklike õigusaktide vastuvõtmisel, millele avaliku sektori asutuse või organi ülesannete täitmine tugineb ja millega reguleeritakse kõnealuseid konkreetseid töötlustoiminguid või nende kogumit, peaks avaliku sektori asutus või organ koostama sellise mõjuhinnangu.

(74) Kui isikuandmete kaitse alasest mõjuhinnangust ilmneb, et töötlemistoimingud või konkreetse uue tehnoloogia kasutuselevõtt on seotud mitmete konkreetsete ohtudega andmesubjektide õigustele ja vabadustele, näiteks jättes üksikisikud ilma nende õigustest, konsulteeritakse enne tegevuse alustamist järelevalveasutusega ohtliku töötlemise asjus, mis ei pruugi käesoleva määrusega kooskõlas olla, ning tegemaks ettepanekuid sellise olukorra lahendamiseks. Selline konsulteerimine peaks toimuma ka siis, kui valmistatakse ette kas liikmesriigi parlamendi meedet või sellisel õigusaktil põhinevat meedet, millega määratakse kindlaks töötlemise laad ja nähakse ette vajalikud kaitsemeetmed.

(75) Kui töötlemine toimub avalikus sektoris või erasektoris suurettevõtte poolt või kui ettevõtte põhitegevus, olenemata tema suurusest, hõlmab töötlustoiminguid, mis nõuavad regulaarset ja süstemaatilist järelevalvet, peaks vastutavat töötlejat või volitatud töötlejat abistama isik, kes kontrollib käesoleva määruse täitmist asutuse poolt. Sellistel andmekaitseametnikel, olgu nad siis vastutava töötleja töövõtjad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatult.

(76) Vastutavate töötlejate eri kategooriaid esindavaid ühendusi ja muid organeid tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse konkreetsetes sektorites toimuva töötlemise eriomadusi.

(77) Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, isikuandmete kaitse pitserite ja märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti hinnata asjakohaste toodete ja teenuste isikuandmete kaitse taset.

(78) Isikuandmete liikumine üle piiride on vajalik rahvusvahelise kaubanduse ja koostöö laiendamiseks. Nimetatud voogude suurenemine on laiendanud isikuandmete kaitsega seonduvate probleemide ringi. Isikuandmete edastamisel EList kolmandatele riikidele ja rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada ELis käesoleva määrusega tagatud üksikisikute kaitse taset. Igal juhul tohib andmeid kolmandatele riikidele edastada ainult käesolevat määrust täielikult järgides.

(79) Käesolev määrus ei piira ELi ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid.

(80) Komisjon võib terve ELi osas otsustada, et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel, tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava taseme. Sellisel juhul võib isikuandmete edastamine kõnealustesse riikidesse toimuda ilma täiendava loata.

(81) Kooskõlas põhiväärtustega, millele EL on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi hindamisel arvesse võtma seda, kuidas asjaomane kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest.

(82) Samuti võib komisjon tunnistada, et kolmas riik, kolmanda riigi territoorium või töötlemissektor või rahvusvaheline organisatsioon ei paku isikuandmete kaitset piisaval tasemel. Sellest tulenevalt peaks olema keelatud isikuandmete edastamine kõnealusele kolmandale riigile. Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid.

(83) Kaitse piisavust käsitleva otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et tasakaalustada kolmanda riigi isikuandmete kaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad ettevõtluseeskirjad, komisjoni vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse vastu võetud standardsed isikuandmete kaitse klauslid, järelevalveasutuse heaks kiidetud lepingusätted ning muud kohased ja proportsionaalsed meetmed, mis on põhjendatud andmete edastamise toimingu(te) kõigi asjaoludega ja mille järelevalveasutus on heaks kiitnud.

(84) Vastutavale töötlejale ja volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid isikuandmete kaitse klausleid ei tohiks välistada vastutava töötleja ja volitatud töötleja võimalust lisada standardsed isikuandmete kaitse klauslid põhjalikumasse lepingusse ega võimalust lisada muid sätteid, kui need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud standardsete isikuandmete kaitse klauslitega ega piira andmesubjektide põhiõigusi ja -vabadusi.

(85) Kontsern peaks saama andmete rahvusvahelise edastamise korral EList samasse kontserni kuuluvatele organisatsioonidele kasutada heakskiidetud siduvaid ettevõtluseeskirju, kui sellised eeskirjad hõlmavad olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada sobivad kaitsemeetmed isikuandmete edastamise eri liikide puhul.

(86) Andmete edastamine peaks olema võimalik teatavatel asjaoludel, kui andmesubjekt on andnud oma nõusoleku, kui edastamine on vajalik seoses lepingu või kohtumenetlusega, kui seda nõuab ELi või liikmesriikide õiguses sätestatud kaalukas avalik huvi või kui edastatakse seadusega loodud ja avalikkusele või kõigile õigustatud huviga isikutele tutvumiseks avatud registrist pärinevaid andmeid. Viimati nimetatud juhul ei tohiks edastada kõiki andmeid ega registris sisalduvate andmete kõiki liike ja juhul, kui register on mõeldud tutvumiseks õigustatud huviga isikutele, tuleks andmed edastada ainult kõnealuste isikute taotluse korral või juhul, kui nemad on andmete vastuvõtjad.

(87) Nimetatud erandid on asjakohased eelkõige selliste andmeedastustoimingute puhul, mis on vajalikud kaaluka avaliku huvi kaitsmiseks, näiteks andmete rahvusvahelisel edastamisel konkurentsi-, maksu- ja tolli-, finantsjärelevalve-, sotsiaalkindlustus- ning kuritegude tõkestamises, uurimises, avastamises või kuritegude eest vastutusele võtmises pädevate asutuste vahel.

(88) Edastamine, mida ei saa pidada sagedaseks ega mahukaks, võib samuti toimuda vastutava töötleja või volitatud töötleja õigustatud huvides, kui ta on hinnanud andmeedastustoimingu kõiki asjaolusid. Isikuandmete töötlemise korral ajaloo- või statistikauurimuste ning teadustöö eesmärgil tuleks arvesse võtta ühiskonna õiguspäraseid ootusi laialdasemate teadmiste osas.

(89) Kõigil juhtudel, kui komisjon ei ole teinud otsust kolmanda riigi isikuandmete kaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, mis annavad andmesubjektidele tagatise, et neil on pärast neid käsitlevate andmete edastamist samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid, kui andmete töötlemise korral liidus.

(90) Mõned kolmandad riigid kehtestavad seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide jurisdiktsiooni alla kuuluvate füüsiliste ja juriidiliste isikute andmetöötlustoiminguid. Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada ELis käesoleva määrusega tagatud üksikisikute kaitse taseme saavutamist. . Edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta. Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas ELi või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse. Komisjon peaks täpsustama kaaluka avaliku huvi esinemise tingimusi delegeeritud õigusaktiga.

(91) Isikuandmete liikumine üle piiride võib raskendada üksikisikute võimalusi kasutada õigust isikuandmete kaitsele, eelkõige kaitsta end nimetatud teabe ebaseadusliku kasutamise ja avaldamise eest. Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega teostada uurimist väljapoole oma riigi piire jäävates küsimustes. Nende piiriülese koostöö püüdlusi võivad takistada ka ebapiisavad volitused tõkestamisel ja olukordade parandamisel, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid. Seepärast on vaja tihendada isikuandmete kaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet ja teostada uurimist koos teiste riikide järelevalveasutustega.

(92) Liikmesriikides täiesti sõltumatult oma tööülesandeid täitvate järelevalveasutuste loomine on oluline tegur üksikisikute kaitsmisel seoses nende isikuandmete töötlemisega. Liikmesriik võib luua mitu järelevalveasutust, et arvestada nende põhiseaduslikku, organisatsioonilist ja haldusstruktuuri.

(93) Kui liikmesriik loob mitu järelevalveasutust, peaks ta seadusega kehtestama mehhanismid, millega tagatakse nende järelevalveasutuste tõhus osalemine järjepidevuse mehhanismis. Eelkõige peaks kõnealune liikmesriik määrama järelevalveasutuse, kes tegutseb keskse kontaktpunktina nende asutuste tõhusaks osalemiseks mehhanismis, et tagada kiire ja takistusteta koostöö teiste järelevalveasutustega, Euroopa Andmekaitsenõukogu ja komisjoniga.

(94) Igale järelevalveasutusele tuleks anda piisavad rahalised ja inimressursid, hooned ja infrastruktuur, mis on vajalikud nende ülesannete, sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks.

(95) Järelevalveasutuse liikmetele esitatavad üldtingimused tuleks kehtestada igas liikmesriigis seadusega ning eelkõige tuleks ette näha see, et liikmed peaks ametisse nimetama kas liikmesriigi parlament või valitsus, ning eeskirjad liikmete isikliku kvalifikatsiooni ja ametiseisundi kohta.

(96) Järelevalveasutused jälgivad käesoleva määruse kohaldamist ja aitavad kaasa selle ühtsele kohaldamisele terves ELis, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga.

(97) Kui ELis asuva vastutava töötleja või volitatud töötleja tegevuse raames töödeldakse isikuandmeid mitmes liikmesriigis, peaks kontrollima vastutava töötleja või volitatud töötleja tervet ELi hõlmavat tegevust ja võtma vastu seonduvad otsused üks järelevalveasutus, et parandada kohaldamise järjepidevust, õiguskindlust ja vähendada asjaomaste vastutavate töötlejate ja volitatud töötlejate halduskoormust.

(98) Selliseks ühtseks kontaktpunktiks olev pädev asutus on selle liikmesriigi järelevalveasutus, kus on vastutava töötleja või volitatud töötleja peamine tegevuskoht.

(99) Kuigi käesolevat määrust kohaldatakse ka liikmesriikide kohtute tegevuse suhtes, ei peaks järelevalveasutuste pädevus selleks, et kaitsta kohtunike sõltumatust nende ülesannete täitmisel, hõlmama isikuandmete töötlemist juhul, kui kohtud tegutsevad oma õigusliku pädevuse piires. Kõnealune erand peaks siiski rangelt piirduma õiguskaitseasutuste tegevusega kohtuasjades ega tohiks laieneda muule tegevusele, millega kohtunikud võivad olla seotud vastavalt siseriiklikele õigusaktidele.

(100) Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja volitused, sealhulgas uurimis-, õiguslikult siduva sekkumise, otsuste tegemise ja sanktsioonide kehtestamise volitused, eelkõige üksikisikute esitatud kaebuste puhul, ning volitused osaleda kohtumenetlustes. Järelevalveasutuste uurimisvolitusi seoses juurdepääsuga ruumidele tuleks kasutada kooskõlas ELi ja liikmesriikide õigusega. Eelkõige on see nii kohtu eelneva loa hankimise nõude puhul.

(101) Iga järelevalveasutus peaks võtma vastu andmesubjekti esitatud kaebuse ja küsimust uurima. Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile.

(102) Järelevalveasutuste avalikkusele suunatud teadlikkuse tõstmise meetmed peaksid hõlmama volitatud töötlejatele, sealhulgas mikro-, väike- ja keskmise suurusega ettevõtetele ning andmesubjektidele suunatud konkreetseid meetmeid.

(103) Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva määruse järjekindel kohaldamine ja täitmine siseturul.

(104) Igal järelevalveasutusel peaks olema õigus osaleda järelevalveasutuste ühisoperatsioonides. Taotluse saanud järelevalveasutus peaks olema kohustatud taotlusele vastama kindlaksmääratud ajavahemiku jooksul.

(105) Selleks et tagada käesoleva määruse ühtne kohaldamine terves ELis, tuleks kehtestada järelevalveasutuste vaheliseks ja komisjoniga tehtavaks koostööks järjepidevuse mehhanism. Kõnealust mehhanismi tuleks kohaldada eelkõige siis, kui järelevalveasutus kavatseb võtta meetmeid seoses töötlustoimingutega, mis on seotud kaupade või teenuste pakkumisega mitmes liikmesriigis asuvatele andmesubjektidele või selliste andmesubjektide jälgimisega või mis võivad oluliselt mõjutada isikuandmete vaba liikumist. Mehhanismi tuleks kohaldada ka siis, kui mis tahes järelevalveasutus või komisjon taotleb küsimuse käsitlemist järjepidevuse mehhanismi raames. Nimetatud mehhanism ei tohi piirata mis tahes meedet, mida komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel.

(106) Järjepidevuse mehhanismi kohaldamise korral peaks Euroopa Andmekaitsenõukogu esitama kindlaksmääratud ajavahemiku jooksul oma arvamuse, kui nii otsustatakse liikmete lihthäälteenamusega või kui seda taotleb mis tahes järelevalveasutus või komisjon.

(107) Selleks et tagada käesoleva määruse järgimine, võib komisjon vastu võtta käesolevat valdkonda käsitleva arvamuse või otsuse, mille alusel peab järelevalveasutus oma kavandatava meetme peatama.

(108) Selleks et kaitsta andmesubjektide huve, võib olla vaja tegutseda kiiresti, eriti siis, kui on olemas oht, et andmesubjekti õiguse kohtuliku kaitsmise võimalust võidakse märkimisväärselt takistada. Seetõttu peaks järelevalveasutusel olema võimalik võtta järjepidevuse mehhanismi kohaldamise korral konkreetse kehtivusajaga ajutisi meetmeid.

(109) Kõnealuse mehhanismi kohaldamine peaks olema järelevalveasutuse vastava otsuse õiguspärasuse ja täitmisele pööramise tingimus. Teistel piiriülese tähtsusega juhtudel võivad asjaomased järelevalveasutused kahepoolselt või mitmepoolselt pakkuda vastastikust abi ja teostada ühist uurimist, kasutamata selleks järjepidevuse mehhanismi.

(110) ELi tasandil tuleks luua Euroopa Andmekaitsenõukogu. See peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma üksikisikute kaitseks seoses isikuandmete töötlemisega. Sinna peaksid kuuluma iga liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor. Komisjon peaks osalema nõukogu tegevuses. Euroopa Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamine terves ELis, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste koostööd terves ELis. Euroopa Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult.

(111) Igal andmesubjektil peaks olema õigus esitada kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus õiguskaitsevahendile, kui ta on seisukohal, et tema käesolevast määrusest tulenevaid õigusi on rikutud, või kui järelevalveasutus ei reageeri kaebusele ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks.

(112) Mis tahes asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusi ja huve ja mis on loodud liikmesriigi õigusakti alusel, peaks olema õigus esitada järelevalveasutusele kaebus või kasutada õigust õiguskaitsevahendile andmesubjektide nimel või esitada andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et on toimunud isikuandmetega seotud rikkumine.

(113) Iga füüsilisel ja juriidilisel isikul peaks olema õigus õiguskaitsevahendile järelevalveasutuse teda käsitleva otsuse puhul. Järelevalveasutuse vastane hagi tuleks esitada selle liikmesriigi kohtutele, kus järelevalveasutus asub.

(114) Andmesubjekti õiguskaitse parandamiseks olukorras, kus pädev järelevalveasutus asub liikmesriigis, mis ei ole andmesubjekti elukohariik, võib andmesubjekt paluda mis tahes asutusel, organisatsioonil või ühingul, mille eesmärk on kaitsta andmesubjektide andmete kaitsega seonduvaid õigusi ja huve, esitada andmesubjekti nimel hagi kõnealuse järelevalveasutuse vastu teise liikmesriigi pädevale kohtule.

(115) Olukorras, kus teises liikmesriigis asuv pädev järelevalveasutus ei võta seoses kaebusega meetmeid või on tema võetud meetmed ebapiisavad, võib andmesubjekt esitada oma tavapärases elukohariigis asuvale järelevalveasutusele taotluse, et see esitaks teise liikmesriigi pädevale kohtule hagi teise liikmesriigi järelevalveasutuse vastu. Taotluse saanud järelevalveasutus võib otsustada, kas taotluse vastuvõtmine on asjakohane või mitte ning tema otsuse võib kohtulikult läbi vaadata.

(116) Vastutava töötleja või volitatud töötleja vastase hagi korral peaks hagejal olema võimalus esitada hagi kohtule liikmesriigis, kus vastutav töötleja või volitatud töötleja asub või andmesubjekti elukohariigis, välja arvatud juhul, kui vastutav töötleja on avaliku sektori asutus, kes teostab oma avalikku võimu.

(117) Kui on tõendeid, et üheaegselt on käimas kohtumenetlused erinevates liikmesriikides, peaksid kohtud üksteisega ühendust võtma. Kohtutel peaks olema võimalus kohtuasi lõpetada juhul, kui on pooleli paralleelne menetlus teises liikmesriigis. Liikmesriigid peaksid tagama, et kohtumenetluste tulemuslikkuse tagamiseks peaks olema võimalik kiiresti võtta meetmeid käesoleva määruse rikkumise heastamiseks või ärahoidmiseks.

(118) Igasuguse kahju, mida üksikisikule võib põhjustada ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud töötleja, kuid ta võidakse sellest kohustusest vabastada, kui ta tõestab, et ta ei ole kahju eest vastutav, seda eelkõige andmesubjekti süü või vääramatu jõu korral.

(119) Igale eraõiguslikule või avalik-õiguslikule isikule, kes ei järgi käesolevat määrust, tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on tõhusad, proportsionaalsed ja hoiatavad ning nad peaksid võtma kõik meetmed karistuste täitmisele pööramiseks.

(120) Selleks et tugevdada ja ühtlustada halduskaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused karistada haldusrikkumiste eest. Käesolevas määruses tuleks loetleda need rikkumised ja sätestada asjaomase haldustrahvi ülemmäär, mis tuleks iga juhtumi puhul eraldi kindlaks määrata vastavalt konkreetsele olukorrale, eelkõige silmas pidades rikkumise laadi, raskusastet ja ajalist kestvust. Halduskaristuste kohaldamise erinevuste kompenseerimiseks võib kasutada ka järjepidevuse mehhanismi.

(121) Juhul kui isikuandmeid töödeldakse ainult ajakirjanduse jaoks või kunstilise või kirjandusliku eneseväljenduse huvides, tuleks kohaldada erandit käesoleva määruse teatavate sätete nõuetest, et viia omavahel vastavusse isikuandmete kaitse õigus ja väljendusvabadusõigus, eelkõige Euroopa Liidu põhiõiguste harta artikliga 11 tagatud õigus saada ja levitada teavet. Seda tuleks kohaldada eelkõige isikuandmete töötlemise suhtes audiovisuaalvaldkonnas ning uudiste arhiivide ja perioodikaraamatukogude puhul. Seepärast peaksid liikmesriigid vastu võtma õigusaktid, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamise eesmärgil. Sellised vabastused ja erandid peaksid liikmesriigid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste ning koostöö ja ühtsuse kohta. Liikmesriigid ei tohiks siiski kehtestada erandeid käesoleva määruse muudest sätetest. Selleks et võtta arvesse väljendusvabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone, näiteks ajakirjandust, üldiselt. Seepärast peaksid liikmesriigid klassifitseerima käesoleva määrusega kehtestatavate vabastuste ja erandite seisukohast tegevuse „ajakirjanduslikuna” siis, kui tegevuse eesmärk on üldsusele teabe, arvamuste või ideede avaldamine, sõltumata nende edastamise kanalist. Tegevus ei tohiks piirduda meediaettevõtjatega ning see võib toimuda tulunduslikel või mittetulunduslikel eesmärkidel.

(122) Terviseandmete kui põhjalikumat kaitset vääriva andmete eriliigi töötlemist põhjendatakse tihti mitme seadusliku põhjusega, näiteks üksikisiku ja terve ühiskonna kasuga, eelkõige piiriülese tervishoiu järjepidevuse tagamise kontekstis. Seetõttu tuleks käesoleva määrusega ühtlustada terviseandmete töötlemine, mille puhul rakendatakse konkreetseid ja sobivaid kaitsemeetmeid, et kaitsta üksikisikute põhiõigusi ja isikuandmeid. See hõlmab üksikisikute õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised.

(123) Terviseandmete töötlemine (ilma andmesubjekti nõusolekuta) võib olla avalikes huvides vajalik näiteks rahvatervise valdkonnas. Selles kontekstis tõlgendatakse „rahvatervist” Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määruse (EÜ) nr 1338/2008 (rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta) mõistes, mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, täpsemalt terviseseisund, sealhulgas haigestumus ja puuded, terviseseisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused. Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud, näiteks tööandjad, kindlustus- ja pangandusettevõtjad.

(124) Üksikisikute kaitse põhimõtteid nende isikuandmete töötlemisel tuleks kohaldada ka töösuhte kontekstis. Selleks et reguleerida töövõtjate isikuandmete töötlemist töösuhte kontekstis, peaksid liikmesriigid seetõttu suutma kooskõlas käesoleva määrusega õigusaktiga vastu võtta isikuandmete töötlemise erieeskirjad töösuhte kontekstis.

(125) Selleks et isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil oleks seaduslik, tuleb selle juures järgida ka muid asjaomaseid õigusakte, näiteks kliinilisi uuringuid käsitlevaid õigusakte.

(126) Käesoleva määruse tähenduses hõlmab teadustegevus alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid, lisaks tuleks seejuures arvesse võtta Euroopa Liidu toimimise lepingu artikli 179 lõikes 1 sätestatud ELi eesmärki luua Euroopa teadusruum.

(127) Seoses järelevalveasutuste volitustega saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs isikuandmetele ning ruumidele, võivad liikmesriigid õigusaktiga ja käesoleva määruse piires vastu võtta konkreetseid eeskirju, et kaitsta äri- ja muude samaväärsete saladuse hoidmise kohustusi niivõrd, kuivõrd see on vajalik isikuandmete kaitse õiguse ja saladuse hoidmise kohustuse ühildamiseks.

(128) Käesolev määrus austab ega piira staatust, mis siseriikliku õiguse kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud Euroopa Liidu toimimise lepingu artiklis 17. Seega, kui liikmesriigis asuv kirik kohaldab käesoleva määruse jõustumise ajal terviklikke eeskirju üksikisikute kaitse kohta isikuandmete töötlemisel, peaksid olemasolevad eeskirjad jääma kehtima, kui need viiakse käesoleva määrusega kooskõlla. Sellistelt kirikutelt ja usuühendustelt tuleks nõuda, et nad looksid täielikult sõltumatu järelevalveasutuse.

(129) Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja –vabadusi, eelkõige nende õigust isikuandmete kaitsele ja tagada ELis isikuandmete vaba liikumine, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Eelkõige tuleks delegeeritud õigusaktid vastu võtta järgnevates valdkondades: töötlemise seaduslikkus; lapse nõusoleku kriteeriumide ja tingimuste täpsustamine; andmete eriliikide töötlemine; taotluse selgelt liiga mahukaks tunnistamise kriteeriumide ja tingimuste ning andmesubjekti õiguste kasutamise tasude täpsustamine; andmesubjekti teavitamise ja andmetega tutvumise õiguse kriteeriumid ja nõuded; õigus olla unustatud ja õigus nõuda andmete kustutamist; profiilianalüüsil põhinevad meetmed; vastutava töötleja vastutuse ning isikuandmete lõimitud ja vaikimisi kaitse kriteeriumid ja nõuded; volitatud töötleja; dokumenteerimise ja töötlemise turvalisuse kriteeriumid ja nõuded; isikuandmetega seotud rikkumise tuvastamise, sellest järelevalveasutusele teatamise ning olukorra, kus isikuandmetega seotud rikkumine võib tõenäoliselt kahjustada andmesubjekti, kriteeriumid ja nõuded; isikuandmete kaitse alast mõjuhinnangut nõudvate töötlemistoimingute kriteeriumid ja tingimused; eelnevat konsulteerimist nõudva konkreetse ja märkimisväärse ohtu määratlemise kriteeriumid ja nõuded; andmekaitseametniku määramine ja tema ülesanded; toimimisjuhendid; sertifitseerimismehhanismidele esitatavad kriteeriumid ja nõuded; siduvate ettevõtluseeskirjade alusel edastamise kriteeriumid ja nõuded; edastamisega seonduvad erandid; halduskaristused; töötlemine tervise kaitse eesmärgil; töötlemine töösuhte kontekstis ning töötlemine ajaloo- või statistikauurimuste ning teadustöö eesmärgil. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil. Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

(130) Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks anda komisjonile rakendusvolitused järgnevates valdkondades: lapse isikuandmete töötlemise tüüpvormide kehtestamine; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmesubjekti teavitamise tüüpvormid; andmetega tutvumise tüüpvormid ja -kord; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutava töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ning isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord; eelneva loa ja eelneva konsulteerimise vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole seda lubatud; vastastikune abi; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused. Kõnealuseid volitusi tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrusele (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes[45]. Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väike- ja keskmise suurusega ettevõtete jaoks.

(131) Arvestades, et allpool loetletud meetmed on üldise iseloomuga, tuleks kasutada nende vastuvõtmisel kontrollimenetlust: lapse nõusoleku tüüpvormide kehtestamine; andmesubjektide õiguste kasutamise tüüpkord ja -vormid; andmesubjekti teavitamise tüüpvormid; andmetega tutvumise õiguse kasutamise tüüpvormid ja -kord; õiguse andmete ülekantavusele; isikuandmete lõimitud ja vaikimisi kaitse ning dokumenteerimisega seonduva vastutava töötleja vastutuse tüüpvormid; töötlemise turvalisuse konkreetsed nõuded; isikuandmetega seotud rikkumisest järelevalveasutusele teatamise ning isikuandmetega seotud rikkumisest andmesubjektile teatamise tüüpvorming ja -kord; isikuandmete kaitse alase mõjuhinnangu standardid ja kord; eelneva loa ja eelneva konsulteerimise vormid ja kord; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; andmete avaldamine juhtudel, kui liidu õigusaktidega ei ole see lubatud; vastastikune abi; ühisoperatsioonid; järjepidevuse mehhanismi raames tehtavad otsused.

(132) Nõuetekohaselt põhjendatud juhtudel, mis on seotud kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni isikuandmete kaitse ebapiisava taseme või järjepidevuse mehhanismi raames järelevalveasutustele edastatud küsimustega, peaks komisjon olukorra tungiva kiireloomulisuse korral vastu võtma viivitamata kohaldatavad rakendusaktid.

(133) Kuna käesoleva määruse eesmärki, nimelt tagada terves ELis üksikisikute kaitse võrdne tase ja andmete vaba liikumine, ei suuda liikmesriigid piisavalt saavutada ning selle ulatuse ja toime tõttu on seda parem saavutada ELi tasandil, võib EL võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

(134) Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks. Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load peaksid siiski jääma kehtima.

(135) Käesolevat määrust tuleks kohaldada kõigil isikuandmete töötlemise valdkonna põhiõiguste ja -vabaduste kaitsmisega seotud juhtudel, mille suhtes ei kohaldata sama eesmärgiga konkreetseid kohustusi, mis on sätestatud direktiivis 2002/58/EÜ, sealhulgas vastutava töötleja kohustusi ja üksikisikute õigusi. Käesoleva määruse ja direktiivi 2002/58/EÜ seose täpsustamiseks tuleks direktiivi vastavalt muuta.

(136) Islandi ja Norra puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (viimase kahe riigi osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja edasiarendamises)[46] tähenduses.

(137) Šveitsi puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahel sõlmitud lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega)[47] tähenduses.

(138) Liechtensteini puhul kujutab käesolev määrus endast Schengeni acquis’ sätete edasiarendamist selliselt, et acquis’d kohaldatakse acquis’d rakendavate ametiasutuste poolse isikuandmete töötlemise suhtes Liechtensteini Vürstiriigi ühinemist (Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) käsitleva protokolli[48] tähenduses.

(139) Arvestades asjaolu, mida on rõhutanud Euroopa Kohus, et isikuandmete kaitse õigus ei ole absoluutne õigus, vaid seda tuleb arvestada vastavalt selle ülesandele ühiskonnas ja tasakaalustada muude põhiõigustega, siis vastavalt proportsionaalsuse põhimõttele austatakse käesolevas määruses põhiõigusi ja peetakse kinni eelkõige Euroopa Liidu põhiõiguste hartaga tunnustatud põhimõtetest, mis on sätestatud aluslepingutes, ning milleks on eelkõige õigus era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, õigus oma isikuandmete kaitsele, mõtte-, südametunnistuse- ja usuvabadus, sõna- ja teabevabadus, ettevõtlusvabadus, õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuuriline, usuline ja keeleline mitmekesisus,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

ÜLDSÄTTED

Artikkel 1 Reguleerimisese ja eesmärgid

1.           Käesolevas määruses sätestatakse eeskirjad, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.

2.           Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

3.           Isikuandmete vaba liikumist liidus ei piirata ega keelata põhjustel, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel.

Artikkel 2 Reguleerimisala

1.           Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad toimikusüsteemi või kui need kavatsetakse toimikusüsteemi kanda.

2.           Käesolevat määrust ei kohaldata, kui:

a)      isikuandmeid töödeldakse muu kui liidu õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku tagamisega;

b)      isikuandmeid töötlevad liidu institutsioonid, organid ja asutused;

c)      liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub Euroopa Liidu lepingu 2. peatüki reguleerimisalasse;

d)      isikuandmeid töötleb füüsiline isik üksnes isikliku või koduse tegevuse käigus ilma tulutoova eesmärgita;

e)      isikuandmeid töötleb pädev asutus kuritegude ennetamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täideviimiseks.

3.           Käesoleva määruse kohaldamine ei piira direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist.

Artikkel 3 Territoriaalne kohaldamisala

1.           Käesolevat määrust kohaldatakse liidu territooriumil paikneva vastutava töötleja ja volitatud töötleja asutuse tegevuse raames toimuva isikuandmete töötlemise suhtes.

2.           Käesolevat määrust kohaldatakse liidu territooriumil elavate andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja poolt, kui andmete töötlemine on seotud:

a)      liidu andmesubjektidele kaupade ja teenuste pakkumisega või

b)      nende käitumise jälgimisega.

3.           Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust.

Artikkel 4 Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

(1) „andmesubjekt” – füüsiline isik, kelle isikusamasus on tuvastatud või otseselt või kaudselt tuvastatav vahenditega, mida vastutav töötleja või mis tahes muu füüsiline või juriidiline isik tavaliselt kasutavad, nagu isikukood, asukohaandmed ja veebiidentifikaator, samuti üks või mitu isiku füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja sotsiaalset tunnust;

(2) „isikuandmed” – igasugune teave andmesubjekti kohta;

(3) „töötlemine” – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine, üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või ühendamine, kustutamine ja hävitamine;

(4) „toimikusüsteem” – isikuandmete korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsel või geograafilisel põhimõttel hajutatud;

(5) „vastutav töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid, tingimused ja vahendid; kui töötlemise eesmärgid, tingimused ja vahendid on kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

(6) „volitatud töötleja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid vastutava töötleja nimel;

(7) „vastuvõtja” – füüsiline või juriidiline isik, avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse;

(8) „andmesubjekti nõusolek” – vabatahtlik, konkreetne, teadlik ja selgelt väljendatud tahteavaldus, millega andmesubjekt kas avalduse vormis või nõusolekut väljendava tegevusega annab nõusoleku töödelda enda kohta käivaid isikuandmeid;

(9) „isikuandmetega seotud rikkumine” – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise ja loata avalikustamise või neile juurdepääsu;

(10) „geneetilised andmed” – mis tahes liiki andmed isiku pärilike ja varajasel sünnieelsel arenguetapil kujunenud omaduste kohta;

(11) „biomeetrilised andmed” – andmed isiku tuvastamist võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, näiteks näokujutis ja sõrmejäljeandmed;

(12) „terviseandmed” – teave, mis käsitleb isiku füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist;

(13) „peamine tegevuskoht” – vastutava töötleja selline asukoht liidus, kus tehakse peamised otsused isikuandmete töötlemise eesmärkide, tingimuste ja vahendite kohta või kui otsuseid isikuandmete töötlemise eesmärkide, tingimuste ja vahendite kohta ei tehta liidus, siis asukoht liidus, kus vastutav töötleja oma tegevuse käigus peamiselt andmeid töötleb. Volitatud töötleja peamine tegevuskoht on tema juhtkonna asukoht liidus;

(14) „esindaja” – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja on otseselt nimetanud ja kes tegutseb tema nimel ning kelle poole liidu järelevalveasutused ja muud organid võivad pöörduda vastutava töötleja poole pöördumise asemel vastutava töötleja käesolevast määrusest tulenevate kohustuste küsimuses.

(15) „ettevõte” – majandustegevusega tegelev mis tahes üksus olenemata selle õiguslikust vormist, sealhulgas füüsilised ja juriidilised isikud, partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

(16) „kontsern” – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

(17) „siduvad ettevõtluseeskirjad” – liidu liikmesriigis asuva vastutava töötleja ja volitatud töötleja kehtestatud isikuandmete kaitse põhimõtted, millest ta lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus tegutsevale vastutavale või volitatud töötlejale;

(18) „laps” – alla 18aastane isik;

(19) „järelevalveasutus” – liikmesriigis vastavalt artiklile 46 asutatud avaliku sektori asutus.

II PEATÜKK PÕHIMÕTTED

Artikkel 5 Isikuandmete töötlemise põhimõtted           

Isikuandmete töötlemisel tagatakse, et:

a)      töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev;

b)      isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus;

c)      isikuandmed on asjakohased, olulised ja neid on piisavalt, kuid mitte rohkem, kui on minimaalselt vaja töötlemise otstarbe seisukohalt, ning et neid töödeldakse ainult sel juhul ja seni, kuni isikuandmeteta teabe töötlemine ei võimalda saavutada seatud eesmärke;

d)      isikuandmed on alati täpsed ja ajakohased ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata;

e)      isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib pikemaajaliselt säilitada juhul, kui neid kavatsetakse töödelda üksnes ajaloo- ja statistikauurimuste ning teadustöö eesmärgil kooskõlas artiklis 83 sätestatud eeskirjade ja tingimustega ning kui korrapäraselt hinnatakse nende edasise säilitamise vajalikkust;

f)       isikuandmeid töödeldakse vastutava töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab ja tõendab, et töötlemistoimingud vastavad käesolevale määrusele.

Artikkel 6 Töötlemise seaduslikkus

1.           Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)      andmesubjekt on andnud selgesõnalise nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)      töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)      töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

d)      töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks;

e)      töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)       töötlemine on vajalik vastutava töötleja õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti, eriti lapse huvid, põhiõigused ja vabadused, mille nimel tuleb kaitsta isikuandmeid. Seda tingimust ei kohaldata, kui andmeid töötleb avaliku sektori asutus oma ülesannete täitmiseks.

2.           Isikuandmete töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil on seaduslik, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud.

3.           Lõike 1 punktides c ja e osutatud töötlemise alus peab olema ette nähtud:

a)      liidu õigusega või

b)       vastutava töötleja asukohaliikmesriigi õigusega.

Liikmesriigi õiguses tuleb lähtuda avalikust huvist või teiste isikute õiguste ja vabaduste kaitsmise eesmärgist ning arvestada isikuandmete kaitse õiguse olemust, ja see peab olema proportsionaalne taotletava õiguspärase eesmärgiga.

4.           Kui isikuandmete edasise töötlemise eesmärk erineb nende kogumise algsest eesmärgist, peab töötlemine põhinema vähemalt ühel lõike 1 punktides a–e osutatud õiguslikul alusel. See kehtib eelkõige lepingu- ja üldtingimuste muutmise suhtes.

5.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõike 1 punktis f osutatud tingimusi, millest lähtutakse andmete töötlemisel eri sektorites ja andmetöötlusolukordades, sealhulgas lapse isikuandmete töötlemisel.

Artikkel 7 Nõusoleku andmise tingimused

1.           Vastutav töötleja peab suutma tõendada, et andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid teatavatel eesmärkidel.

2.           Kui andmesubjekt peab nõusoleku andma kirjaliku kinnitusena, mis hõlmab ka muid küsimusi, siis tuleb nõusoleku andmise taotlus esitada selgelt muudest küsimustest eraldi.

3.           Andmesubjektil on õigus oma nõusolek igal ajal tühistada. Nõusoleku tühistamine ei mõjuta enne tühistamist toimunud töötlemise seaduslikkust.

4.           Nõusolek ei anna töötlemiseks õiguslikku alust, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras.

Artikkel 8 Lapse isikuandmete töötlemine

1.           Kui käesolevat määrust kohaldatakse infoühiskonna teenuste pakkumisel otse lapsele, on kuni 13aastase lapse isikuandmete töötlemine seaduslik ainult sellisel juhul ja sellises ulatuses, kui selleks on andnud nõusoleku või loa lapse vanem või eeskostja. Vastutav töötleja teeb kontrollitava nõusoleku saamiseks olemasolevat tehnoloogiat arvesse võttes mõistlikke jõupingutusi.

2.           Lõige 1 ei mõjuta liikmesriikide üldist lepinguõigust, näiteks eeskirju, mis käsitlevad lapsega seotud lepingu kehtivust, koostamist ja mõju.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud kontrollitava nõusoleku saamise meetodite suhtes kohaldatavaid kriteeriume ja nõudeid. Seejuures kaalub komisjon konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks.

4.           Komisjon võib lõikes 1 osutatud kontrollitava nõusoleku saamise meetodite jaoks kehtestada tüüpvormid. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 9 Isikuandmete eriliikide töötlemine

1.           Keelatud on töödelda isikuandmeid, mis kajastavad rassilist ja etnilist päritolu, poliitilisi vaateid, religiooni ja usku ning ametiühingusse kuulumist, samuti geneetilisi andmeid, andmeid tervise, seksuaalelu ning süüdimõistvate kohtuotsuste ja nendega seotud turvameetmete kohta.

2.           Lõiget 1 ei kohaldata, kui:

a)      andmesubjekt on artiklites 7 ja 8 sätestatud tingimustel andnud nõusoleku neid isikuandmeid töödelda, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada, või

b)      töötlemine on vajalik seoses vastutava töötleja tööõigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega, milles on sätestatud piisavad kaitsemeetmed, või

c)      töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma, või

d)      töötlemine toimub poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning kui töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning tingimusel et andmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta, või

e)      töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud, või

f)       töötlemine on vajalik õigusnõuete koostamiseks, esitamiseks ja kaitsmiseks või

g)      töötlemine on vajalik sellise avaliku huviga seotud ülesande täitmiseks, mis on ettenähtud liidu või liikmesriigi õiguses, milles on sätestatud asjakohased kaitsemeetmed andmesubjekti õigustatud huvi kaitsmiseks, või

h)      tervislikku seisundit käsitlevate andmete töötlemine on vajalik tervise kaitseks, kui artiklis 81 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

i)       töötlemine on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, kui artiklis 83 osutatud tingimused on täidetud ja kaitsemeetmed võetud, või

j)       süüdimõistvaid kohtuotsuseid ja nendega seotud turvameetmeid käsitlevaid andmeid töödeldakse ametiasutuse järelevalve all või kui töötlemine on vajalik vastutava töötleja suhtes kohaldatavatest õigusaktidest tuleneva kohustuse või olulise avalike huvidega seotud ülesande täitmiseks niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega, milles on sätestatud piisavad kaitsemeetmed. Süüdimõistvate kohtuotsuste täielikku registrit võib pidada ainult ametiasutuse järelevalve all.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõikes 1 osutatud isikuandmete eriliikide töötlemise kriteeriume, tingimusi ja kaitsemeetmeid ning lõikes 2 osutatud erandeid.

Artikkel 10 Töötlemine, mille käigus ei saa isikut tuvastada

Juhul kui vastutav töötleja töötleb selliseid andmeid, mille alusel ei saa füüsilist isikut tuvastada, ei ole ta kohustatud hankima lisateavet ainult käesoleva määruse täitmiseks.

III PEATÜKK ANDMESUBJEKTI ÕIGUSED

1. JAGU LÄBIPAISTVUS JA SELLEGA SEOTUD ÜKSIKASJALIKUD EESKIRJAD

Artikkel 11 Läbipaistev teave ja teabevahetus

1.           Vastutav töötleja kehtestab läbipaistvad isikuandmete töötlemise ja andmesubjektide õiguste kaitsmise põhimõtted ja teeb need lihtsalt kättesaadavaks.

2.           Vastutav töötleja esitab andmesubjektile kogu teabe isikuandmete töötlemise ja sellega seotud teabevahetuse kohta, tehes seda arusaadavas vormis ning andmesubjektile kohandatud selges ja lihtsas keeles, eelkõige kui teave esitatakse lapsele.

Artikkel 12 Andmesubjekti õiguste kasutamise kord ja mehhanismid

1.           Vastutav töötleja kehtestab artiklis 14 osutatud teabe esitamise ning artiklites 13 ja 15–19 nimetatud andmesubjekti õiguste kasutamise korra. Ta sätestab eelkõige mehhanismid, mille kohaselt lihtsustatakse artiklites 13 ja 15–19 osutatud toimingute tegemise taotluse esitamist. Isikuandmete automatiseeritud töötlemisel teeb vastutav töötleja kättesaadavaks vahendid, millega taotluse saab esitada elektrooniliselt.

2.           Vastutav töötleja teavitab andmesubjekti viivitamata, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse kättesaamist, artiklites 13 ja 15–19 sätestatud toimingute tegemisest ja esitab nõutud teabe. Seda tähtaega võib pikendada ühe kuu võrra, kui oma õigust kasutavad mitu andmesubjekti ja mõistlikus ulatuses on vajalik nendepoolne koostöö, et vältida vastutava töötleja jaoks ebavajalikke ja ebaproportsionaalseid jõupingutusi. Kõnealune teave esitatakse kirjalikult. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave elektrooniliselt, kui andmesubjekt ei taotle teisiti.

3.           Kui vastutav töötleja otsustab andmesubjekti taotletud toimingut mitte teha, teatab ta andmesubjektile keeldumise põhjused ning selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

4.           Lõikes 1 osutatud taotluse alusel antud teabe ja tehtud toimingute eest tasu ei võeta. Kui taotlused on selgelt põhjendamatud, sest neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest tasu või jätta toimingud tegemata. Sel juhul lasub vastutaval töötlejal kohustus tõendada, et taotlus on selgelt põhjendamatu.

5.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõikes 4 osutatud taotluse selgelt põhjendamatuks tunnistamise kriteeriumid ja tingimused ning tasu suurus.

6.           Komisjon võib kehtestada lõikes 2 osutatud teavitamise, sealhulgas elektroonilise teavitamise tüüpvormid ja -korra. Seejuures võtab komisjon asjakohased meetmed mikro-, väikeste ja keskmise suurusega ettevõtete suhtes. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 13 Õigused vastuvõtjate ees

Vastutav töötleja edastab teabe andmete parandamise ja kustutamise kohta vastavalt artiklitele 16 ja 17 kõigile vastuvõtjatele, kellele andmed on avaldatud, välja arvatud juhul, kui see on võimatu või kui see nõuab ülemääraseid jõupingutusi.

2. JAGU TEAVITAMINE JA ANDMETELE JUURDEPÄÄS

Artikkel 14 Andmesubjekti teavitamine

1.           Andmesubjektile, kelle isikuandmeid kogutakse, teeb vastutav töötleja teatavaks vähemalt järgmise:

a)      vastutava töötleja ning vajaduse korral töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)      töötlemise eesmärk, mille jaoks isikuandmeid kasutatakse, sealhulgas lepingu- ja üldtingimused, kui töötlemine põhineb artikli 6 lõike 1 punktil b, ning vastutava töötleja õigustatud huvi, kui töötlemine põhineb artikli 6 lõike 1 punktil f;

c)      isikuandmete säilitamise tähtaeg;

d)      andmesubjekti õigus taotleda vastutavalt töötlejalt juurdepääsu oma isikuandmetele ning nende parandamist või kustutamist ning vaidlustada oma isikuandmete töötlemist;

e)      andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

f)       isikuandmete vastuvõtjad või vastuvõtjate liigid;

g)      vajaduse korral selle, et vastutav töötleja kavatseb edastada isikuandmed kolmandasse riiki või rahvusvahelisele organisatsioonile, ning isikuandmete kaitse taseme kolmandas riigis või rahvusvahelises organisatsioonis, osutades piisavat kaitset käsitlevale komisjoni otsusele;

h)      muu teave, mis on vajalik andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse isikuandmete kogumise konkreetset olukorda.

2.           Juhul kui isikuandmed kogutakse andmesubjektilt, teatab vastutav töötleja talle lisaks lõikes 1 osutatud teabele, kas isikuandmete esitamine on kohustuslik või vabatahtlik, ning andmete esitamata jätmise võimalikud tagajärjed.

3.           Juhul kui isikuandmed ei ole kogutud andmesubjektilt, teeb vastutav töötleja andmesubjektile lisaks lõikes 1 osutatud teabele teatavaks ka isikuandmete allika.

4.           Vastutav töötleja esitab lõigetes 1, 2 ja 3 osutatud teabe:

a)      andmesubjektilt andmete saamise ajal või

b)      kui isikuandmed ei ole kogutud andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul pärast nende kogumist, võttes arvesse andmete kogumise või muul viisil töötlemise konkreetset olukorda ning seda, kas andmeid kavatsetakse avaldada mõnele teisele vastuvõtjale, kuid hiljemalt andmete esmakordse avalikustamise ajal.

5.           Lõikeid 1–4 ei kohaldata, kui

a)      andmesubjekt on juba saanud lõigetes 1, 2 ja 3 osutatud teabe või

b)      andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine on võimatu või nõuab ülemääraseid jõupingutusi või

c)      andmed ei ole kogutud andmesubjektilt ja selliste andmete salvestamine või avalikustamine on õigusaktides selgelt sätestatud või

d)      andmed ei ole kogutud andmesubjektilt ja sellise teabe esitamine kahjustaks vastavalt artiklile 21 liidu õiguses ja liikmesriikide õiguses sätestatud teiste isikute õigusi ja vabadusi.

6.           Lõike 5 punktis b osutatud juhul näeb vastutav töötleja ette meetmed andmesubjekti õigustatud huvi kaitsmiseks.

7.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, milles täpsustatakse lõike 1 punktis f osutatud vastuvõtjate liigitamise kriteeriumid, lõike 1 punktis g osutatud juurdepääsuvõimalusest teavitamise nõuded, lõike 1 punktis h osutatud täiendava teabe esitamise vajaduse kindlaksmääramise kriteeriumid sektorite ja olukordade kaupa ning kaitsemeetmed lõike 5 punktis b sätestatud erandite puhuks. Seejuures võtab komisjon asjakohased meetmed mikro-, väikeste ja keskmise suurusega ettevõtete suhtes.

8.           Komisjon võib kehtestada tüüpvormid lõigetes 1–3 osutatud teabe esitamiseks, võttes vajaduse korral arvesse eri sektorite omadusi ja vajadusi ning isikuandmete töötlemise olukordi. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 15 Andmesubjekti õigus tutvuda andmetega

1.           Andmesubjektil on õigus igal ajal saada vastutavalt töötlejalt taotluse alusel kinnitus selle kohta, kas tema isikuandmeid töödeldakse või mitte. Juhul kui andmesubjekti isikuandmeid töödeldakse, esitab vastutav töötleja talle järgmise teabe:

a)      töötlemise eesmärk,

b)      töödeldavate isikuandmete liigid;

c)      millistele või mis liiki vastuvõtjatele isikuandmeid avalikustatakse või on avalikustatud, eelkõige teave kolmandates riikides olevate vastuvõtjate kohta;

d)      isikuandmete säilitamise tähtaeg;

e)      andmesubjekti õigus taotleda vastutavalt töötlejalt oma isikuandmete parandamist või kustutamist, ning vaidlustada oma isikuandmete töötlemine;

f)       andmesubjekti õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;

g)      teave töödeldavate isikuandmete kohta ja olemasoleva teave andmete allika kohta;

h)      vähemalt artiklis 20 osutatud meetmete puhul töötlemise tähtsus ja ettenähtavad tagajärjed.

2.           Andmesubjektil on õigus saada vastutavalt töötlejalt teada, milliseid isikuandmeid töödeldakse. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave elektrooniliselt, kui andmesubjekt ei taotle teisiti.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada kriteeriume ja nõudeid, millest lähtutakse lõike 1 punktis g osutatud isikuandmete sisu teatamisel andmesubjektile.

4.           Komisjon võib kehtestada tüüpvormid ja -korra lõikes 1 osutatud teabele juurdepääsu taotlemiseks ja võimaldamiseks, sealhulgas edastatavate isikuandmete subjekti tuvastamiseks, võttes arvesse eri sektorite omadusi ja vajadusi ning isikuandmete töötlemise olukordi. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

3. JAGU

PARANDAMINE JA KUSTUTAMINE

Artikkel 16 Õigus andmeid parandada

Andmesubjektil on õigus vastutavalt töötlejalt taotleda ebatäpsete isikuandmete parandamist. Andmesubjektil on õigus taotleda mittetäielike isikuandmete täiendamist, sealhulgas parandusandmetega õiendi esitamise teel.

Artikkel 17 Õigus olla unustatud ja õigus andmete kustutamisele

1. Andmesubjektil on õigus nõuda vastutavalt töötlejalt enda isikuandmete kustutamist ning levitamisest hoidumist, eriti kui tegemist on isikuandmetega, mille andmesubjekt tegi teatavaks lapsena, järgmistel põhjustel:

a)      andmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)      andmesubjekt tühistab töötlemiseks antud nõusoleku vastavalt artikli 6 lõike 1 punktile a või kui nõusolekukohane andmete talletamise tähtaeg lõppenud ning puudub muu õiguslik alus andmete töötlemiseks;

c)      andmesubjekt vaidlustab isikuandmete töötlemise artikli 19 kohaselt;

d)      andmete töötlemine ei vasta käesolevale määrusele muudel põhjustel.

2.           Juhul kui lõikes 1 osutatud vastutav töötleja on isikuandmed avalikustanud, peab ta enda avaldatud andmete suhtes võtma tarvitusele kõik mõistlikud abinõud, sealhulgas tehnilised meetmed, et teavitada kõnealuseid andmeid töötlevaid kolmandaid isikuid sellest, et andmesubjekt taotleb neilt kõnealustele andmetele osutavate linkide ning andmekoopiate ja -korduste kustutamist. Kui vastutav töötleja on andnud kolmandale isikule loa isikuandmeid avaldada, vastutab avalikustamise eest vastutavat töötleja.

3.           Vastutav töötleja peab isikuandmed viivitamatult kustutama, välja arvatud sellised andmed, mida tuleb säilitada:

(a) sõnavabaduse õiguse teostamiseks vastavalt artiklile 80;

(b) avaliku huvi kaitsmiseks tervishoiu valdkonnas vastavalt artiklile 81;

(c) ajaloo- ja statistikauurimuste ning teadustöö jaoks vastavalt artiklile 83;

(d) vastavalt liidu või liikmesriigi õigusest tulenevale vastutava töötleja kohustusele säilitada isikuandmeid, liikmesriigi õigusaktid peavad lähtuma avaliku huvi kaitsmise eesmärgist ja põhimõttest, et isikuandmete kaitse on õigus, ning olema proportsionaalsed taotletava õiguspärase eesmärgiga;

(e) lõikes 4 osutatud juhtudel.

4.           Vastutav töötleja piirab isikuandmete töötlemist nende kustutamise asemel, kui:

a)      andmesubjekt seab kahtluse alla nende täpsuse; täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja on kontrollinud nende täpsust;

b)      vastutav töötleja ei vaja enam isikuandmeid oma ülesande täitmiseks, kuid andmeid tuleb säilitada tõendamise eesmärgil;

c)      töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle nende kustutamist, vaid nende kasutamise piiramist;

d)      andmesubjekt taotleb oma isikuandmete edastamist teise automatiseeritud töötlemise süsteemi vastavalt artikli 18 lõikele 2.

5.           Lõikes 4 osutatud isikuandmete töötlemine, välja arvatud säilitamine, on lubatud ainult tõendamise eesmärgil, andmesubjekti nõusolekul ja teise füüsilise või juriidilise isiku õiguste või avaliku huvi kaitsmiseks.

6.           Juhul kui isikuandmete töötlemine on lõike 4 kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne töötlemise piirangute kõrvaldamist.

7.           Vastutav töötleja rakendab mehhanismid, millega tagatakse isikuandmete kustutamise ja/või säilitusvajaduse korrapärase läbivaatamise tähtajast kinnipidamine.

8.           Juhul kui isikuandmed kustutatakse, ei töötle vastutav töötleja neid muul viisil.

9.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse:

a)      kriteeriume ja tingimusi, millest lähtutakse lõike 1 kohaldamisel eri sektorites ja andmetöötlusolukordades;

b)      lõikes 2 osutatud üldkasutatavate kommunikatsiooniteenuste käsutuses olevatele isuandmetele osutavate linkide ning andmekoopiate ja -korduste kustutamise tingimused;

c)      lõikes 4 osutatud isikuandmete töötlemise piiramise tingimused.

Artikkel 18 Isikuandmete ülekantavus

1.           Struktureeritud ja üldkasutatavas vormingus olevate isikuandmete elektroonilise töötlemise korral on andmesubjektil õigus saada vastutavalt töötlejalt töödeldavate andmete elektrooniline struktureeritud ja üldkasutatavas vormingus koopia, mida andmesubjekt saab omakorda kasutada.

2.           Kui andmesubjekt on andnud oma isikuandmed ja neid töödeldakse nõusoleku või lepingu alusel, on tal õigus neid isikuandmeid ning mis tahes muud tema esitatud ja automatiseeritud andmetöötlussüsteemis üldkasutatavas elektroonilises vormingus säilitatavat teavet edastada teise sellisesse süsteemi, ilma et seda takistaks vastutav töötleja, kelle süsteemist andmed pärinevad.

3.           Komisjon võib kindlaks määrata lõikes 1 osutatud elektroonilise vormingu ning isikuandmete lõike 2 kohase edastamise tehnilised standardid ja korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

4. JAGU

VAIDLUSTAMISÕIGUS JA PROFIILIANALÜÜS

Artikkel 19 Vaidlustamisõigus

1.           Andmesubjektil on õigus igal ajal konkreetsest olukorrast lähtudes vaidlustada isikuandmete töötlemine artikli 6 lõike 1 punktide d, e ja f alusel, välja arvatud juhul, kui vastutav töötleja tõendab, et töötlemine toimub täiesti õiguspärasel alusel, mis kaalub üles andmesubjekti huvid ning põhiõigused ja vabadused.

2.           Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus tasuta vaidlustada oma isikuandmete töötlemine nimetatud eesmärgil. Kõnealune õigus antakse andmesubjektile arusaadaval viisil ja muust teabest selgelt eraldi.

3.           Kui vaidlustamine on põhjendatud vastavalt lõigetele 1 ja 2, ei tohi vastutav töötleja selliseid isikuandmeid enam kasutada ega muul viisil töödelda.

Artikkel 20 Profiilianalüüsil põhinevad meetmed

1.           Füüsilisel isikul on õigus vältida tema suhtes õiguslike tagajärgedega või teda märkimisväärselt mõjutavat meedet, mis põhineb üksnes automaatsel töötlemisel, millega hinnatakse füüsilise isiku teatavaid isiklikke aspekte või analüüsitakse või prognoositakse tema tööpanust, majanduslikku olukorda, asukohta, tervist, eelistusi, usaldusväärsust ja käitumist.

2. Vastavalt käesoleva määruse teistele sätetele võib isiku suhtes võtta lõikes 1 osutatud meetmena käsitatavat meedet ainult juhul, kui töötlemine:

a)      toimub lepingu sõlmimise või täitmise ajal pärast seda, kui on rahuldatud andmesubjekti taotlus leping sõlmida või asuda seda täitma või kui andmesubjekti õigustatud huvi kaitsmiseks on võetud asjakohased meetmed, näiteks tänu õigusele otsesele isiklikule kontaktile, või

b)      on selgesõnaliselt lubatud liidu või liikmesriigi õigusega, milles on sätestatud ka meetmed andmesubjekti õigustatud huvi kaitsmiseks, või

c)      põhineb andmesubjekti nõusolekul, kui on täidetud artiklis 7 sätestatud tingimused ja võetud sobivad kaitsemeetmed.

3. Isikuandmete automaatne töötlemine füüsilise isiku isiklike aspektide hindamiseks ei põhine ainult artiklis 9 osutatud isikuandmete eriliikidel.

4.           Lõikes 2 osutatud juhtudel esitab vastutav töötleja artikli 14 kohase teavitamise korral teabe selle kohta, kas töötlemine toimub lõikes 1 osutatud eesmärgil ning millist mõju võib selline töötlemine avaldada andmesubjektile.

5.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse andmesubjekti lõikes 2 osutatud õigustatud huvi kaitsmiseks sobivate meetmete võtmise kriteeriumid ja tingimused.

5. JAGU PIIRANGUD

Artikkel 21 Piirangud

1.           Liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artikli 5 punktides a–e, artiklites 11–20 ja artiklis 32 sätestatud kohustuste ja õiguste ulatust, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada:

a)      avalik julgeolek,

b)      kuritegude ennetamine, uurimine, avastamine ja kuritegude eest vastutuselevõtmine;

c)      liidu ja liikmesriigi muude avalike huvide kaitsmine, eelkõige liidu ja liikmesriigi olulised majanduslikud ja finantshuvid, sealhulgas rahandus-, eelarve- ja maksuküsimused ning turu stabiilsuse ja tervikluse kaitse;

d)      reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;

e)      jälgimine, kontrollimine ja regulatiivsete ülesannete täitmine, mis on kas või ajutiselt seotud avaliku võimu teostamisega punktides a, b, c ja d osutatud juhtudel;

f)       andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.

2.           Lõikes 1 osutatud seadusandliku meetmega sätestatakse vähemalt töötlemise eesmärgid ja vastutava töötleja kindlaksmääramise viis.

IV PEATÜKK

VASTUTAV TÖÖTLEJA JA VOLITATUD TÖÖTLEJA

1. JAGU ÜLDKOHUSTUSED

Artikkel 22 Vastutava töötleja ülesanded

1.           Vastutav töötleja võtab vastu põhimõtted ja rakendab meetmeid, mis võimaldavad tagada ja tõendada, et isikuandmete töötlemine on käesoleva määrusega kooskõlas.

2.           Lõikes 1 sätestatud meetmete hulka kuuluvad eelkõige:

(a) dokumenteerimine vastavalt artiklile 28;

(b) artiklis 30 sätestatud andmeturbenõuete rakendamine;

(c) isikuandmete kaitsele avaldatava mõju hindamine vastavalt artiklile 33;

(d) artikli 34 lõigete 1 ja 2 kohase eelneva loa taotlemise ja järelevalveasutusega eelneva konsulteerimise nõude täitmine;

(e) andmekaitseametniku määramine vastavalt artikli 35 lõikele 1.

3.           Vastutav töötleja rakendab mehhanismid lõigetes 1 ja 2 osutatud meetmete tõhususe kontrollimiseks. Kontrolli teostavad sõltumatud sise- või välisaudiitorid, kui see on proportsionaalne.

4.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud meetmete otstarbekuse kindlakstegemise kriteeriume ja nõudeid lisaks lõikes 2 osutatud kriteeriumidele ja nõuetele, lõikes 3 osutatud kontrollimise ja auditeerimise mehhanismide tingimusi ning proportsionaalsuse kriteeriume, kaaludes erimeetmete võtmist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks.

Artikkel 23 Isikuandmete lõimitud kaitse ja vaikimisi kaitse

1.           Võttes arvesse tehnika arengut ja juurutamise kulusid, võtab vastutav töötleja töötlemisvahendite valikul ja töötlemise käigus selliseid tehnilisi ja organisatsioonilisi meetmeid, millega tagatakse töötlemise vastavus käesoleva määruse nõuetele ja andmesubjekti õiguste kaitsmine.

2.           Vastutav töötleja rakendab mehhanisme, millega tagatakse, et vaikimisi töödeldakse vaid töötlemise konkreetse eesmärgi seisukohalt olulisi isikuandmeid, ning eelkõige selle, et andmeid ei koguta rohkem ega säilitata kauem, kui kõnealusel otstarbel minimaalselt vajalik. Nende mehhanismidega tagatakse eelkõige see, et isikuandmed ei ole vaikimisi üldiselt kättesaadavad.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõigetes 1 ja 2 osutatud meetmetele ja mehhanismidele, eelkõige aga eri sektorites ning toodete ja teenuste pakkumisel isikuandmete lõimitud kaitse kriteeriume ja nõudeid.

4.           Komisjon võib kehtestada lõikes 1 ja 2 sätestatud nõuete kohased tehnilised standardid. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 24  Kaasvastutavad töötlejad

Kui mitu vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise tingimused ja vahendid, on nad kaasvastutavad töötlejad, kes omavaheliste kokkulepetega kehtestavad igaühe vastutuse käesolevast määrusest tulenevate kohustuste täitmisel, eelkõige andmesubjekti õiguste kasutamise korra ja mehhanismid.

Artikkel 25 Väljaspool liitu asuvate vastutavate töötlejate esindajad

1.           Artikli 3 lõikes 2 osutatud olukorras määrab vastutav töötleja oma esindaja liidus.

2.           Seda nõuet ei kohaldata, kui vastutav töötleja:

a)      asub kolmandas riigis, kus komisjoni otsuse kohaselt on tagatud isikuandmete piisav kaitse vastavalt artiklile 41, või

b)      on vähem kui 250 töötajaga ettevõte või

c)      on avaliku sektori asutus või organ või

d)      pakub liidu andmesubjektidele kaupu ja teenuseid ainult juhuti.

3.           Esindaja asukoht peab olema ühes liikmesriikidest, kus elavad andmesubjektid, kelle isikuandmeid töödeldakse neile kaupade või teenuste pakkumise korral või kelle käitumist jälgitakse.

4.           Vastutava töötleja esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja enda suhtes.

Artikkel 26 Volitatud töötleja

1.           Kui vastutav töötleja soovib lasta isikuandmeid töödelda enda nimel, volitab ta selleks töötleja, kes võtab käesoleva määruse nõuete täitmiseks ja andmesubjekti õiguste kaitsmiseks vajalikke tehnilisi ja organisatsioonilisi meetmeid, eelkõige tehnilisi turbemeetmeid ja töötlemise organisatsioonilisi meetmeid, ning tagab nende järgimise.

2.           Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või muu õigusakti alusel, milles on eelkõige sätestatud, et volitatud töötleja:

a)      tegutseb ainult vastavalt vastutava töötleja juhtnööridele, eelkõige juhul, kui isikuandmete edastamine on keelatud;

b)      kasutab üksnes selliseid töötajaid, kes on tõotanud järgida konfidentsiaalsusnõuet või kelle suhtes kehtib õigusaktides sätestatud konfidentsiaalsusnõue;

c)      võtab kõik vajalikud meetmed vastavalt artiklile 30;

d)      kaasab teisi töötlejaid ainult vastutava töötleja eelneval loal;

e)      määrab koos vastutava töötlejaga võimaluse piires ja vastavalt töötlemise laadile kindlaks tehnilised ja organisatsioonilised nõuded, mille kohaselt täidetakse vastutava töötleja kohustust vastata III peatükis sätestatud taotlustele andmesubjektide õiguste teostamiseks;

f)       aitab vastutaval töötlejal täita artiklites 30–34 sätestatud kohustusi;

g)      annab töötlemise tulemused pärast töötlemist üle vastutavale töötlejale ega töötle isikuandmeid muul eesmärgil;

h)      teeb vastutavale töötlejale ja järelevalveasutusele kättesaadavaks kogu teabe, mille alusel saab kontrollida käesolevas artiklis sätestatud kohustuste täitmist.

3.           Vastutav töötleja ja volitatud töötleja kehtestavad kirjalikult vastutava töötleja juhised ja volitatud töötleja lõikes 2 osutatud kohustused.

4.           Kui volitatud töötleja töötleb isikuandmeid eesmärgil, mis ei vasta vastutava töötleja antud ülesandele, käsitatakse volitatud töötlejat sellise töötlemise suhtes vastutava töötlejana ja tema suhtes kohaldatakse artiklis 24 sätestatud kaasvastutuse eeskirju.

5.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud vastutuse, kohustuste ja ülesannete suhtes kohaldatavaid kriteeriume ja nõudeid ning kehtestada kontserni raames isikuandmete töötlemise, eelkõige järelevalve ja aruandluse tingimused.

Artikkel 27 Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel

Volitatud töötleja ja vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid töödelda ainult vastutava töötleja juhistele alusel, välja arvatud liidu või liikmesriigi õigusaktidega ettenähtud juhtudel.

Artikkel 28 Dokumenteerimine

1.           Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja dokumenteerivad omal vastutusel tehtud töötlemistoimingud.

2.           Dokumendid peavad sisaldama vähemalt järgmisi andmeid:

a)      vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ning vajaduse korral esindaja nimi ja kontaktandmed;

b)      vajaduse korral andmekaitseametniku nimi ja kontaktandmed;

c)      töötlemise eesmärgid, sealhulgas vastutava töötleja õigustatud huvi, kui töötlemine põhineb artikli 6 lõike 1 punktil f;

d)      andmesubjektide kategooria ja nendega seotud isikuandmete liik;

e)      andmete vastuvõtja või vastuvõtjate kategooria, sealhulgas vastutavad töötlejad, kellele isikuandmed avalikustatakse vastavalt nende õigustatud huvile;

f)       kui andmeid edastatakse kolmandasse riiki või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist artikli 44 lõike 1 punktis h osutatud edastamisega, siis kaitsemeetmete kohta koostatud dokumendid;

g)      üldine teave eri andmeliikide kustutamise tähtaja kohta;

h)      artikli 22 lõkkes 3 osutatud mehhanismide kirjeldus.

3.           Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja esitavad dokumendid taotluse alusel järelevalveasutusele.

4.           Lõikes 1 ja 2 osutatud kohustusi ei kohaldata järgmiste vastutavate töötlejate ega volitatud töötlejate suhtes:

a)      isikuandmeid töötleb ärihuvita füüsiline isik;

b)      töötleja on vähem kui 250 töötajaga ettevõte või organisatsioon, kes töötleb isikuandmeid üksnes kõrvaltegevusena.

5.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud dokumentide suhtes kohaldatavaid kriteeriume ja nõudeid, et võtta arvesse eelkõige vastutava töötleja ja volitatud töötleja ning vajaduse korral ka töötleja esindaja ülesandeid.

6.           Komisjon võib kehtestada lõikes 1 osutatud dokumentide tüüpvormid. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 29 Koostöö järelevalveasutusega

1.           Vastutav töötleja, volitatud töötleja ja vajaduse korral vastutava töötleja esindaja teevad asjakohase taotluse alusel järelevalveasutusega tema ülesannete täitmiseks koostööd, eelkõige esitades artikli 53 lõike 2 punktis a osutatud teavet ja võimaldades kõnealuse lõike punktis b sätestatud juurdepääsu.

2.           Kui järelevalveasutus täidab oma ülesandeid vastavalt artikli 53 lõikele 2, vastavad vastutav töötleja ja volitatud töötleja tema märkustele mõistliku tähtaja jooksul, mille pikkuse määrab kindlaks järelevalveasutus. Järelevalveasutuse märkustele esitatud vastuses kirjeldatakse võetud meetmeid ja saavutatud tulemusi.

2. JAGU ANDMETURVE

Artikkel 30 Töötlemise turvalisus

1.           Vastutav töötleja ja volitatud töötleja võtavad vajalikke tehnilisi ja organisatsioonilisi meetmeid, et tagada töötlemisest ja kaitstavate andmete laadist tulenevatele ohtudele vastav turvalisus, võttes arvesse tehnika taset ja selliste meetmete rakendamise kulusid.

2.           Vastutav töötleja ja volitatud töötleja rakendavad riskianalüüsi alusel lõikes 1 osutatud tehnilisi ja organisatsioonilisi meetmeid, et kaitsta isikuandmeid juhusliku ja ebaseadusliku hävimise ning juhusliku kadumise ja muutmise eest ning vältida igasugust ebaseaduslikku töötlemist, eriti loata avalikustamist, levitamist ja juurdepääsu.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte lõigetes 1 ja 2 osutatud kriteeriumide ja tingimuste ning tehniliste ja organisatsiooniliste meetmete täpsustamiseks, sealhulgas tehnika taseme kindlaksmääramiseks konkreetsete sektorite ja andmetöötlusolukordade kaupa, võttes eelkõige arvesse tehnoloogia ning isikuandmete lõimitud ja vaikimisi kaitse lahenduste arengut, välja arvatud juhtudel, kui kohaldatakse lõiget 4.

4.           Komisjon võib vajaduse korral vastu võtta rakendusakte, millega täpsustatakse lõigetes 1 ja 2 sätestatud nõuete täitmist eri olukordades, eelkõige selleks et:

a)      vältida loata juurdepääsu isikuandmetele;

b)      vältida isikuandmete loata avalikustamist, lugemist, kopeerimist, muutmist, kustutamist ja eemaldamist;

c)      tagada töötlemistoimingute õiguspärasuse kontrollimine.

Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 31 Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1.           Vastutav töötleja teavitab järelevalveasutust isikuandmetega seotud rikkumisest põhjendamatu viivitusteta ja võimaluse korral 24 tunni jooksul pärast rikkumise avastamist. Kui järelevalveasutusele esitatakse teade hiljem kui 24 tunni jooksul, esitatakse teates selle kohta põhjendus.

2.           Vastavalt artikli 26 lõike 2 punktile f teavitab volitatud töötleja vastutavat töötlejat isikuandmetega seotud rikkumisest kohe pärast selle avastamist.

3.           Lõikes 1 osutatud teates tuleb vähemalt:

a)      kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv ning isikuandmete liigid ja arv;

b)      teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)      kirjeldada soovitatavaid meetmeid, mis võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset mõju;

d)      kirjeldada isikuandmetega seotud rikkumise tagajärgi;

e)      kirjeldada vastutava töötleja kavandatud või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks.

4.           Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, nende mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist. Dokumentides esitatakse ainult nimetatud eesmärgi kohane teave.

5.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõigetes 1 ja 2 osutatud rikkumise tuvastamise kriteeriume ning olukordi, mille puhul vastutav töötleja ja volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama.

6.           Komisjon võib kehtestada järelevalveasutusele esitatava teate tüüpvormi ja esitamise korra ning lõikes 4 osutatud dokumentide vormi ja esitamise korra, sealhulgas tähtaja, mille möödumisel on lubatud neis esitatud teave kustutada. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 32 Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1.           Kui isikuandmetega seotud rikkumine võib rikkuda andmesubjekti isikuandmete ja tema eraelu kaitset, teavitab vastutav töötleja pärast artiklis 31 osutatud teavitamist sellest põhjendamatu viivituseta ka andmesubjekti.

2.           Andmesubjektile lõike 1 kohaselt esitatud teates kirjeldatakse isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 31 lõike 3 punktides b ja c nimetatud teave ja soovitused.

3.           Andmesubjekti ei pea teavitama isikuandmetega seotud rikkumisest, kui vastutav töötleja suudab järelevalveasutusele tõendada, et ta on rakendanud vajalikud tehnilised abinõud nende isikuandmete kaitsmiseks, mille suhtes rikkumine toime pandi. Selliste tehniliste kaitseabinõudega muudetakse andmed loetamatuks kõikidele juurdepääsuõiguseta isikutele.

4.           Ilma et see piiraks vastutava töötleja kohustust teavitada andmesubjekti isikuandmetega seotud rikkumistest, võib järelevalveasutus pärast rikkumise võimalike kahjulike mõjude hindamist vastutavalt töötlejalt nõuda andmesubjekti teavitamist isikuandmetega seotud rikkumisest, kui vastutav töötleja ei ole rikkumisest ise veel teatanud.

5.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada kriteeriume ja nõudeid, mille alusel tehakse kindlaks, kas isikuandmetega seotud rikkumine võib kahjustada lõikes 1 osutatud isikuandmeid.

6.           Komisjon võib kehtestada lõikes 1 osutatud teate vormi ja andmesubjekti teavitamise korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

3. JAGU ISIKUANDMETE KAITSELE AVALDATAVA MÕJU HINNANG JA EELNEV LUBA

Artikkel 33 Isikuandmete kaitsele avaldatava mõju hinnang

1.           Kui töötlemistoimingud ohustavad oma laadi, ulatuse või eesmärkide tõttu andmesubjektide õigusi ja vabadusi, hindab vastutav töötleja või tema nimel tegutsev volitatud töötleja kavandatavate töötlemistoimingute mõju isikuandmete kaitsele.

2.           Lõikes 1 osutatud ohtu kujutavad endast eelkõige järgmised töötlemistoimingud:

a)      automatiseeritud andmetöötlusel põhinev füüsilise isiku süstemaatiline ja põhjalik analüüsimine, et hinnata või prognoosida füüsilise isiku majanduslikku olukorda, asukohta, tervist, eelistusi, usaldusväärsust ja käitumist eesmärgiga teha andmesubjekti jaoks õiguslike tagajärgedega või teda oluliselt mõjutavaid otsuseid;

b)      seksuaalelu, tervislikku seisundit, rassilist ja etnilist päritolu käsitleva või tervishoiuteenuse osutamiseks vajaliku teabe töötlemine ning epidemioloogilised, vaimu- ja nakkushaiguste uuringud, kui andmete töötlemise eesmärk on võtta meetmeid või teha otsuseid, mis käsitlevad paljusid üksikisikuid;

c)      avalike alade ulatuslik jälgimine eeskätt elektrooniliste optikaseadmetega (videojärelevalveseadmetega);

d)      laste isikuandmete ning geneetiliste ja biomeetriliste isikuandmete töötlemine suurtes toimikusüsteemides;

e)      muud töötlemistoimingud, mille puhul tuleb nõu pidada järelevalveasutusega vastavalt artikli 34 lõike 2 punktile b;

3.           Hindamine hõlmab vähemalt kavandatud töötlemistoimingute üldist kirjeldust, andmesubjektide õigusi ja vabadusi ähvardavate ohtude hinnangut, ohtude kõrvaldamiseks kavandatud meetmeid, kaitsemeetmed, isikuandmete kaitseks ja käesoleva määruse järgimise tõendamiseks võetavaid turbemeetmeid ja rakendatavaid mehhanisme, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huvi.

4.           Vastutav töötleja küsib andmesubjektide või nende esindajate seisukohti kavandatud töötlemise kohta, ilma et see piiraks kaubandus- või avalike huvide kaitset ja töötlemistoimingute turvalisust.

5.           Kui vastutav töötleja on avaliku sektori asutus või organ ja kui töötlemine on vajalik artikli 6 lõike 1 punktis c osutatud seadusjärgse kohustuse täitmiseks ning selliste töötlemistoimingute tegemise eeskirjad ja kord on ette nähtud liidu õigusaktidega, siis lõikeid 1–4 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks sellise hindamise läbi viia enne töötlemistoimingute alustamist.

6.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõigetes 1 ja 2 osutatud töötlemistoimingutega seotud konkreetse ohu tuvastamise kriteeriume ja tingimusi ning lõikes 3 osutatud hindamisnõudeid, sealhulgas skaleeritavuse, kontrollitavuse ja auditeeritavuse tingimusi. Seejuures kaalub komisjon konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtete jaoks.

7.           Komisjon võib kehtestada lõikes 3 osutatud hindamise ja hinnangu kontrollitavuse ja auditeeritavuse nõuded ja korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

Artikkel 34 Eelnev luba ja konsulteerimine

1.           Vastavalt vajadusele kas vastutav töötleja või volitatud töötleja taotleb järelevalveasutuselt loa enne isikuandmete töötlemise algust, et kavandatud töötlemine vastaks käesoleva määruse nõuetele ning eelkõige vähendamaks andmesubjekti jaoks ohtu, et vastutav töötleja või volitatud töötleja võtab vastu artikli 42 lõike 2 punktis d osutatud lepingusätted või jätab isikuandmete edastamisel kolmandasse riiki või rahvusvahelisele organisatsioonile õiguslikult siduva dokumendiga kehtestamata artikli 42 lõikes 5 osutatud kaitsemeetmed.

2.           Vastutav töötleja või tema nimel tegutsev volitatud töötleja konsulteerib järelevalveasutusega enne isikuandmete töötlemise algust, et tagada kavandatud töötlemise vastavus käesoleva määruse nõuetele ning vähendada andmesubjektidele tekkivat ohtu, kui:

a)      artiklis 33 sätestatud isikuandmete kaitse mõjuhinnangu kohaselt kujutavad töötlemistoimingud oma laadi, ulatuse ja eesmärkide tõttu endast konkreetset ja märkimisväärset ohtu või

b)      järelevalveasutus peab vajalikuks eelnevalt konsulteerida selliste lõike 4 kohaselt kindlaksmääratud töötlemistoimingute küsimustes, mis oma olemuse, ulatuse ja/või eesmärgi tõttu võivad tõenäoliselt ohustada andmesubjektide õigusi ja vabadusi.

3.           Kui järelevalveasutus on seisukohal, et töötlemine ei vasta käesoleva määruse nõuetele, eelkõige kui töötlemisega kaasnevad ohud ei ole piisavalt kindlaks tehtud ega leevendatud, keelab ta kavandatud töötlemise ja teeb ettepanekud töötlemise vastavusseviimiseks määrusega.

4.           Järelevalveasutus koostab ja avalikustab loetelu töötlemistoimingutest, mille suhtes kohaldatakse lõike 2 punktis b sätestatud eelnevat konsulteerimist. Järelevalveasutus edastab loetelud Euroopa Andmekaitsenõukogule.

5.           Kui lõikes 4 sätestatud loetelu hõlmab töötlemistoimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele mitmes liikmesriigis või andmesubjektide käitumise kontrollimisega või kui töötlemistoimingud võivad oluliselt mõjutada isikuandmete vaba liikumist Euroopa Liidus, kohaldab järelevalveasutus enne loetelu vastuvõtmist artiklis 57 osutatud järjepidevuse mehhanismi.

6.           Vastutav töötleja või volitatud töötleja esitab järelevalveasutustele isikuandmete kaitsele avaldatava mõju hinnangu, nagu sätestatud artiklis 33, ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata, kas töötlemine, eelkõige andmesubjekti isikuandmete kaitset ohustavate tegurite suhtes võetavad meetmed ja pakutavad kaitsemeetmed vastavad käesolevale määrusele.

7.           Liikmesriigid konsulteerivad järelevalveasutusega, kui nad valmistavad ette riigi parlamendis vastuvõetavat seadusandlikku meedet või seadusandliku meetme alusel võetavat meedet, millega määratakse kindlaks töötlemise laad, et viia kavandatav töötlemine kooskõlla käesoleva määrusega ning eelkõige tagada andmesubjekte ähvardavate ohtude leevendamine.

8.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõike 2 punktis a osutatud märkimisväärse ohu tuvastamise kriteeriume ja nõudeid.

9.           Komisjon võib kehtestada lõigetes 1 ja 2 osutatud eelneva loa ja konsultatsioonide ning järelevalveasutuste lõike 6 alusel teavitamise tüüpvormid ja korra. Kõnealused rakendusaktid võetakse vastu vastavalt artikli 87 lõikes 2 osutatud kontrollimenetlusele.

4. JAGU ANDMEKAITSEAMETNIK

Artikkel 35 Andmekaitseametniku määramine

1.           Vastutava töötleja ja volitatud töötleja määravad ametisse andmekaitseametniku, kui:

a)      töötleja on avaliku sektori asutus või organ või

b)      töötleja on vähemalt 250 töötajaga ettevõte või

c)      vastutava töötleja või volitatud töötleja põhitegevuse moodustavad töötlemistoimingud, mille laad, ulatus ja/või eesmärk tingivad andmesubjektide korrapärase ja süstemaatilise järelevalve.

2.           Lõike 1 punktis b osutatud juhul võib kontsernile määrata ühe andmekaitseametniku.

3.           Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme üksuse jaoks määrata ühe andmekaitseametniku olenevalt avaliku sektori asutuse või organi organisatsioonilisest struktuurist.

4.           Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja ja volitatud töötleja ning neid esindavad ühingud ja organid määrata ühe andmekaitseametniku.

5.           Vastutav töötleja ja volitatud töötleja lähtuvad andmekaitseametniku määramisel tema kutseoskustest, eelkõige isikuandmete kaitse alaste õigusaktide ja tava tundmisest ning suutlikkusest täita artiklis 37 osutatud ülesandeid. Erialateadmised määratakse kindlaks eelkõige vastavalt andmete töötlemise laadile ja vastutava töötleja ja volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele.

6.           Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametniku muud ametiülesanded on kooskõlas tema isikuandmete kaitse alaste ülesannete ja kohustustega ega põhjusta huvide konflikti.

7.           Vastutava töötleja ja volitatud töötleja määravad andmekaitseametniku vähemalt kaheaastaseks ametiajaks. Andmekaitseametniku võib ametisse tagasi nimetada. Andmekaitseametniku võib tema ametiaja jooksul ametist kõrvaldada ainult juhul, kui ta enam ei vasta kohustuste täitmiseks esitatavatele tingimustele.

8.           Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita oma ülesandeid teenuslepingu alusel.

9.           Vastutava töötleja ja volitatud töötleja teevad andmekaitseametniku nime ja kontaktandmed teatavaks järelevalveasutusele ja üldsusele.

10.         Andmesubjektidel on õigus pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemisega, ning taotleda käesolevast määrusest tulenevate õiguste kasutamist.

11.         Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõike 1 punktis c osutatud vastutava töötleja ja volitatud töötleja põhitegevuse määratlemise kriteeriume ja nõudeid ning lõikes 5 osutatud andmekaitseametniku kutseoskuse nõudeid.

Artikkel 36 Andmekaitseametniku ametiseisund

1.           Vastutav töötleja ja volitatud töötleja tagavad andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitse küsimustesse.

2.           Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik on oma ülesannete ja kohustuste täitmisel sõltumatu ega saa oma tööülesannete täitmisel juhtnööre. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja juhtkonnale.

3.           Vastutava töötleja ja volitatud töötleja toetavad andmekaitseametnikku tema ülesannete täitmisel, andes tema käsutusse töötajad, ruumid, seadmed ja muud artiklis 37 osutatud kohustuste ja ülesannete täitmiseks vajalikud vahendid.

Artikkel 37 Andmekaitseametniku ülesanded

1.           Vastutav töötleja ja volitatud töötleja annavad andmekaitseametnikule vähemalt järgmised ülesanded:

a)      teavitada ja nõustada vastutavat töötlejat ja volitatud töötlejat seoses nende kohustustega, mis tulenevad käesolevast määrusest, ning oma tegevus ja saadud vastused dokumenteerida;

b)      jälgida vastutava töötleja ja volitatud töötleja isikuandmete kaitse põhimõtete rakendamist ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises osaleva personali koolitamist ja nendega seotud auditeerimist;

c)      jälgida käesoleva määruse, eelkõige isikuandmete lõimitud ja vaikimisi kaitse, andmeturbe, andmesubjektide teavitamise ning andmesubjektide poolt nende käesolevast määrusest tulenevate õiguste kasutamiseks esitatavate taotluste kohta kehtestatud nõuete rakendamist ja kohaldamist;

d)      tagada artiklis 28 osutatud dokumenteerimine;

e)      jälgida isikuandmetega seotud rikkumiste dokumenteerimist ning neist teavitamist vastavalt artiklitele 31 ja 32;

f)       jälgida isikuandmete kaitsele avaldatava mõju hinnangu koostamist vastutava töötleja ja volitatud töötleja poolt ning eelneva loa taotlemist ja eelneva konsulteerimise kohaldamist, kui seda nõutakse vastavalt artiklitele 33 ja 34;

g)      jälgida järelevalveasutuse taotlustele vastamist ja oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse taotlusele või andmekaitseametniku omal algatusel;

h)      tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida järelevalveasutusega omal algatusel.         

2.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud ülesannete, sertifitseerimise, ametiseisundi, volituste ja vahendite suhtes kohaldatavaid kriteeriume ja nõudeid.

5. JAGU TOIMIMISJUHENDID JA SERTIFITSEERIMINE

Artikkel 38 Toimimisjuhendid

1.           Selleks et aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse andmetöötlussektorite eripära, toetavad liikmesriigid, järelevalveasutused ja komisjon toimimisjuhendite koostamist eelkõige järgmise kohta:

a)      andmete õiglane ja läbipaistev töötlemine;

b)      andmete kogumine;

c)      üldsuse ja andmesubjektide teavitamine;

d)      andmesubjektide taotlused kasutada oma õigusi;

e)      laste teavitamine ja kaitsmine;

f)       andmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele;

g)      vastutavate töötlejate järelevalve mehhanismid ja vastutavate töötlejate poolt toimimisjuhendi rakendamise tagamine;

h)      vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 73 ja 75.

2.           Liikmesriigi vastutavate töötlejate ja volitatud töötlejate ühendused ja muud organid võivad koostatava, muudetava või täiendatava toimimisjuhendi esitada liikmesriigi järelevalveasutusele arvamuse saamiseks. Järelevalveasutus võib esitada oma arvamuse, kas toimimisjuhendi või muudatuste kavand vastab käesolevale määrusele. Järelevalveasutus palub andmesubjektidel või nende esindajatel esitada kavandi kohta seisukoha.

3.           Mitme liikmesriigi vastutavate töötlejate ja volitatud töötlejate ühendused ja muud organid võivad esitada toimimisjuhendi ja selle muudatuste kavandi komisjonile.

4.           Komisjon võib oma rakendusaktiga otsustada, et talle vastavalt lõikele 3 esitatud toimimisjuhendid ning nende muudatused ja täiendused kehtivad terves liidus. Kõnealused rakendusaktid võetakse vastu artikli 88 artiklis 2 osutatud kontrollimenetluse kohaselt.

5.           Komisjon tagab nõuetekohase teavitamise lõike 4 kohase otsusega terves liidus kehtivaks tunnistatud toimimisjuhenditest.

Artikkel 39 Sertifitseerimine

1.           Liikmesriigid ja komisjon toetavad eelõige Euroopa tasandil isikuandmete kaitse sertifitseerimise mehhanismide ning isikuandmete kaitse pitserite ja märgiste kasutuselevõttu, et andmesubjektid saaksid kiiresti hinnata vastutavate töötlejate ja volitatud töötlejate pakutavat isikuandmete kaitse taset. Isikuandmete kaitse sertifitseerimise mehhanismid aitavad kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse eri sektorite ja töötlemistoimingute laadi.

2.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, et täpsustada lõikes 1 osutatud isikuandmete kaitse sertifitseerimise mehhanismide, sealhulgas sertifikaadi andmise ja tühistamise ning liidus ja kolmandates riikides tunnustamise suhtes kohaldatavaid kriteeriume ja nõudeid.

3.           Sertifitseerimismehhanismide ning isikuandmete kaitse pitserite ja märgiste kasutuselevõtu edendamiseks ja tunnustamiseks võib komisjon kehtestada sertifitseerimismehhanismide ning isikuandmete kaitse pitserite ja märgiste tehnilised standardid. Kõnealused rakendusaktid võetakse vastu artikli 88 artiklis 2 osutatud kontrollimenetluse kohaselt.

V PEATÜKK ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE JA RAHVUSVAHELISTELE ORGANISATSIOONIDELE

Artikkel 40 Edastamise üldpõhimõtted

Töödeldavate või pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist töötlemiseks mõeldud isikuandmete edastamine võib toimuda ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kooskõlas käesoleva määruse teiste sätetega käesolevas peatükis sätestatud tingimused, sealhulgas juhul, kui kolmandad riigid või rahvusvahelised organisatsioonid edastavad isikuandmed teistele kolmandatele riikidele või rahvusvahelistele organisatsioonidele.

Artikkel 41 Edastamine piisava kaitse otsuse alusel

1.           Edastamine võib toimuda siis, kui komisjon on teinud otsuse, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Sellise edastamise puhul ei ole täiendavat luba vaja.

2.           Isikuandmete kaitse piisavuse hindamisel kaalub komisjon järgmisi asjaolusid:

a)      õigusriigi põhimõte, nii üldised kui ka konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku korra, riigikaitse, riigi julgeoleku ja kriminaalõigusega seotud õigusaktid, kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad ametieeskirjad ja turvameetmed ning samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse;

b)      kõnealuses kolmandas riigis või rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete kaitse eeskirjade järgimise eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c)      kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused.

3.           Komisjon võib otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme lõike 2 tähenduses. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

4.           Rakendusaktis määratakse kindlaks selle geograafiline ja valdkondlik kohaldatavus ning vajaduse korral määratakse kindlaks lõike 2 punktis b nimetatud järelevalveasutus.

5.           Komisjon võib otsustada, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, eelkõige juhul, kui kolmandas riigis või rahvusvahelises organisatsioonis kehtivate üldiste ja konkreetse sektori asjaomaste õigusaktidega ei tagata kehtivaid ja kohtulikult kaitstavaid õigusi, sealhulgas andmesubjektide halduslikke ja õiguskaitsevahendeid, eelkõige nende liidus elavate andmesubjektide puhul, kelle isikuandmeid edastatakse. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega või äärmiselt kiireloomulistel juhtudel seoses üksikisiku õigusega isikuandmete kaitsele kooskõlas artikli 87 lõikes 3 osutatud menetlusega.

6.           Kui komisjon teeb lõike 5 kohase otsuse, on mis tahes isikuandmete edastamine kolmandale riigile või territooriumile või kõnealuse kolmanda riigi töötlemissektorile või rahvusvahelisele organisatsioonile keelatud, ilma et see piiraks artiklite 42–44 kohaldamist. Komisjon alustab sobival ajal konsultatsioone kolmanda riigi või rahvusvahelise organisatsiooniga, et parandada käesoleva artikli lõike 5 kohasest otsusest tulenevat olukorda.

7.           Komisjon avaldab Euroopa Liidu Teatajas loetelu nendest kolmandatest riikidest, territooriumidest ja kolmandate riikide töötlemissektoritest ja rahvusvahelistest organisatsioonidest, mille kohta on tehtud otsus, et isikuandmete kaitse piisav tase ei ole tagatud.

8.           Komisjoni otsused, mis on vastu võetud vastavalt direktiivi 95/46/EÜ artikli 25 lõikele 6 või artikli 26 lõikele 4, jäävad jõusse, kuni komisjon neid muudab, need asendab või tunnistab need kehtetuks.

Artikkel 42 Edastamine asjakohaste kaitsemeetmete abil

1.           Kui komisjon ei ole teinud artikli 41 kohast otsust, võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on õiguslikult siduvas dokumendis sätestanud isikuandmete kaitseks asjakohased kaitsemeetmed.

2.           Lõikes 1 osutatud asjakohased kaitsemeetmed lisatakse eelkõige:

a)      siduvatele ettevõtluseeskirjadele vastavalt artiklile 43 või

b)      isikuandmete kaitse standardklauslitele, mille on vastu võtnud komisjon. Kõnealused rakendusaktid võetakse vastu artikli 87 lõikes 2 osutatud kontrollimenetluse kohaselt või

c)      isikuandmete kaitse standardklauslitele, mille on vastu võtnud järelevalveasutus vastavalt artiklis 57 osutatud järjepidevuse mehhanismile pärast seda, kui komisjon on need artikli 62 lõike 1 punkti b kohaselt tunnistanud üldkehtivaks, või

d)      vastutava töötleja või volitatud töötleja ja järelevalveasutuse poolt vastavalt lõikele 4 volitatud andmesaaja vahelistele lepingutingimustele.

3.           Lõike 2 punktides a, b või c osutatud isikuandmete kaitse standardklauslitel või siduvatel ettevõtluseeskirjadel põhineva edastamise puhul ei ole täiendavat luba vaja.

4.           Kui edastamine põhineb käesoleva artikli lõike 2 punktis d osutatud lepingutingimustel, peab vastutav töötleja või volitatud töötleja saama järelevalveasutuselt eelneva loa vastavalt artikli 34 lõike 1 punktile a. Juhul, kui edastamine on seotud töötlemisega, mis puudutab teise liikmesriigi või teiste liikmesriikide andmesubjekte või mis mõjutab märgatavalt isikuandmete vaba liikumist liidu piires, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi.

5.           Kui õiguslikult siduvas dokumendis ei ole isikuandmete kaitseks sätestatud asjakohaseid kaitsemeetmeid, peab vastutav töötleja või volitatud töötleja saama eelneva loa edastamise või edastamistoimingute kogumi või edastamise aluseks olevasse halduskokkuleppesse lisatavate sätete jaoks. Järelevalveasutus annab sellise loa kooskõlas artikli 34 lõike 1 punktiga a. Juhul kui edastamine on seotud töötlemisega, mis puudutab teise liikmesriigi või teiste liikmesriikide andmesubjekte või mis mõjutab märgatavalt isikuandmete vaba liikumist liidu piires, kohaldab järelevalveasutus artiklis 57 osutatud järjepidevuse mehhanismi. Direktiivi 95/46/EÜ artikli 26 lõike 2 alusel järelevalveasutuse antud load jäävad kehtima, kuni järelevalveasutus neid muudab, need asendab või tunnistab need kehtetuks.

Artikkel 43 Edastamine siduvate ettevõtluseeskirjade alusel

1.           Järelevalveasutus kehtestab kooskõlas artiklis 58 osutatud järjepidevuse mehhanismiga siduvad ettevõtluseeskirjad, tingimusel et need:

a)      on õiguslikult siduvad ja neid kohaldatakse vastutava töötleja või volitatud töötleja ettevõtjate rühma iga liikme, sealhulgas nende töötajate suhtes ning kõik täidavad neid;

b)      sõnaselgelt annavad andmesubjektidele kohtulikult kaitstavad õigused;

c)      vastavad lõikes 2 sätestatud nõuetele.

2.           Siduvates ettevõtluseeskirjades peab vähemalt olema täpsustatud:

a)      ettevõtjate rühma ja selle liikmete struktuur ja kontaktandmed;

b)      edastamine või edastamistoimingute kogumid, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektid ning kõnealuse kolmanda riigi või riikide andmed;

c)      nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

d)      üldised isikuandmete kaitse põhimõtted, eelkõige eesmärgi piiritlemine, andmete kvaliteet, töötlemise õiguslik alus, tundlike isikuandmete töötlemine; andmeturbe tagamise meetmed; andmete edasine edastamine organisatsioonidele, kelle suhtes need eeskirjad ei ole siduvad;

e)      andmesubjektide õigused ja nende õiguste kasutamise vahendid, kaasa arvatud õigus mitte alluda artikli 20 kohasele profiilianalüüsil põhinevale meetmele, õigus esitada artikli 75 kohane kaebus pädevale järelevalveasutusele ja pädevale kohtule liikmesriigis ning siduvate ettevõtluseeskirjade rikkumise korral taotleda kahju hüvitamist ja vajaduse korral kompensatsiooni;

f)       liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate ettevõtluseeskirjade rikkumise korral, kui selle paneb toime ettevõtjate rühma liige, kes ei asu Euroopa Liidus. Vastutava töötleja või volitatud töötleja võib kõnealusest vastutusest täielikult või osaliselt vabastada vaid siis, kui ta tõestab, et liige ei ole kahju tekitamise eest vastutav;

g)      kuidas kooskõlas artikliga 11 edastatakse andmesubjektidele siduvate ettevõtluseeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta teavet;

h)      kooskõlas artikliga 35 ametisse nimetatud andmekaitseametniku ülesanded, sealhulgas ettevõtjate rühmas järelevalve teostamine siduvate ettevõtluseeskirjade täitmise ning samuti koolitamise ja kaebuste käsitlemise üle;

i)       ettevõtjate rühma sisemehhanismid, mille eesmärk on tagada siduvate ettevõtluseeskirjade täitmise kontrollimine;

j)       mehhanismid poliitikamuudatuste registreerimiseks ning järelevalveasutuse teavitamiseks nendest muudatustest;

k)      mehhanism koostööks järelevalveasutusega, et tagada ettevõtjate rühma liikme nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks käesoleva lõike punktis i osutatud meetmete kontrollimise tulemused.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse siduvate ettevõtluseeskirjade tingimusi ja nõudeid käesoleva artikli tähenduses, eelkõige seoses nende heakskiitmise tingimustega, lõike 2 punktide b, d, e ja f kohaldamisega volitatud töötlejate poolt täidetavate siduvate ettevõtluseeskirjade suhtes ja täiendavate nõuetega, et tagada asjaomaste andmesubjektide isikuandmete kaitse.

4.           Komisjon võib täpsustada vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid ettevõtluseeskirju käsitleva elektroonilise teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 sätestatud kontrollimenetlusega.

Artikkel 44 Erandid

1.           Artikli 41 kohase piisava kaitse otsuse või artikli 42 kohaste asjaomaste kaitsemeetmete puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmeid edastada ainult tingimusel, et:

a)      andmesubjekt on edastamiseks andnud nõusoleku pärast seda, kui teda teavitati sellise edastamise riskidest, mis tulenevad piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest, või

b)      edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks või

c)      edastamine on vajalik vastutava töötleja või muu füüsilise või juriidilise isiku vahelise lepingu sõlmimiseks andmesubjekti huvides või selle täitmiseks või

d)      edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel või

e)      edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või

f)       edastamine on vajalik selleks, et kaitsta andmesubjekti või teise isiku olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma, või

g)      edastamine tehakse registrist, mis liidu või liikmesriigi õigusaktide kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud laiemale avalikkusele või kõigile õigustatud huviga isikutele, kuivõrd konkreetsel juhul täidetakse tutvumist käsitlevaid tingimusi, mis liidu või liikmesriigi õigusaktidega on ette nähtud, või

h)      edastamine on vajalik, et kaitsta vastutava töötleja või volitatud töötleja õigustatud huvi, mida esineb harva ja mis ei ole mahukas, ning siis kui vastutav töötleja või volitatud töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ning sellele hinnangule tuginedes on seoses isikuandmete kaitsega vajaduse korral lisanud asjakohased kaitsemeetmed.

2.           Lõike 1 punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid või isikuandmete täielikke kategooriaid. Kui register on mõeldud õigustatud huviga isikutele tutvumiseks, toimub edastamine vaid nende isikute taotluse korral või kui nemad ise on andmete vastuvõtjad.

3.           Kui andmete töötlemine põhineb lõike 1 punktil h, peab vastutav töötleja või volitatud töötleja pöörama erilist tähelepanu andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele ning samuti olukorrale andmete päritoluriigis, kolmandas riigis ja lõplikus sihtriigis ning vajaduse korral seoses isikuandmete kaitsega lisatud asjaomastele kaitsemeetmetele.

4.           Lõike 1 punkte b, c ja h ei kohaldata avalikku võimu teostavate riigiasutuste suhtes.

5.           Lõike 1 punktis d osutatud avalik huvi peab olema tunnustatud liidu õigusaktides või liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

6.           Vastutav töötleja või volitatud töötleja registreerivad hindamise ja ka käesoleva artikli lõike 1 punktis h osutatud asjakohased lisatud kaitsemeetmed artiklis 28 osutatud dokumentides ning teavitavad edastamisest järelevalveasutust.

7.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse lõike 1 punktis d osutatud avalikust huvist tulenevaid kaalukaid põhjuseid ning samuti lõike 1 punktis h osutatud asjakohaste kaitsemeetmete kriteeriume ja tingimusi.

Artikkel 45 Isikuandmete kaitseks tehtav rahvusvaheline koostöö

1.           Komisjon ja järelevalveasutused võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohaseid meetmeid eesmärgiga:

a)      töötada välja tõhusad rahvusvahelised koostöömehhanismid, et hõlbustada isikuandmete kaitset käsitlevate õigusaktide täitmise tagamist;

b)      osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse abil, mille suhtes kohaldatakse asjaomaseid isikuandmete kaitsemeetmeid ja teisi põhiõigusi ning -vabadusi;

c)      kaasata asjaomaseid sidusrühmi arutellu ja tegevusse, mis on suunatud rahvusvahelise koostöö edendamisele isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)      edendada isikuandmete kaitset käsitlevate õigusaktide vahetamist ja sellealast dokumenteerimist ning asjaomaseid praktikaid.

2.           Lõike 1 kohaldamisel võtab komisjon asjakohaseid meetmeid, et arendada suhteid kolmandate riikide või rahvusvaheliste organisatsioonidega, eelkõige nende järelevalveasutustega, kui komisjon on teinud otsuse, et nad tagavad piisava kaitstuse taseme artikli 41 lõike 3 tähenduses.

VI PEATÜKK SÕLTUMATUD JÄRELEVALVEASUTUSED

1. jagu SÕLTUMATUS

Artikkel 46 Järelevalveasutus

1.           Iga liikmesriik näeb ette ühe või mitu avaliku sektori asutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest ja osalevad selle järjepideval kohaldamisel kogu liidus, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ja hõlbustada isikuandmete vaba liikumist kogu liidus. Selleks teevad järelevalveasutused omavahel ja komisjoniga koostööd.

2.           Kui liikmesriigis on rohkem kui üks järelevalveasutus, määrab liikmesriik nendest ühe järelevalveasutuse kontaktasutuseks, et kõik asutused saaksid tulemuslikult osaleda Euroopa Andmekaitsenõukogus, ja näeb ette mehhanismi, millega tagada, et teised asutused täidavad artiklis 57 osutatud järjepidevuse mehhanismiga seotud eeskirju.

3.           Iga liikmesriik teavitab komisjoni käesoleva peatüki alusel vastuvõetavatest õigusnormidest hiljemalt artikli 91 lõikes 2 märgitud kuupäevaks ja annab viivitamata teada nende edaspidistest muudatustest.

Artikkel 47 Sõltumatus

1.           Järelevalveasutus tegutseb oma kohustuste täitmisel ja talle usaldatud volituste kasutamisel täiesti sõltumatult.

2.           Järelevalveasutuse liikmed ei küsi ega võta oma kohustuste täitmisel juhiseid mitte kelleltki.

3.           Järelevalveasutuse liikmed hoiduvad oma kohustustega sobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul tasustataval või mittetasustataval ametikohal.

4.           Järelevalveasutuse liikmed käituvad pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes väärikalt ning diskreetselt.

5.           Iga liikmesriik tagab, et järelevalveasutusel oleks piisavalt personali, tehnilisi ja rahalisi vahendeid ning ruumid ja taristu kohustuste ja volituste tõhusaks täitmiseks, sealhulgas need kohustused, mis tuleb täita vastastikuse abi ja koostöö kontekstis ning Euroopa Andmekaitsenõukogu töös osalemisel.

6.           Iga liikmesriik tagab, et järelevalveasutusel on oma personal, kelle nimetab ametisse järelevalveasutuse juht, kellele personal allub.

7.           Liikmesriigid tagavad, et järelevalveasutuse üle teostatakse sellist finantskontrolli, mis ei mõjuta asutuse sõltumatust. Liikmesriigid tagavad, et järelevalveasutustel on eraldi aastaeelarve. Eelarved avalikustatakse.

Artikkel 48 Järelevalveasutuse liikmetele esitatavad üldtingimused

1.           Liikmesriigid näevad ette, et järelevalveasutuse liikmed nimetab ametisse kas asjaomase liikmesriigi parlament või valitsus.

2.           Liikmed valitakse isikute hulgast, kelle sõltumatus on väljaspool kahtlust ning kellel on kohustuste täitmiseks vajalik tõendatud kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.

3.           Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või tagandamise korral kooskõlas artikliga 5.

4.           Liikmesriigi pädev kohus võib liikme ametist vabastada või jätta ilma õigusest saada pensioni või muid seda asendavaid soodustusi, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele või kui ta on süüdi raskes üleastumises.

5.           Kui ametiaeg lõpeb või liige lahkub ametist, täidab ta kohustusi edasi kuni uue liikme ametisse nimetamiseni.

Artikkel 49 Järelevalveasutuse loomise eeskirjad

Iga liikmesriik näeb käesoleva määruse raames õigusaktidega ette järgmise:

a)      järelevalveasutuse loomine ja staatus;

b)      järelevalveasutuse liikmete kohustuste täitmiseks vajalik kvalifikatsioon, kogemus ja oskused;

c)      järelevalveasutuse liikme ametisse nimetamise eeskirjad ja kord ning samuti kohustustega sobimatuid tegevusi ja ametikohti käsitlevad eeskirjad;

d)      järelevalveasutuse liikmete vähemalt nelja aasta pikkune ametiaeg, välja arvatud esimest korda ametisse nimetamisel pärast käesoleva määruse jõustumist, kui osa liikmete ametiaeg võib kesta lühemat aega, kui järkjärgulise ametisse nimetamise abil on see vajalik järelevalveasutuse sõltumatuse kaitsmiseks;

(e)     asjaolu, kas järelevalveasutuse liikmeid saab ametisse uuesti tagasi nimetada;

f)       järelevalveasutuse liikmete ja personali kohustusi reguleerivad eeskirjad ja üldtingimused;

g)      järelevalveasutuse liikmete kohustuste lõpetamise eeskirjad ja kord, sealhulgas juhul, kui liikmed ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele või kui nad on süüdi raskes üleastumises.

Artikkel 50 Ametisaladus

Järelevalveasutuse liikmed on kohustatud nii ametiajal kui ka pärast ametist lahkumist hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis neile ametikohustuste täitmisel on teatavaks saanud.

2. JAGU KOHUSTUSED JA VOLITUSED

Artikkel 51 Pädevus

1.           Iga järelevalveasutus kasutab oma liikmesriigi territooriumil talle käesoleva määrusega antud volitusi.

2.           Kui isikuandmete töötlemine toimub liidus asuva vastutava töötleja või volitatud töötleja tegevuse käigus ning vastutav töötleja või volitatud töötleja omab tegevuskohta mitmes liikmesriigis, on vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus pädev korraldama järelevalvet vastutava töötleja või volitatud töötleja töötlemistoimingute üle kõikides liikmesriikides, ilma et see piiraks käesoleva määruse VII peatüki kohaldamist.

3.           Järelevalveasutus ole pädev korraldama järelevalvet õigusliku pädevuse piires tegutsevate kohtute töötlemistegevuse üle.

Artikkel 52 Kohustused

1.           Järelevalveasutus:

a)      jälgib ja tagab, et käesolevat määrust kohaldatakse;

b)      vaatab läbi andmesubjekti või teda esindava ühenduse artikli 73 kohaselt esitatud kaebused, uurib juhtumit vajalikul määral ning teavitab mõistliku aja jooksul andmesubjekti või ühendust kaebuse arutamise arengust ja tulemusest, eelkõige juhul, kui osutub vajalikuks täiendav uurimine või koordineerimine teise järelevalveasutusega;

c)      jagab teavet teiste järelevalveasutustega ja osutab neile abi ning tagab käesoleva määruse ühetaolise kohaldamise ja täitmise;

d)      korraldab omal algatusel või kaebuse või teise järelevalveasutuse taotluse alusel uurimisi ning kui andmesubjekt on esitanud kaebuse nimetatud järelevalveasutusele, teavitab teda uurimise tulemusest mõistliku aja jooksul;

e)      jälgib isikuandmete kaitsmise valdkonnas toimuvaid muudatusi, eelkõige info- ja sidetehnoloogia ja kaubandustavade arengut;

f)       osaleb aruteludes liikmesriikide asutuste ja organitega nende õiguslike ja haldusmeetmete üle, mis käsitlevad üksikisikute õiguste ja vabaduste kaitset seoses isikuandmete töötlemisega;

g)      annab loa artiklis 34 osutatud töötlemisoperatsioonideks ja osaleb asjaomastes aruteludes;

h)      esitab arvamuse artikli 38 lõike 2 kohase toimimisjuhendi kavandi kohta;

i)       kiidab heaks artikli 43 kohased siduvad ettevõtluseeskirjad;

j)       osaleb Euroopa Andmekaitsenõukogu tegevuses.

2.           Iga järelevalveasutus suurendab üldsuse teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Lastele suunatud tegevusele pööratakse eraldi tähelepanu.

3.           Järelevalveasutus annab andmesubjektile tema taotluse korral nõu käesolevast määrusest tulenevate õiguste kasutamisel ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega.

4.           Lõike 1 punktis b osutatud kaebuste jaoks koostab järelevalveasutus kaebuste esitamise elektrooniliselt täidetava vormi, ilma teiste sidevahendite kasutamist välistamata.

5.           Järelevalveasutus ei võta oma kohustuste täitmise eest andmesubjektilt tasu.

6.           Kui taotlused on selgelt põhjendamatud, eelkõige kuna neid esitatakse korduvalt, võib vastutav töötleja võtta taotletud teabe andmise ja toimingute tegemise eest tasu või jätta toimingud tegemata. Järelevalveasutusel lasub kohustus tõendada, et taotlus on selgelt põhjendamatu.

Artikkel 53 Volitused

1.           Igal järelevalveasutusel on õigus:

a)      teavitada vastutavat töötlejat või volitatud töötlejat isikuandmete töötlemist reguleerivate sätete väidetavast rikkumisest ja vajaduse korral käskida vastutaval töötlejal või volitatud töötlejal rikkumine kindlal viisil kõrvaldada, et parandada andmesubjekti kaitset;

b)      anda käsk vastutaval töötlejal või volitatud töötlejal rahuldada andmesubjekti taotlused seoses käesolevas määruses sätestatud õiguste kasutamisega;

c)      anda käsk vastutavale töötlejale või volitatud töötlejale või vajaduse korral tema esindajale anda teavet oma kohustuste täitmise kohta;

d)      tagada, et täidetakse artiklis 34 osutatud eelnevate lubade ja konsultatsioonide tingimus;

e)      hoiatada vastutavat töötlejat või volitatud töötlejat või teha talle märkus;

f)       anda käsk kõik andmed parandada, sulgeda, kustutada või hävitada, kui neid on töödeldud käesoleva määruse sätteid rikkudes, ning teavitada nimetatud meetmetest kolmandaid isikuid, kelle andmed on avaldatud;

g)      kehtestada ajutine või tähtajatu töötlemiskeeld;

h)      peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog;

i)       esitada arvamusi küsimustes, mis on seotud isikuandmete kaitsega;

j)       teavitada liikmesriikide parlamente, valitsusi või muid institutsioone ja avalikkust isikuandmete kaitsega seotud küsimustest.

2.           Igal järelevalveasutusel on uurimisvolitused, et saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs:

a)      kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema kohustuste täitmiseks;

b)      tööruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja vahenditele, kui on piisavalt põhjust arvata, et seal toimub käesoleva määruse vastane tegevus.

Punktis b osutatud õigusi kasutatakse kooskõlas ELi ja liikmesriigi õigusega.

3.           Igal järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumisele ja osaleda kohtumenetluses, eelkõige vastavalt artikli 74 lõikele 4 ja artikli 75 lõikele 2.

4.           Igal järelevalveasutusel on õigus haldusõigusrikkumise korral kohaldada sanktsioone, eelkõige artikli 79 lõikes 4, 5 ja 6 osutatud rikkumiste puhul.

Artikkel 54 Tegevusaruanne

Iga järelevalveasutus peab koostama oma tegevuse kohta aastaaruande. Aruanne esitatakse riigi parlamendile ning tehakse kättesaadavaks avalikkusele, komisjonile ja Euroopa Andmekaitsenõukogule.

VII PEATÜKK

KOOSTÖÖ JA JÄRJEPIDEVUS

1. JAGU KOOSTÖÖ

Artikkel 55 Vastastikune abi

1.           Järelevalveasutused annavad üksteisele teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks eelneva loa ja eelneva konsulteerimise taotlusi, kontrolle ja kiireteabe edastamist juhtumite alustamise ning nende käigu kohta, kui töötlemistoimingud mõjutavad tõenäoliselt andmesubjekte mitmes liikmesriigis.

2.           Iga järelevalveasutus võtab kõik nõuetekohased meetmed, et vastata teisele järelevalveasutusele viivitamata ja mitte hiljem kui üks kuu pärast taotluse saamist. Need meetmed võivad eelkõige hõlmata asjaomase teabe edastamist uurimise käigu kohta või täitemeetmeid, et katkestada või keelata käesoleva määruse vastased töötlemistoimingud.

3.           Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Kõnealust teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.

4.           Järelevalveasutus, kellele abitaotlus on adresseeritud, ei või keelduda, välja arvatud juhul, kui:

a)      asutus ei ole taotluse täitmiseks pädev või

b)      taotluse täitmine oleks vastuolus käesoleva määrusega.

5.           Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral asjade käigust või meetmetest, mis võetakse esitatud taotluse rahuldamiseks.

6.           Järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe elektrooniliste sidevahendite abil ja võimalikult kiiresti, kasutades selleks tüüpvormi.

7.           Vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta.

8.           Kui järelevalveasutus ei tegutse ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, on taotluse esitanud järelevalveasutusel õigus võtta oma liikmesriigi territooriumil ajutine meede kooskõlas artikli 51 lõikega 1 ning esitada asi Euroopa Andmekaitsenõukogule artiklis 57 osutatud korras.

9.           Järelevalveasutus määrab kindlaks sellise ajutise meetme kehtivusaja. Nimetatud ajavahemik ei tohi olla pikem kui kolm kuud. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile.

10.         Komisjon võib täpsemalt kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige lõikes 6 osutatud tüüpvormi. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 56 Järelevalveasutuste ühisoperatsioonid

1.           Koostöö ja vastastikuse abistamise tugevdamiseks lahendavad järelevalveasutused ühiseid uurimisülesandeid, võtavad ühiseid täitemeetmed ja korraldavad muid ühisoperatsioone, milles osalevad teiste liikmesriikide järelevalveasutuste määratud liikmed või töötajad.

2.           Juhul kui töötlemistoimingud võivad tõenäoliselt mõjutada andmesubjekte mitmes liikmesriigis, on iga kõnealuse liikmesriigi järelevalveasutusel õigus osaleda vastavalt vajadusele ühisülesannetes või -operatsioonides. Pädev järelevalveasutus esitab iga kõnealuse liikmesriigi järelevalveasutusele kutse osaleda asjaomases ühisülesandes või -operatsioonis ja vastab viivitamata järelevalveasutuse taotlusele operatsioonides osaleda.

3.           Iga järelevalveasutus võib vastuvõtva järelevalveasutusena kooskõlas oma siseriikliku õigusega ning lähetava liikmesriigi nõusolekul anda ühisoperatsioonidesse kaasatud lähetava järelevalveasutuse liikmetele või personalile õiguse teostada täidesaatvat võimu, sealhulgas lahendada uurimisülesandeid, või asukoha järelevalveasutuse seadusega ettenähtud ulatuses lubada lähetava järelevalveameti liikmetel või töötajatel kasutada oma täidesaatvaid volitusi kooskõlas lähetava järelevalveameti õigusega. Seda täidesaatvat võimu võib teostada ainult vastuvõtva järelevalveasutuse juhendamisel ning reeglina selle asutuse liikmete või personali juuresolekul. Lähetava järelevalveasutuse liikmete või personali suhtes kohaldatakse vastuvõtva järelevalveasutuse siseriiklikku õigust. Vastuvõttev järelevalveasutus vastutab nende tegevuste eest.

4.           Järelevalveasutused kehtestavad spetsiaalsete koostöömeetmete praktilised aspektid.

5.           Juhul kui järelevalveasutus ei täida ühe kuu jooksul lõikes 2 nimetatud kohustust, on teisel järelevalveasutusel õigus võtta ajutine meede oma liikmesriigi territooriumil vastavalt artikli 51 lõikele 1.

6.           Järelevalveasutus täpsustab lõikes 5 osutatud ajutise meetme kehtivusaja. Nimetatud ajavahemik ei tohi olla pikem kui kolm kuud. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile ning menetleb küsimust artiklis 57 osutatud mehhanismi abil.

2. JAGU JÄRJEPIDEVUS

Artikkel 57 Järjepidevuse mehhanism

Artikli 46 lõikes 1 sätestatud eesmärgil teevad järelevalveasutused üksteisega ja komisjoniga koostööd käesolevas jaotises sätestatud järjepidevuse mehhanismi abil.

Artikkel 58 Euroopa Andmekaitsenõukogu arvamus

1.           Enne kui järelevalveasutus võtab vastu lõikes 2 osutatud meetme, edastab ta meetme eelnõu Euroopa Andmekaitsenõukogule ja komisjonile.

2.           Lõikes 1 sätestatud kohustust kohaldatakse meetme suhtes, mille eesmärk on tekitada õiguslikke tagajärgi ning mis:

a)      on seotud töötlemistoimingutega, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele mitmes liikmesriigis või nende käitumise jälgimisega, või

b)      võib oluliselt mõjutada isikuandmete vaba liikumist Euroopa Liidus või

c)      on suunatud sellise töötlemistoimingute loetelu vastuvõtmisele, mille puhul kohaldatakse eelnevat konsulteerimist vastavalt artikli 34 lõikele 5, või

d)      on suunatud artikli 42 lõike 2 punktis c osutatud isikuandmete kaitse standardklauslite kindlaksmääramisele või

e)      on suunatud artikli 42 lõike 2 punktis d osutatud lepingutingimuste kinnitamisele või

f)       on suunatud siduvate ettevõtluseeskirjade heakskiitmisele artikli 43 tähenduses.

3.           Mis tahes järelevalveasutus või Euroopa Andmekaitsenõukogu võib nõuda iga küsimuse käsitlemist järjepidevuse mehhanismi abil, eelkõige juhul, kui järelevalveasutus ei esita lõikes 2 osutatud meetme eelnõu või ei täida vastastikuse abi kohustust vastavalt artiklile 55 või ühisoperatsioonide kohustust vastavalt artiklile 56.

4.           Määruse nõuetekohase ja järjepideva kohaldamise tagamiseks võib komisjon nõuda mis tahes küsimuse käsitlemist järjepidevuse mehhanismi abil.

5.           Järelevalveasutused ja komisjon edastavad elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas asjaolude kokkuvõtte, meetme eelnõu ja nimetatud meetme võtmise põhjused.

6.           Euroopa Andmekaitsenõukogu eesistuja teavitab viivitamata elektrooniliselt Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud asjakohasest teabest, kasutades selleks tüüpvormi. Euroopa Andmekaitsenõukogu eesistuja korraldab vajaduse korral asjaomase teabe tõlkimise.

7.           Euroopa Andmekaitsenõukogu esitab küsimuse kohta oma arvamuse ühe nädala jooksul pärast lõike 5 kohase teabe saamist, kui komitee teeb sellekohase otsuse liikmete lihthäälteenamuse alusel või kui mis tahes järelevalveasutus või komisjon esitab selleks taotluse. Arvamus võetakse vastu ühe kuu jooksul Euroopa Andmekaitsenõukogu liikmete lihthäälteenamuse alusel. Euroopa Andmekaitsenõukogu eesistuja teavitab arvamusest viivitamata lõigetes 1 ja 3 osutatud järelevalveasutust, komisjoni ja artikli 51 alusel pädevat järelevalveasutust ning avalikustab arvamuse.

8.           Lõikes 1 osutatud järelevalveasutus ja artikli 51 alusel pädev järelevalveasutus arvestavad Euroopa Andmekaitsenõukogu arvamusega ja kahe nädala jooksul pärast Euroopa Andmekaitsenõukogu eesistujalt arvamuse kohta saadud teavet annavad elektrooniliselt tüüpvormi kasutades Euroopa Andmekaitsenõukogu eesistujale ja komisjonile teada, kas jäädakse meetme eelnõu juurde või seda muudetakse ning edastavad vajaduse korral meetme muudetud eelnõu.

Artikkel 59 Komisjoni arvamus

1.           Kümne nädala jooksul pärast küsimuse tõstatamist vastavalt artiklile 58 või vähemalt kuue nädala jooksul artiklis 61 sätestatud juhul võib komisjon määruse nõuetekohaseks ja järjepidevaks kohaldamiseks võtta vastu arvamuse artiklite 58 või 61 kohaselt tõstatatud küsimuste kohta.

2.           Kui komisjon on võtnud vastu lõike 1 kohase arvamuse, arvestab asjaomane järelevalveasutus igati komisjoni arvamusega ning teavitab komisjoni ja Euroopa Andmekaitsenõukogu sellest, kas jäädakse meetme eelnõu juurde või soovitakse seda muuta.

3.           Lõikes 1osutatud ajavahemiku jooksul ei võta järelevalveasutus meetme eelnõud vastu.

4.           Kui asjaomane järelevalveasutus ei kavatse järgida komisjoni arvamust, teavitab ta sellest komisjoni ja Euroopa Andmekaitsenõukogu lõikes 1 osutatud ajavahemiku jooksul ning esitab põhjenduse. Sellisel juhul ei võeta meetme eelnõu vastu veel ühe kuu jooksul.

Artikkel 60 Meetme eelnõu peatamine

1.           Ühe kuu jooksul pärast artikli 59 lõikes 4 osutatud teatise esitamist ja juhul kui komisjonil on tõsiseid kahtlusi selles osas, kas meetme eelnõuga tagatakse käesoleva määruse nõuetekohane kohaldamine või oleks määruse kohaldamine ebaühtlane, võib komisjon võtta vastu põhjendatud otsuse, milles nõutakse järelevalveasutuselt meetme eelnõu vastuvõtmise peatamist, võttes arvesse Euroopa Andmekaitsenõukogu arvamust, mis on koostatud artikli 58 lõike 7 või artikli 61 lõike 2 kohaselt, kui seda on vaja:

a)      järelevalveasutuse ja Euroopa Andmekaitsenõukogu lahkarvamuste ühitamiseks, kui see on veel võimalik, või

b)      artikli 62 lõike 1 punkti a kohase meetme vastuvõtmiseks.

2.           Komisjon määrab kindlaks peatamise kestuse, mis ei ületa 12 kuud.

3.           Lõikes 2 osutatud ajavahemikul ei või järelevalveasutus meetme eelnõud vastu võtta.

Artikkel 61 Kiirmenetlus

1.           Erandlike asjaolude korral, kui järelevalveasutus leiab, et andmesubjektide huvide kaitsmiseks tuleb kiiresti tegutseda, eelkõige siis, kui on oht, et andmesubjekti õiguse kohtulikku kaitsmist võib praeguse seisundi muutmine märkimisväärselt takistada, või kui on vaja ära hoida olulisi puudusi või muudel põhjustel, võib ta erandina artiklis 58 sätestatud korrast võtta viivitamata vastu piiratud kehtivusajaga ajutised meetmed. Järelevalveasutus edastab viivitamata kõnealused meetmed koos kõikide põhjendustega Euroopa Andmekaitsenõukogule ja komisjonile.

2.           Kui järelevalveasutus on võtnud lõike 1 kohase meetme ja leiab, et lõplikud meetmed tuleb kiiresti vastu võtta, võib ta Euroopa Andmekaitsenõukogult taotleda arvamuse viivitamatut esitamist, esitades kõnealuse taotluse ja lõplike meetmete kiireloomulisuse põhjused.

3.           Iga järelevalveasutus võib taotleda arvamuse viivitamatut esitamist, kui pädev järelevalveasutus ei ole kiireloomulises olukorras võtnud andmesubjekti huvide kaitseks asjaomaseid meetmeid, esitades kõnealuse taotluse ja kiire tegutsemise vajaduse põhjused.

4.           Erandina artikli 58 lõikest 7 võetakse käesoleva artikli lõigetes 2 ja 3 osutatud kiireloomuline arvamus vastu kahe nädala jooksul Euroopa Andmekaitsenõukogu liikmete lihthäälteenamuse alusel.

Artikkel 62 Rakendusaktid

1.           Komisjon võib vastu võtta rakendusaktid, et teha järgmist:

a)      seoses talle järelevalveasutustelt vastavalt artiklile 58 või 61 edastatud küsimustega teha otsus käesoleva määruse eesmärkidele ja tingimustele vastava nõuetekohase rakendamise kohta, milles käsitletakse küsimust, mille suhtes on vastu võetud põhjendatud otsus vastavalt artikli 60 lõikele 1, või milles käsitletakse küsimust, mille suhtes järelevalveasutus ei võta vastu meetme eelnõud ja mille kohta on järelevalveasutus teatanud, et ta ei kavatse järgida komisjoni arvamust, mis on vastu võetud artikli 59 kohaselt;

b)      teha artikli 59 lõikes 1 osutatud ajavahemiku jooksul otsus, milles teatatakse, kas artikli 58 lõike 2 punktis d osutatud isikuandmete kaitse standardklauslid on üldkehtivad;

c)      täpsustada käesolevas jaos osutatud järjepidevuse mehhanismi kohaldamise vormi ja korda;

d)      täpsustada järelevalveasutuste vahelist ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu vahelist elektroonilise teabevahetuse korraldust, eelkõige artikli 58 lõigetes 5, 6 ja 8 osutatud tüüpvormi.

Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 87 lõikes 2 osutatud kontrollimenetlusega.

2.           Andmesubjektide huvides nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu, mis on seotud lõikes 1 osutatud juhtudega, võtab komisjon vastu viivitamata kohaldatavad rakendusaktid vastavalt artikli 87 lõikes 3 osutatud menetlusele. Nimetatud aktid kehtivad kuni 12 kuud.

3.           Käesoleva jao kohase meetme puudumine või vastuvõtmine ei piira komisjoni teisi meetmeid, mis on vastu võetud aluslepingute alusel.

Artikkel 63 Täitmine

1.           Käesoleva määruse kohaldamisel kuulub ühe liikmesriigi järelevalveasutuse täitmisele kuuluv meede täitmisele kõikides liikmesriikides.

2.           Kui järelevalveasutus ei esita meetme eelnõud menetlemiseks järjepidevuse mehhanismi raames, rikkudes sel moel artikli 58 lõikeid 1–5, ei ole järelevalveasutuse meede õiguslikult kehtiv ega kuulu täitmisele.

3. JAGU EUROOPA ANDMEKAITSENÕUKOGU

Artikkel 64 Euroopa Andmekaitsenõukogu

1.           Käesolevaga luuakse Euroopa Andmekaitsenõukogu.

2.           Euroopa Andmekaitsenõukogu koosneb iga liikmesriigi ühe järelevalveasutuse juhatajast ja Euroopa andmekaitseinspektorist.

3.           Kui liikmesriigis on rohkem kui üks järelevalveasutus, kes vastutab käesoleva määruse kohaldamise järelevalve eest, määratakse ühiseks esindajaks ühe järelevalveasutuse juhataja.

4.           Komisjonil on õigus osaleda Euroopa Andmekaitsenõukogu tegevuses ja kohtumistel ning määrata enda esindaja. Euroopa Andmekaitsenõukogu eesistuja teavitab viivitamata komisjoni kõikidest Euroopa Andmekaitsenõukogu tegevustest.

Artikkel 65 Sõltumatus

1.           Euroopa Andmekaitsenõukogu tegutseb artiklites 66 ja 67 sätestatud ülesannete täitmisel sõltumatult.

2.           Ilma et see piiraks komisjoni taotlusi, millele osutatakse artikli 66 lõike 1 punktis b ja artikli 66 lõikes 2, ei küsi ega võta Euroopa Andmekaitsenõukogu vastu juhiseid teistelt isikutelt.

Artikkel 66 Euroopa Andmekaitsenõukogu ülesanded

1.           Euroopa Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb Euroopa Andmekaitsenõukogu omal algatusel või komisjoni taotluse korral eelkõige järgmist:

a)      nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes Euroopa Liidus, sealhulgas käesoleva määruse kavandatavad muudatused;

b)      analüüsib omal algatusel või ühe oma liikme või komisjoni taotluse korral käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise tagamiseks välja järelevalveasutustele mõeldud juhiseid, soovitusi ja parimaid tavasid;

c)      jälgib punktis b osutatud juhiste, soovituste ja parimate tavade praktilist kohaldamist ning annab sellest komisjonile korrapäraselt aru;

d)      esitab arvamusi järelevalveasutuste otsuste eelnõude kohta vastavalt artiklis 57 osutatud järjepidevuse mehhanismile;

e)      edendab järelevalveasutuste vahelist koostööd ning teabe ja parimate tavade vahetamist;

f)       edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning vajaduse korral kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutuste vahel;

g)      edendab teadmiste, isikuandmete kaitse õigusakte ja tavasid käsitlevate dokumentide vahetamist järelevalvet tegevate asutuste vahel kogu maailmas.

2.           Kui komisjon palub Euroopa Andmekaitsenõukogult nõu, võib ta määrata nõuande esitamiseks tähtaja, võttes arvesse küsimuse kiireloomulisust.

3.           Euroopa Andmekaitsenõukogu edastab oma arvamused, juhised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4.           Komisjon teavitab Euroopa Andmekaitsenõukogu meetmetest, mis ta on võtnud järgides Euroopa Andmekaitsenõukogu välja antud arvamusi, juhiseid, soovitusi ja parimaid tavasid.

Artikkel 67 Aruanded

1.           Euroopa Andmekaitsenõukogu teavitab korrapäraselt ja õigeaegselt komisjoni oma tegevuse tulemustest. Komitee koostab aastaaruande, kus käsitletakse füüsiliste isikute kaitse olukorda seoses isikuandmete töötlemisega liidus ja kolmandates riikides.

Aruandes esitatakse artikli 66 lõike 1 punktis c osutatud juhiste, soovituste ja parimate tavade tegeliku kohaldamise kohta ülevaade.

2.           Aruanne avalikustatakse ning edastatakse Euroopa Parlamendile, nõukogule ja komisjonile.

Artikkel 68 Menetlus

1.           Euroopa Andmekaitsenõukogu teeb otsused liikmete lihthäälteenamuse alusel.

2.           Euroopa Andmekaitsenõukogu võtab vastu oma töökorra ja paneb paika oma töökorralduse. Eelkõige näeb ta ette ülesannete täitmise jätkamise juhuks, kui liikme ametiaeg lõpeb või liige lahkub ametist, allrühmade loomise eriküsimuste lahendamiseks või erivaldkondade käsitlemiseks ning seoses artiklis 57 osutatud järjepidevuse mehhanismi kasutamise korra.

Artikkel 69 Eesistuja

1.           Euroopa Andmekaitsenõukogu valib oma liikmete seast eesistuja ja kaks eesistuja asetäitjat. Üheks eesistuja asetäitjaks on Euroopa andmekaitseinspektor, kui ta ei ole valitud eesistujaks.

2.           Eesistuja ja eesistuja asetäitjate ametiaeg on viis aastat ja neid võib ametisse tagasi nimetada.

Artikkel 70 Eesistuja ülesanded

1.           Eesistujal on järgmised ülesanded:

a)      kutsuda kokku Euroopa Andmekaitsenõukogu koosolek ja valmistada ette päevakord;

b)      tagada Euroopa Andmekaitsenõukogu ülesannete õigeaegne täitmine, eelkõige seoses artiklis 57 osutatud järjepidevuse mehhanismiga.

2.           Euroopa Andmekaitsenõukogu näeb oma töökorras ette ülesannete jaotuse eesistuja ja eesistuja asetäitjate vahel.

Artikkel 71 Sekretariaat

1.           Euroopa Andmekaitsenõukogul on sekretariaat. Euroopa andmekaitseinspektor tagab sekretariaadi töö.

2.           Vastavalt eesistuja juhistele pakub sekretariaat Euroopa Andmekaitsenõukogule analüütilist, halduslikku ja logistilist tuge.

3.           Sekretariaat vastutab eelkõige järgneva eest:

a)      Euroopa Andmekaitsenõukogu igapäevane tegevus;

b)      Euroopa Andmekaitsenõukogu, selle eesistuja ja komisjoni vaheline suhtlemine ning suhtlemine teiste institutsioonide ja üldsusega;

c)      elektrooniliste vahendite kasutamine sise- ja välissuhtluses;

d)      asjaomase teabe tõlkimine;

e)      Euroopa Andmekaitsenõukogu koosolekute ettevalmistamine ja järelmeetmed;

f)       Euroopa Andmekaitsenõukogus vastu võetud arvamuste ja muude dokumentide ettevalmistamine, koostamine ja avaldamine.

Artikkel 72 Konfidentsiaalsus

1.           Euroopa Andmekaitsenõukogu arutelud on konfidentsiaalsed.

2.           Euroopa Andmekaitsenõukogu liikmetele, ekspertidele ja kolmandate isikute esindajatele esitatud dokumendid on konfidentsiaalsed, kui neile ei ole juurdepääsu antud kooskõlas määrusega (EÜ) nr 1049/2001 või kui Euroopa Andmekaitsenõukogu pole neid ise muul viisil avalikustanud.

3.           Euroopa Andmekaitsenõukogu liikmed, eksperdid ja kolmandate isikute esindajad on kohustatud täitma käesolevas artiklis sätestatud konfidentsiaalsusnõuet. Eesistuja tagab, et eksperdid ja kolmandate isikute esindajad on teadlikud neile esitatavatest konfidentsiaalsusnõuetest.

VIII PEATÜKK

ÕIGUSKAITSEVAHENDID, VASTUTUS JA SANKTSIOONID

Artikkel 73 Õigus esitada järelevalveasutusele kaebus

1.           Ilma et see piiraks teiste halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui nad leiavad, et nendega seotud isikuandmete töötlemine ei ole kooskõlas käesoleva määrusega.

2.           Igal asutusel, organisatsioonil või ühendusel, mille eesmärk on kaitsta andmesubjektide õigusi ja huve seoses nende isikuandmete kaitsmisega ning mis on moodustatud vastavalt liikmesriigi õigusaktidele, on õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis ühe või mitme andmesubjekti nimel, kui ta leiab, et käesoleva määruse kohaseid andmesubjekti õigusi on rikutud isikuandmete töötlemise tulemusel.

3.           Sõltumata andmesubjekti kaebusest, on igal lõikes 2 osutatud asutusel, organisatsioonil või ühendusel õigus esitada järelevalveasutusele kaebus mis tahes liikmesriigis, kui ta leiab, et toime on pandud isikuandmetega seotud rikkumine.

Artikkel 74 Õigus kasutada õiguskaitsevahendit järelevalveasutuse vastu

1.           Igal füüsilisel või juriidilisel isikul on õigus kasutada õiguskaitsevahendit järelevalveasutuse poolt nende kohta tehtud otsuse vastu.

2.           Igal andmesubjektil on õigus kasutada õiguskaitsevahendit, millega kohustatakse järelevalveasutust kaebuse alusel tegutsema andmesubjektide õiguste kaitsmiseks vajaliku otsuse puudumise korral või kui järelevalveasutus ei teavita andmesubjekti kolme kuu jooksul vastavalt artikli 52 lõike 1 punktile b esitatud kaebuse menetlemise käigust või tulemusest.

3.           Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.

4.           Andmesubjekt, kelle kohta on otsuse teinud järelevalveasutus liikmesriigis, mis ei ole andmesubjekti alaline elukoht, võib oma alalise elukoha liikmesriigi järelevalveasutusele esitada taotluse alustada tema nimel menetlust teise liikmesriigi pädeva järelevalveasutuse vastu.

5.           Liikmesriigid pööravad täitmisele käesolevas artiklis osutatud kohtute otsused.

Artikkel 75 Õigus kasutada õiguskaitsevahendit vastutava töötleja või volitatud töötleja vastu

1.           Ilma et see piiraks mis tahes õiguskaitsekaitsevahendi kohaldamist, sealhulgas õigust esitada järelevalvesugusele kaebus, nagu on osutatud artiklis 73, on igal füüsilisel isikul õigus kasutada õiguskaitsevahendit, kui nad leiavad, et nende käesolevast määrusest tulenevaid õigusi on rikutud nende isikuandmete sellise töötlemise tulemusel, mis on vastuolus käesoleva määrusega.

2.           Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja on avalikku võimu teostav avaliku sektori asutus.

3.           Kui sama meedet, otsust või praktikat käsitlev menetlus on pooleli seoses artiklis 58 osutatud järjepidevuse mehhanismiga, võib kohus menetluse peatada, välja arvatud juhul, kui andmesubjekti õiguste kaitset käsitleva küsimuse kiireloomulisus ei võimalda ära oodata järjepidevuse mehhanismi menetluse tulemust.

4.           Liikmesriigid pööravad täitmisele käesolevas artiklis osutatud kohtute otsused.

Artikkel 76 Kohtumenetluse ühiseeskirjad

1.           Igal artikli 73 lõikes 2 osutatud asutusel, organisatsioonil või ühingul on õigus kasutada artiklites 74 ja 75 osutatud õigusi ühe või mitme andmesubjekti nimel.

2.           Igal järelevalveasutusel on õigus osaleda kohtumenetluses ja esitada kohtusse hagi, et tagada käesoleva määruse sätete järgimine või isikuandmete kaitse järjepidevus Euroopa Liidus.

3.           Kui liikmesriigi pädeval kohtul on põhjus uskuda, et teises liikmesriigis toimub paralleelne menetlus, võtab ta sellele kinnituse saamiseks ühendust teise liikmesriigi pädeva kohtuga.

4.           Kui teises liikmesriigis toimuva paralleelse menetluse käigus käsitletakse sama meedet, otsust või praktikat, võib kohus menetluse peatada.

5.           Liikmesriigid tagavad, et nende siseriiklike õigusaktide kohaselt kasutada olevad õiguskaitsevahendid võimaldavad kiiresti võtta meetmeid, kaasa arvatud ajutisi meetmeid, et lõpetada iga väidetav rikkumine ja vältida asjaomaste huvide edasist kahjustamist.

Artikkel 77 Õigus hüvitisele ja vastutus

1.           Kõikidel isikutel, kes on kandnud kahju keelatud andmetöötlustoimingu või käesoleva määruse sätetega vastuolus oleva toimingu tagajärjel, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist kahju tekitamise eest.

2.           Kui töötlemistoimingutega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja, on iga vastutav töötleja või volitatud töötleja solidaarselt vastutav kogu kahju eest.

3.           Vastutava töötleja või volitatud töötleja võib kõnealusest vastutusest tervikuna või osaliselt vabastada, kui ta tõestab, et tema ei ole kahju põhjustanud sündmuse eest vastutav.

Artikkel 78 Karistused

1.           Liikmesriigid näevad ette käesoleva määruse sätete rikkumise eest kohaldatavad karistused ja võtavad kõik vajalikud meetmed, et tagada nende rakendamine, sealhulgas juhul, kui vastutav töötleja ei täitnud esindaja määramise kohustust. Kõnealused karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad.

2.           Kui vastutav töötleja on määranud esindaja, kohaldatakse karistust tema suhtes, ilma et see piiraks karistuste kohaldamist vastutava töötleja suhtes.

3.           Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

Artikkel 79 Halduskaristused

1.           Igal järelevalveasutusel on õigus kohaldada halduskaristusi kooskõlas käesoleva artikliga.

2.           Halduskaristused on igal üksikul juhul tõhusad, proportsionaalsed ja hoiatavad. Haldustrahvi suurus määratakse kindlaks, arvestades igati rikkumise olemust, raskust ja kestust, kõrvalekaldumise tahtlikku või tahtmatut iseloomu, füüsilise või juriidilise isiku või nende isikute varasemate rikkumiste vastutuse määra, kooskõlas artikliga 23 kohaldatud tehnilisi ja organisatoorseid meetmeid ja protseduure ning rikkumise heastamiseks järelevalveasutusega tehtava koostöö määra.

3.           Käesoleva määruse esimese ja tahtmatu rikkumise korral ei kohaldata karistusi, vaid esitatakse kirjalik hoiatus, kui:

(a) füüsiline isik töötleb isikuandmeid ilma ärihuve omamata või

(b) vähem kui 250 töötajaga ettevõte või organisatsioon töötleb isikuandmeid oma põhitegevuse kõrvaltegevusena.

4.           Järelevalveasutus määrab kuni 250 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 0,5 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:

(a) ei kehtesta mehhanisme andmesubjektide taotluste jaoks või ei vasta andmesubjektidele viivitamata või nõutavas vormis kooskõlas artikli 12 lõigetega 1 ja 2;

(b) võtab andmesubjektidele antava teabe või nende taotlustele vastamise eest tasu, rikkudes artikli 12 lõiget 4.

5.           Järelevalveasutus määrab kuni 500 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 1 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:

(a) ei esita andmesubjektile teavet või teeb seda puudulikult või ei tee seda piisavalt läbipaistval viisil vastavalt artiklile 11, artikli 12 lõikele 3 ja artiklile 14;

(b) ei võimalda andmesubjektidele juurdepääsu või ei paranda isikuandmeid vastavalt artiklitele 15 ja 16 või ei edasta saajale asjakohast teavet vastavalt artiklile 13;

(c) rikub õigust olla unustatud või õigust andmete kustutamisele või ei kehtesta tähtaegadest kinnipidamise tagamiseks mehhanisme või ei võta kõiki vajalikke meetmeid kolmandate isikute teavitamiseks, et andmesubjekt nõuab andmetele osutavate linkide ning andmete koopiate ja korduste kustutamist kooskõlas artikliga 17;

(d) ei esita isikuandmete koopiat elektroonilisel kujul või artikli 18 vastaselt takistab andmesubjektil edastada isikuandmeid teisele rakendusele;

(e) ei määra üldse või piisavas ulatuses kindlaks kaasvastutavate töötlejate asjakohaseid kohustusi vastavalt artiklile 24;

(f) ei säilita üldse või piisaval määral dokumente vastavalt artiklile 28, artikli 31 lõikele 4 ja artikli 44 lõikele 3;

(g) juhtudel, kui tegemist ei ole konkreetsete andmekategooriatega, ei täida artiklite 80, 82 ja 83 kohaseid eeskirju, mis on seotud sõnavabadusega või mis käsitlevad töötlemist töösuhte kontekstis või ajaloo- ja statistikauurimuste ning teadustöö eesmärgil.

6.           Järelevalveasutus määrab kuni 1 000 000 euro suuruse trahvi või ettevõttele trahvi, mis ulatub kuni 2 %-ni ülemaailmsest aastakäibest, igaühele, kes tahtlikult või hooletusest:

(a) töötleb isikuandmeid ilma või piisava õigusliku aluseta ja ei täida artiklite 6, 7 ja 8 kohaseid nõusoleku andmise tingimusi;

(b) töötleb andmete erikategooriaid artiklite 9 ja 81 tingimusi rikkudes;

(c) rikub artikli 19 kohast vaidlustamisõigust või nõuet;

(d) ei täida artikli 20 kohasel profiilianalüüsil põhinevate meetmetega seotud tingimusi;

(e) ei võta vastu sise-eeskirju või ei kohalda vajalikke meetmeid, et tagada vastavus artiklitele 22, 23 ja 30 ning seda tõendada;

(f) ei määra esindajat vastavalt artiklile 25;

(g) töötleb isikuandmeid või annab korralduse nende töötlemiseks, rikkudes kohustusi, mis on seotud vastutava töötleja nimel tehtavate töötlemistoimingutega vastavalt artiklitele 26 ja 27;

(h) ei hoiata ega teata isikuandmetega seotud rikkumisest ega anna järelevalveasutusele ja andmesubjektile õigeaegselt või täies ulatuses teada andmetega seotud rikkumisest vastavalt artiklitele 31 ja 32;

(i) ei tee artiklis 33 nõutud isikuandmete kaitse mõjuhinnangut või töötleb isikuandmeid ilma järelevalveasutuse eelneva loata või konsulteerimiseta, nagu on nõutud artiklis 34;

(j) ei määra ametisse andmekaitseametnikku ega taga tingimusi artiklite 35, 36 ja 37 kohaste ülesannete täitmiseks;

(k) kuritarvitab isikuandmekaitse pitserit või märgist artikli 39 tähenduses;

(l) kannab kolmandale riigile või rahvusvahelisele organisatsioonile andmeid üle või annab selleks korralduse, mis ei ole lubatud piisava kaitstuse otsuse või asjakohaste kaitsemeetmete või erandi alusel vastavalt artiklitele 40–44;

(m) ei täida järelevalveasutuse ajutist või alalist töötlemiskeeldu või andmevoogude peatamise keeldu vastavalt artikli 53 lõikele 1;

(n) ei täida kohustust aidata järelevalveasutust, talle vastata või edastada vajalikku teavet või võimaldada tal juurdepääs ruumidele vastavalt artikli 28 lõikele 3, artiklile 29, artikli 34 lõikele 6 ja artikli 53 lõikele 2;

(o) ei täida artikli 84 kohaseid ametisaladuse kaitsmise eeskirju.

7.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte eesmärgiga ajakohastada lõigetes 4, 5 ja 6 osutatud haldustrahvide summad, võttes arvesse lõikes 2 osutatud tingimusi.

IX PEATÜKK ANDMETÖÖTLUSE ERIOLUKORDI KÄSITLEVAD SÄTTED

Artikkel 80 Isikuandmete töötlemine ja sõnavabadus

1.           Liikmesriigid näevad isikuandmete töötlemiseks üksnes ajakirjanduse jaoks või kirjandusliku või kunstilise eneseväljenduse huvides ette vabastused või erandid järgmistest sätetest: II peatükk põhimõtted, III peatükk andmesubjekti õigused, IV peatükk vastutav töötleja ja volitatud töötleja, V peatükk isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, VI peatükk sõltumatud järelevalveasutused ja VII peatükk koostöö ja järjepidevus, et ühitada õigus isikuandmete kaitsele sõnavabadust käsitlevate eeskirjadega.

2.           Iga liikmesriik teavitab hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks komisjoni vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

Artikkel 81 Terviseandmete töötlemine

1.           Käesoleva määruse piires ja vastavalt artikli 9 lõike 2 punktile h tuleb terviseandmeid töödelda tuginedes liidu või liikmesriigi õigusele, milles nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õigustatud huvi kaitsmiseks, ning töötlemine peab olema vajalik:

a)      ennetava meditsiini või töömeditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste korraldamise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib liikmesriigi õiguses või liikmesriigi pädevate ametiasutuste kehtestatud eeskirjades sätestatud samaväärne saladuse hoidmise kohustus, või

b)      rahvatervise valdkonna avaliku huvi tõttu, näiteks kaitse tervisele avalduva tõsise piiriülese ohu korral või kõrgete kvaliteedi ja ohutuse standardite tagamine, muu hulgas ravimite või meditsiiniseadmete puhul; või

c)      muudel avaliku huviga seotud põhjustel, näiteks sellistes valdkondades nagu sotsiaalne kaitse, eriti selleks, et tagada hüvitisnõuete rahuldamise menetluste ja tervisekindlustussüsteemi teenuste kvaliteet ning tasuvus.

2.           Terviseandmete töötlemise puhul, mis on vajalik ajaloo- ja statistikauurimuste ning teadustöö eesmärgil, näiteks patsientide registrite loomine, et parandada diagnoosimist ja eristada sarnast tüüpi haigusi ja valmistada ette ravivõimaluste uuringuid, kohaldatakse artiklis 83 osutatud tingimusi ja kaitsemeetmeid.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse muid avaliku huvi põhjusi rahvatervise valdkonnas, nagu on osutatud lõike 1 punktis b, ning samuti lõikes 1 osutatud eesmärkidel tehtavate isikuandmete töötlemise kaitsemeetmete tingimusi ja nõudeid.

Artikkel 82 Töötlemine töösuhte kontekstis

1.           Käesoleva määruse piires võivad liikmesriigid vastu võtta õigusakte, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega.

2.           Iga liikmesriik teavitab komisjoni hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse selliste isikuandmete töötlemise kaitsemeetmete tingimusi ja nõudeid, millele eesmärgid on esitatud lõikes 1.

Artikkel 83 Töötlemine ajaloo- ja statistikauurimuste ning teadustöö eesmärgil

1.           Käesoleva määruse piires võib isikuandmeid töödelda ajaloo- ja statistikauurimuste ning teadustöö eesmärgil üksnes juhul, kui:

a)      seda eesmärki ei ole võimalik saavutada, töödeldes andmeid, mis ei võimalda või mis enam ei võimalda andmesubjekti tuvastada;

b)      andmeid, mis võimaldavad seostada teavet tuvastatud või tuvastatava andmesubjektiga, hoitakse eraldi muust teabest, kui seda eesmärki saab nii täita.

2.           Ajaloo- ja statistikauurimuste ning teadustööga tegelevad asutused võivad isikuandmeid avaldada või muul viisil avalikustada üksnes juhul, kui:

a)      andmesubjekt on andnud nõusoleku vastavalt artiklis 7 sätestatud tingimustele;

b)      isikuandmete avaldamine on vajalik teadustöö tulemuste tutvustamiseks või teadustegevuse edendamiseks ja kui andmesubjekti huvid või põhiõigused ja -vabadused ei ole ülimuslikud nende huvide suhtes või

c)      andmesubjekt on andmed avalikustanud.

3.           Komisjoni volitatakse vastavalt artiklile 86 võtma vastu delegeeritud õigusakte, millega täpsustatakse isikuandmete töötlemise tingimusi ja nõudeid, mille eesmärgid on esitatud lõigetes 1 ja 2, ja samuti vajalikke piiranguid, mis seatakse andmesubjekti õigusele saada teavet ja omada juurdepääsu, ja esitada üksikasjalikult andmesubjekti õiguste tingimused ja kaitsemeetmed sellistes olukordades.

Artikkel 84 Saladuse hoidmise kohustused

1.           Käesoleva määruse piires võivad liikmesriigid vastu võtta erieeskirju, et kehtestada artikli 53 lõikes 2 sätestatud järelevalveasutuste uurimisvolitused seoses vastutavate töötlejate või volitatud töötlejatega, kellel on siseriiklike õigusaktide või pädevate asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, kui see on vajalik ja proportsionaalne, et ühildada isikuandmete kaitse õigust ja saladuse hoidmise kohustust. Neid eeskirju kohaldatakse üksnes nende isiklike andmete suhtes, mis vastutav töötleja või volitatud töötleja on saanud saladuse hoidmise kohustusega hõlmatud tegevuse käigus.

2.           Iga liikmesriik teavitab hiljemalt artikli 91 lõikes 2 nimetatud kuupäevaks komisjoni vastavalt lõikele 1 vastu võetud eeskirjadest ning viivitamata kõigist hilisematest või neid mõjutavatest muudatustest.

Artikkel 85 Kirikute ja usuühenduste suhtes kehtivad isikuandmete kaitse eeskirjad

1.           Kui käesoleva määruse jõustumise ajal kohaldavad liikmesriigi kirikud ja usuühendused või -kogukonnad põhjalikke eeskirju, mis on seotud üksikisikute kaitsega isikuandmete töötlemisel, võib nende eeskirjade kohaldamist jätkata tingimusel, et need viiakse kooskõlla käesoleva määruse sätetega.

2.           Kirikud ja usuühendused, kes kohaldavad põhjalikke eeskirju kooskõlas lõikega 1, näevad ette sõltumatu järelevalveasutuse loomise vastavalt käesoleva määruse VI peatükile.

X PEATÜKK DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID

Artikkel 86 Delegeeritud volituste rakendamine

1.           Komisjonile antud õiguse suhtes võtta vastu delegeeritud õigusakte kohaldatakse käesolevas artiklis sätestatud tingimusi.

2.           Alates käesoleva määruse jõustumisest antakse komisjonile määramata ajaks artikli 6 lõikes 5, artikli 8 lõikes 3, artikli 9 lõikes 3, artikli 12 lõikes 5, artikli 14 lõikes 7, artikli 15 lõikes 3, artikli 17 lõikes 9, artikli 20 lõikes 6, artikli 22 lõikes 4, artikli 23 lõikes 3, artikli 26 lõikes 5, artikli 28 lõikes 5, artikli 30 lõikes 3, artikli 31 lõikes 5, artikli 32 lõikes 5, artikli 33 lõikes 6, artikli 34 lõikes 8, artikli 35 lõikes 11, artikli 37 lõikes 2, artikli 39 lõikes 2, artikli 43 lõikes 3, artikli 44 lõikes 7, artikli 79 lõikes 6, artikli 81 lõikes 3, artikli 82 lõikes 3 ja artikli 83 lõikes 3 osutatud volituste delegeerimine.

3.           Euroopa Parlament ja nõukogu võivad artikli 6 lõikes 5, artikli 8 lõikes 3, artikli 9 lõikes 3, artikli 12 lõikes 5, artikli 14 lõikes 7, artikli 15 lõikes 3, artikli 17 lõikes 9, artikli 20 lõikes 6, artikli 22 lõikes 4, artikli 23 lõikes 3, artikli 26 lõikes 5, artikli 28 lõikes 5, artikli 30 lõikes 3, artikli 31 lõikes 5, artikli 32 lõikes 5, artikli 33 lõikes 6, artikli 34 lõikes 8, artikli 35 lõikes 11, artikli 37 lõikes 2, artikli 39 lõikes 2, artikli 43 lõikes 3, artikli 44 lõikes 7, artikli 79 lõikes 6, artikli 81 lõikes 3, artikli 82 lõikes 3 ja artikli 83 lõikes 3 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

4.           Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

5.           Vastavalt artikli 6 lõikele 5, artikli 8 lõikele 3, artikli 9 lõikele 3, artikli 12 lõikele 5, artikli 14 lõikele 7, artikli 15 lõikele 3, artikli 17 lõikele 9, artikli 20 lõikele 6, artikli 22 lõikele 4, artikli 23 lõikele 3, artikli 26 lõikele 5, artikli 28 lõikele 5, artikli 30 lõikele 3, artikli 31 lõikele 5, artikli 32 lõikele 5, artikli 33 lõikele 6, artikli 34 lõikele 8, artikli 35 lõikele 11, artikli 37 lõikele 2, artikli 39 lõikele 2, artikli 43 lõikele 3, artikli 44 lõikele 7, artikli 79 lõikele 6, artikli 81 lõikele 3, artikli 82 lõikele 3 ja artikli 83 lõikele 3 vastu võetud delegeeritud aktid jõustuvad vaid siis, kui Euroopa Parlament ega nõukogu ei ole nende suhtes vastuväiteid esitanud kahe kuu jooksul alates õigusakti teatavakstegemisest Euroopa Parlamendile ja nõukogule või kui enne selle ajavahemiku lõppemist Euroopa Parlament ja nõukogu teavitavad komisjoni vastuväidete puudumisest. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

Artikkel 87 Komiteemenetlus

1.           Komisjoni abistab komitee. Kõnealune komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2.           Kui on viidatud käesolevale lõikele, kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

3.           Kui on viidatud käesolevale lõikele, kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.

XI PEATÜKK

LÕPPSÄTTED

Artikkel 88 Direktiivi 95/46/EÜ kehtetuks tunnistamine

1.           Direktiiv 95/46/EÜ tunnistatakse kehtetuks.

2.           Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi 95/46/EÜ artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.

Artikkel 89 Seos direktiiviga 2002/58/EÜ ja selle muutmine

1.           Käesoleva määrusega ei panda füüsilistele ega juriidilistele isikutele lisakohustusi isikuandmete töötlemise suhtes, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega üldkasutatavates sidevõrkudes Euroopa Liidus ja mis on seotud küsimustega, mille puhul kehtivad nende suhtes direktiivis 2002/58/EÜ sätestatud erikohustused, millel on sama eesmärk.

2            Direktiivi 2002/58/EÜ artikli 1 lõige 2 jäetakse välja.

Artikkel 90 Hindamine

Komisjon esitab korrapäraste ajavahemike järel Euroopa Parlamendile ja nõukogule käesoleva määruse hindamise ja läbivaatamise kohta aruande. Esimene aruanne esitatakse hiljemalt neli aastat pärast käesoleva määruse jõustumist. Järgnevad aruanded esitatakse seejärel iga nelja aasta tagant. Komisjon esitab vajaduse korral asjakohased ettepanekud käesoleva määruse muutmiseks ning teiste õigusaktide kohandamiseks, eelkõige võttes arvesse infotehnoloogia ja infoühiskonna arengut. Aruanded avalikustatakse.

Artikkel 91 Jõustumine ja kohaldamine

1.           Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2.           Seda hakatakse kohaldama [kahe aasta möödumisel pärast lõikes 1 osutatud kuupäeva].

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 25.1.2012

Euroopa Parlamendi nimel                           Nõukogu nimel

president                                                        eesistuja

ÕIGUSAKTILE LISATAV FINANTSSELGITUS

1.           ETTEPANEKU/ALGATUSE RAAMISTIK

              1.1.    Ettepaneku/algatuse nimetus

              1.2.    Asjaomased poliitikavaldkonnad vastavalt tegevuspõhise juhtimise ja eelarvestamise struktuurile

              1.3.    Ettepaneku/algatuse liik

              1.4.    Eesmärgid

              1.5.    Ettepaneku/algatuse põhjendus

              1.6.    Meetme kestus ja finantsmõju

              1.7.    Ettenähtud eelarve täitmise viisid

2.           HALDUSMEETMED

              2.1.    Järelevalve ja aruandluse eeskirjad

              2.2.    Haldus- ja kontrollisüsteemid

              2.3.    Pettuse ja eeskirjade eiramise ärahoidmise meetmed

3.           ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU

              3.1.    Mitmeaastase finantsraamistiku rubriigid ja eelarveread, millele mõju avaldub

              3.2.    Hinnanguline mõju kuludele

              3.2.1. Üldine hinnanguline mõju kuludele

              3.2.2. Hinnanguline mõju tegevusassigneeringutele

              3.2.3. Hinnanguline mõju haldusassigneeringutele

              3.2.4. Kooskõla kehtiva mitmeaastase finantsraamistikuga

              3.2.5. Kolmandate isikute rahaline osalus

              3.3.    Hinnanguline mõju tuludele

ÕIGUSAKTILE LISATAV FINANTSSELGITUS

1. ETTEPANEKU/ALGATUSE RAAMISTIK

Selles finantsselgituses esitatakse üksikasjalikumalt nõuded halduskuludele, mis on vajalikud isikuandmete kaitse reformi elluviimiseks, nagu on vastavas mõjuhinnangus selgitatud. Reform hõlmab kahte seadusandlikku ettepanekut: isikuandmete kaitse üldmäärust ning direktiivi üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta. Käesolev finantsselgitus hõlmab mõlema õigusakti mõju eelarvele.

Ülesannete jaotuse kohaselt vajavad ressursse komisjon ja Euroopa andmekaitseinspektor.

Komisjoni puhul on vajalikud ressursid juba kavandatud 2014.–2020. aasta finantsperspektiivi kaasatud. Isikuandmete kaitse on üks põhiõiguste ja kodakondsuse programmi eesmärke, millega toetatakse samuti õigusraamistiku kasutuselevõtmise meetmeid. Haldusassigneeringud ning vajalikud töötajad on hõlmatud õigusküsimuste peadirektoraadi halduseelarvega.

Euroopa andmekaitseinspektori puhul tuleb vajalikke ressursse Euroopa andmekaitseinspektori vastavates aastaeelarvetes arvesse võtta. Ressursid on üksikasjalikult esitatud käesoleva finantsselgituse lisas. Selleks et eraldada ressursse nende Euroopa Andmekaitsenõukogu uute ülesannete täitmiseks, mille puhul Euroopa andmekaitseinspektor sekretariaadi töö tagab, on vajalik 2014.–2020. aasta finantsperspektiivi rubriigi 5 ümberplaneerimine.

1.1. Ettepaneku/algatuse nimetus

Ettepanek võtta vastu Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus).

Ettepanek võtta vastu Euroopa Parlamendi ja nõukogu direktiiv üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta.

1.2. Asjaomased poliitikavaldkonnad vastavalt tegevuspõhise juhtimise ja eelarvestamise (ABM/ABB[49]) struktuurile

Õigus – isikuandmete kaitse

Mõju eelarvele avaldub komisjonile ja Euroopa andmekaitseinspektorile. Mõju komisjoni eelarvele on esitatud käesoleva finantsselgituse tabelites. Tegevuskulud on osa põhiõiguste ja kodakondsuse programmist, mida on juba kõnealuse programmi finantsselgituses arvesse võetud. Halduskulud sisalduvad õigusküsimuste peadirektoraadi eelarvelistes vahendites. Euroopa andmekaitseinspektorit käsitlevad elemendid on esitatud lisas.

1.3. Ettepaneku/algatuse liik

¨ Ettepanek/algatus käsitleb uut meedet

¨ Ettepanek/algatus käsitleb uut meedet, mis tuleneb katseprojektist / ettevalmistavast meetmest[50]

þ Ettepanek/algatus käsitleb olemasoleva meetme pikendamist

¨ Ettepanek/algatus käsitleb ümbersuunatud meedet

1.4. Eesmärgid 1.4.1. Komisjoni mitmeaastased strateegilised eesmärgid, mida ettepaneku/algatuse kaudu täidetakse

Reformi eesmärk on viia lõpule algsete eesmärkide saavutamine, võttes arvesse uusi arengusuundi ja probleeme, s.o:

- isikuandmete kaitsega seotud põhiõiguse kasutamise tulemuslikkuse suurendamine ning üksikisikutele oma andmete üle kontrolli andmine, eelkõige tehnoloogilise arengu ja üha suureneva üleilmastumise kontekstis;

- isikuandmete kaitse siseturu mõõtme täiustamine, vähendades killustatust, tugevdades järjepidevust ning lihtsustades regulatiivset keskkonda, millega kõrvaldatakse ebavajalikud kulud ning vähendatakse halduskoormust.

Lisaks sellele annab Lissaboni lepingu jõustumine ja eelkõige uue õigusliku aluse (Euroopa Liidu toimimise lepingu artikkel 16) kehtestamine võimaluse saavutada uus eesmärk, s.o:

- luua kõiki valdkondi hõlmav terviklik isikuandmete kaitse raamistik.

1.4.2. Erieesmärgid ning asjaomased tegevusalad vastavalt tegevuspõhise juhtimise ja eelarvestamise süsteemile

Erieesmärk nr 1

Isikuandmete kaitse eeskirjade järjepideva jõustamise tagamine

Erieesmärk nr 2

Praeguse juhtimissüsteemi ratsionaliseerimine, et aidata tagada järjepidevam jõustamine

Asjaomased tegevusalad vastavalt tegevuspõhise juhtimise ja eelarvestamise süsteemile

[…]

1.4.3. Oodatavad tulemused ja mõju

Täpsustage, milline peaks olema ettepaneku/algatuse oodatav mõju abisaajatele/sihtrühmale.

Nii avalik-õiguslikud kui ka eraõiguslikud vastutavad töötlejad saavad rohkem õiguskindlust tänu ühtlustatud ja selgitatud ELi isikuandmete kaitse eeskirjadele ja menetlustele, millega luuakse võrdsed võimalused ja tagatakse isikuandmete kaitse eeskirjade järjepidev jõustamine ning samuti halduskoormuse oluline vähendamine.

Üksikisikud saavad paremini oma isikuandmeid kontrollida ning võivad digitaalset keskkonda rohkem usaldada ja nad jäävad kaitstuks muu hulgas ka juhul, kui nende isikuandmeid töödeldakse välismaal. Neil on samuti võimalus oodata isikuandmete töötlejatelt suuremat vastutust.

Isikuandmete kaitse terviklik süsteem hõlmab samuti politsei- ja õigusvaldkonda ning muu hulgas endist kolmandat sammast.

1.4.4. Tulemus- ja mõjunäitajad

Täpsustage, milliste näitajate alusel hinnatakse ettepaneku/algatuse elluviimist.

(Vt mõjuhinnangu jaotis 8)

Näitajaid hinnatakse perioodiliselt ning need hõlmavad järgmisi elemente:

•        vastutavate töötlejate poolt teiste liikmesriikide õigusaktide järgimisele kulutatud aeg ja rahalised vahendid;

•        andmekaitseasutustele eraldatud ressursid;

•        avalik-õiguslikes ja eraõiguslikes organisatsioonides tööle määratud andmekaitseametnikud;

•        isikuandmete kaitset käsitleva mõjuhinnangu kasutamine;

•        andmesubjektidelt laekunud kaebuste arv ning andmesubjektidelt saadud kompensatsioon;

•        vastutavate töötlejate vastutusele võtmiseni viinud juhtumite arv;

•        isikuandmete kaitsega seotud rikkumiste eest vastutavatele töötlejatele määratud trahvid.

1.5. Ettepaneku/algatuse põhjendus 1.5.1. Lühi- või pikaajalises perspektiivis täidetavad vajadused

Praegused erinevused direktiivi liikmesriikidepoolses rakendamises, tõlgendamises ja jõustamises kahjustavad siseturu toimimist ning riigiasutuste vahel tehtavat koostööd, mis on seotud ELi poliitikaga. See takistab direktiivi põhieesmärgi saavutamist, mis seisneb siseturul isikuandmete vaba liikumise edendamises. Uute tehnoloogiate kiire areng ning üleilmastumine suurendavad veelgi seda probleemi.

Üksikisikutel on killustatuse ja eri liikmesriikides kooskõlastamata rakendamise ja jõustamise tõttu erinevad isikuandmete kaitsega seotud õigused. Lisaks sellele ei ole üksikisikud tihti teadlikud sellest ega kontrolli seda, mis nende isikuandmetega toimub, ning nad ei saa seetõttu oma õigusi tulemuslikult kasutada.

1.5.2. Euroopa Liidu meetme lisaväärtus

Liikmesriigid üksi ei saa praeguses olukorras probleeme vähendada. See on eelkõige nii nende probleemide korral, mille põhjustab ELi isikuandmete kaitse õigusraamistiku rakendamiseks kasutatavate riiklike õigusaktide killustatus. Seega on olemas mõjuv põhjus ELi tasandil isikuandmete kaitse alase õigusraamistiku loomiseks. On konkreetne vajadus luua ühtlustatud ja sidus raamistik, mis võimaldab isikuandmeid Euroopa Liidus riikide vahel sujuvalt edastada, tagades samal ajal kõigi isikute tulemusliku kaitse kõikjal ELis.

1.5.3. Samalaadsetest kogemustest saadud õppetunnid

Praegune ettepanek tugineb direktiivi 95/46/EÜ raames saadud kogemustele ning probleemidele, mille põhjustas kõnealuse direktiivi killustatud ülevõtmine ja rakendamine ja mis on takistanud saavutada kõnealuse direktiivi eesmärke, s.o isikuandmete kaitse kõrge tase ning isikuandmete kaitse ühtne turg.

1.5.4. Kooskõla ja võimalik koostoime muude asjaomaste meetmetega

Isikuandmete kaitse reformi paketi eesmärk on luua ELi tasandil tugev, järjepidev ja nüüdisaegne isikuandmete kaitse raamistik. See peab olema tehnoloogiliselt neutraalne ning seda peab olema võimalik kohaldada ka tulevastel kümnenditel. Sellega aidatakse üksikisikuid eelkõige digitaalkeskkonnas nende isikuandmete kaitsega seotud õiguste tugevdamise teel ning lihtsustatakse ettevõtete ja avaliku sektori jaoks õiguskeskkonda, millega stimuleeritakse digitaalmajanduse arengut kõikjal ELi siseturul ja väljaspool seda, kooskõlas strateegia „Euroopa 2020” eesmärkidega.

Isikuandmete kaitse reformi pakett koosneb eelkõige järgmisest:

–        määrus, millega asendatakse direktiiv 95/46/EÜ;

–        direktiiv üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta.

Kõnealuste seadusandlike ettepanekutega on kaasas aruanne liikmesriikides raamotsuse 2008/977/JSK rakendamise kohta, mis on praegu kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas peamine ELi isikuandmete kaitse alane õigusakt.

1.6. Meetme kestus ja finantsmõju

¨ Piiratud kestusega ettepanek/algatus

1. ¨  Ettepanek/algatus hõlmab ajavahemikku [PP/KK]AAAA–[PP/KK]AAAA

2. ¨  Finantsmõju avaldub ajavahemikul AAAA–AAAA

þ Piiramatu kestusega ettepanek/algatus

1. rakendamise käivitumisperiood hõlmab ajavahemikku 2014–2016,

2. millele järgneb täieulatuslik rakendamine.

1.7. Ettenähtud eelarve täitmise viisid[51]

þ Otsene tsentraliseeritud eelarve täitmine komisjoni poolt

¨ Kaudne tsentraliseeritud eelarve täitmine, mille puhul eelarve täitmise ülesanded on delegeeritud:

3. ¨  rakendusametitele

4. ¨  ühenduste asutatud asutustele[52]

5. ¨  riigi avalik-õiguslikele asutustele või avalikke teenuseid osutavatele asutustele

3. ¨  isikutele, kellele on delegeeritud konkreetsete meetmete rakendamine Euroopa Liidu lepingu V jaotise kohaselt ja kes on kindlaks määratud asjaomases õigusaktis finantsmääruse artikli 49 tähenduses

¨ Eelarve täitmine koostöös liikmesriikidega

¨ Detsentraliseeritud eelarve täitmine koostöös kolmandate riikidega

¨ Eelarve täitmine ühiselt rahvusvaheliste organisatsioonidega (täpsustage)

Mitme eelarve täitmise viisi valimise korral esitage üksikasjad rubriigis „Märkused”.

Märkused

//

2. HALDUSMEETMED 2.1. Järelevalve ja aruandluse eeskirjad

Täpsustage tingimused ja sagedus.

Esimene hindamine toimub 4 aasta möödumisel õigusaktide jõustumisest. Õigusaktidesse on lisatud sõnaselge läbivaatamise klausel, millega komisjon hindab nende rakendamist. Komisjon annab seejärel Euroopa Parlamendile ja nõukogule hindamise tulemustest teada. Edasised hindamised toimuvad iga nelja aasta tagant. Kohaldatakse komisjoni hindamismetoodikat. Kõnealused hindamised tehakse õigusaktide rakendamist käsitlevate sihtotstarbeliste uuringute, riiklikele andmekaitseasutustele esitatavate küsimustike, ekspertide arutelude, õpikodade, Eurobaromeetri uuringute jne abil.

2.2. Haldus- ja kontrollisüsteemid 2.2.1. Tuvastatud ohud

Määruse ja direktiivi ettepanekule lisamiseks on tehtud ELi isikuandmete kaitse raamistiku reformi mõjuhinnang.

Uue õigusaktiga kehtestatakse järjepidevuse mehhanism, millega tagatakse, et liikmesriikide järelevalveasutused kohaldavad raamistikku sidusal ja järjepideval viisil. Mehhanismi kasutatakse Euroopa Andmekaitsenõukogu kaudu, mis koosneb riiklike järelevalveasutuste juhtidest ning Euroopa andmekaitseinspektorist ning millega asendatakse praegune artikli 29 töörühm. Euroopa andmekaitseinspektor tagab kõnealuse asutuse sekretariaadi töö.

Kui liikmesriikide ametiasutused teevad erandlikke otsuseid, siis tuleb Euroopa Andmekaitsenõukoguga selle kohta arvamuse saamiseks konsulteerida. Kui see menetlus ebaõnnestub või kui järelevalveasutus keeldub kõnealust arvamust järgimast, siis võib komisjon kõnealuse määruse korrakohase ja järjepideva rakendamise tagamiseks esitada arvamuse või kui see on vajalik, siis teha otsuse, kui tal on tõsiseid kahtlusi selle kohta, kas meetme eelnõuga oleks tagatud kõnealuse määruse korrakohane rakendamine või selle tulemuseks oleks muul viisil ebajärjepidev rakendamine.

Järjepidevuse mehhanismi jaoks vajavad täiendavaid ressursse Euroopa andmekaitseinspektor (12 täistööajale taandatud ametikohta ja piisavad haldus- ja tegevusassigneeringud, nt IT-süsteemide ja toimingute jaoks) sekretariaadi loomiseks ning komisjon (5 täistööajale taandatud ametikohta ning seonduvad haldus- ja tegevusassigneeringud) järjepidevuse juhtumitega tegelemiseks.

2.2.2. Ettenähtud kontrollimeetod(id)

Euroopa andmekaitseinspektori ning komisjoni kohaldatavad olemasolevad kontrollimeetodid hõlmavad täiendavaid assigneeringuid.

2.3. Pettuse ja eeskirjade eiramise ärahoidmise meetmed

Täpsustage rakendatavad või kavandatud ennetus- ja kaitsemeetmed.

Euroopa andmekaitseinspektori ning komisjoni kohaldatavad pettuse ärahoidmise meetmed hõlmavad täiendavaid assigneeringuid.

3. ETTEPANEKU/ALGATUSE HINNANGULINE FINANTSMÕJU 3.1. Mitmeaastase finantsraamistiku rubriigid ja kulude eelarveread, millele mõju avaldub

1. Olemasolevad eelarveread

Järjestage mitmeaastase finantsraamistiku rubriikide ja iga rubriigi sees eelarveridade kaupa.

Mitme­aastase finants­raamistiku rubriik || Eelarverida || Assigneerin­gute liik || Rahaline osalus

Number [Nimetus………………………...……….] || Liigendatud/liigendamata ([53]) || EFTA[54] riigid || Kandidaat­riigid[55] || Kolman­dad riigid || Rahaline osalus finantsmääruse artikli 18 lõike 1 punkti aa tähenduses

|| || || || || ||

3.2. Hinnanguline mõju kuludele 3.2.1. Üldine hinnanguline mõju kuludele

miljonites eurodes (kolm kohta pärast koma)

Mitmeaastase finantsraamistiku rubriik || Number ||

|| || || Aasta N[56]= 2014 || Aasta N+1 || Aasta N+2 || Aasta N+3 || Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6) || KOKKU

Ÿ Tegevusassigneeringud || || || || || || || ||

Eelarverea nr || Kulukohustused || (1) || || || || || || || ||

Maksed || (2) || || || || || || || ||

Eelarverea nr || Kulukohustused || (1a) || || || || || || || ||

Maksed || (2a) || || || || || || || ||

Eriprogrammide vahenditest rahastatavad haldusassigneeringud[57] || || || || || || || ||

Eelarverea nr || || (3) || || || || || || || ||

Peadirektoraadi assigneeringud KOKKU || Kulukohustused || =1+1a +3 || || || || || || || ||

Maksed || =2+2a+3 || || || || || || || ||

Ÿ Tegevusassigneeringud KOKKU || Kulukohustused || (4) || || || || || || || ||

Maksed || (5) || || || || || || || ||

Ÿ Eriprogrammide vahenditest rahastatavad haldusassigneeringud KOKKU || (6) || || || || || || || ||

Mitmeaastase finantsraamistiku rubriigi 3 assigneeringud KOKKU || Kulukohustused || =4+ 6 || || || || || || || ||

Maksed || =5+ 6 || || || || || || || ||

Juhul kui ettepanek/algatus mõjutab mitut rubriiki:

Ÿ Tegevusassigneeringud KOKKU || Kulukohustused || (4) || || || || || || || ||

Maksed || (5) || || || || || || || ||

Ÿ Eriprogrammide vahenditest rahastatavad haldusassigneeringud KOKKU || (6) || || || || || || || ||

Mitmeaastase finantsraamistiku RUBRIIKIDE 1–4 assigneeringud KOKKU (võrdlussumma) || Kulukohustused || =4+ 6 || || || || || || || ||

Maksed || =5+ 6 || || || || || || || ||

Mitmeaastase finantsraamistiku rubriik || 5 || „Halduskulud”

miljonites eurodes (kolm kohta pärast koma)

|| || || Aasta N= 2014 || Aasta 2015 || Aasta 2016 || Aasta 2017 || Aasta 2018 || Aasta 2019 || Aasta 2020 || KOKKU

ÕIGUSKÜSIMUSTE PEADIREKTORAAT ||

Ÿ Personalikulud || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Muud halduskulud || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Õigusküsimuste peadirektoraat KOKKU || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Mitmeaastase finantsraamistiku rubriigi 5 assigneeringud KOKKU || (Kulukohustuste kogusumma = maksete kogusumma) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

miljonites eurodes (kolm kohta pärast koma)

|| || || Aasta N[58] || Aasta N+1 || Aasta N+2 || Aasta N+3 || Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6) || KOKKU

Mitmeaastase finantsraamistiku rubriikide 1–5 assigneeringud KOKKU || Kulukohustused || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Maksed || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2. Hinnanguline mõju tegevusassigneeringutele

6. þ  Ettepanek/algatus ei hõlma tegevusassigneeringute kasutamist

Isikuandmete kaitse kõrge tase on samuti üks õiguste ja kodakondsuse programmi eesmärkidest.

7. ¨  Ettepanek/algatus hõlmab tegevusassigneeringute kasutamist, mis toimub järgmiselt:

kulukohustuste assigneeringud miljonites eurodes (kolm kohta pärast koma)

Täpsustada eesmärgid ja väljundid ò || || || Aasta N=2014 || Aasta N+1 || Aasta N+2 || Aasta N+3 || Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6) || KOKKU

VÄLJUNDID

Väljundi liik[59] || Väljundi keskmine kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv kokku || Kulud kokku

ERIEESMÄRK nr 1 ||

- Väljund || Dokumendid[60] || || || || || || || || || || || || || || || || ||

Eesmärk nr 1 kokku || || || || || || || || || || || || || || || ||

ERIEESMÄRK nr 2 ||

- Väljund || Juhtumid[61] || || || || || || || || || || || || || || || || ||

Eesmärk nr 2 kokku || || || || || || || || || || || || || || || ||

KULUD KOKKU || || || || || || || || || || || || || || || ||

3.2.3. Hinnanguline mõju haldusassigneeringutele 3.2.3.1. Ülevaade

8. ¨  Ettepanek/algatus ei hõlma haldusassigneeringute kasutamist

9. þ  Ettepanek/algatus hõlmab haldusassigneeringute kasutamist, mis toimub järgmiselt:

miljonites eurodes (kolm kohta pärast koma)

|| Aasta N [62] 2014 || Aasta 2015 || Aasta 2016 || Aasta 2017 || Aasta 2018 || Aasta 2019 || Aasta 2020 || KOKKU

Mitmeaastase finantsraamistiku RUBRIIK 5 || || || || || || || ||

Personalikulud || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Muud halduskulud || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Mitmeaastase finantsraamistiku RUBRIIK 5 kokku || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Mitmeaastase finantsraamistiku RUBRIIGIST 5[63] välja jäävad kulud || || || || || || || ||

Personalikulud || || || || || || || ||

Muud halduskulud || || || || || || || ||

Mitmeaastase finantsraamistiku RUBRIIGIST 5 välja jäävad kulud kokku || || || || || || || ||

KOKKU || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.3.2.  Hinnanguline personalivajadus

10. ¨         Ettepanek/algatus ei hõlma personali kasutamist

11. þ         Ettepanek/algatus hõlmab personali kasutamist, mis toimub järgmiselt:

hinnanguline väärtus täisarvuna (või maksimaalselt ühe kohaga pärast koma)

|| Aasta 2014 || Aasta 2015 || Aasta 2016 || Aasta 2017 || Aasta 2018 || Aasta 2019 || Aasta 2020

Ÿ Ametikohtade loeteluga ette nähtud ametikohad (ametnikud ja ajutised töötajad)

XX 01 01 01 (komisjoni peakorteris ja esindustes) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (delegatsioonides) || || || || || || ||

Ÿ Koosseisuväline personal (täistööajale taandatud töötajad)[64]

XX 01 02 01 (üldvahenditest rahastatavad lepingulised töötajad, riikide lähetatud eksperdid ja renditööjõud) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (lepingulised töötajad, kohalikud töötajad, riikide lähetatud eksperdid, renditööjõud ja noored eksperdid delegatsioonides) || || || || || || ||

XX 01 04 yy [65] || - peakorteris[66] || || || || || || ||

- delegatsioonides || || || || || || ||

XX 01 05 02 (lepingulised töötajad, riikide lähetatud eksperdid ja renditööjõud kaudse teadustegevuse valdkonnas) || || || || || || ||

10 01 05 02 (lepingulised töötajad, riikide lähetatud eksperdid ja renditööjõud otsese teadustegevuse valdkonnas) || || || || || || ||

Muud eelarveread (täpsustage) || || || || || || ||

KOKKU || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX osutab asjaomasele poliitikavaldkonnale või eelarvejaotisele.

Reformi tulemusena peab komisjon täitma isikuandmete töötlemisega seotud üksikisikute kaitse valdkonnas uusi ülesandeid lisaks praegu täidetavatele ülesannetele. Täiendavad ülesanded seisnevad peamiselt uue järjepidevuse mehhanismi rakendamises, millega tagatakse ühtlustatud isikuandmete kaitse alaste õigusaktide sidus rakendamine, kolmandates riikides kohaldatava kaitse piisavuse hindamine, mille eest vastutab ainult komisjon, ning rakendusmeetmete ja delegeeritud õigusaktide ettevalmistamine. Komisjon jätkab muude praegu täidetavate ülesannete (näiteks poliitika väljatöötamine, ülevõtmise kontroll, teadlikkuse parandamine, kaebused jne) täitmist.

Personalivajadused kaetakse juba meedet haldavate peadirektoraadi töötajatega ja/või töötajate ümberpaigutamise teel peadirektoraadi siseselt. Vajaduse korral võidakse personali täiendada meedet haldavale peadirektoraadile iga-aastase vahendite eraldamise menetluse käigus, arvestades olemasolevate eelarvepiirangutega.

Ülesannete kirjeldus:

Ametnikud ja ajutised töötajad || Juhtumite menetlejad, kes kasutavad isikuandmete kaitse järjepidevuse mehhanismi, et tagada ELi isikuandmete kaitse eeskirjade kohaldamise ühtsus. Ülesanded hõlmavad liikmesriikide ametiasutuste poolt otsuse langetamiseks esitatud juhtumite uurimist ja uuringuid, liikmesriikidega peetavaid läbirääkimisi ning komisjoni otsuste ettevalmistamist. Hiljutiste kogemuste põhjal võib 5–10 juhtumit aastas nõuda järjepidevuse mehhanismi kohaldamist. Piisava kaitse taotlustega tegelemiseks on vajalik otsene suhtlus taotluse esitanud riigiga ning võimalik, et ka kõnealuse riigi tingimusi käsitlevate eksperdiuuringute haldamine, tingimuste hindamine, asjakohaste komisjoni otsuste ning menetluse ettevalmistamine, sealhulgas vajaduse korral komisjoni abistava komitee ja mis tahes eksperdikogude loomine. Praeguste kogemuste alusel esitatakse aastas eeldatavasti kuni 4 piisava kaitse nõuet. Rakendusmeetmete vastuvõtmise menetlus hõlmab ettevalmistavaid meetmeid, näiteks aruanded, teadusuuringud ja konsultatsioonid avalikkusega, ning samuti asjaomase õigusakti koostamist ja läbirääkimiste protsessi juhtimist asjakohastes komiteedes ja muudes rühmades ning samuti üldist teabevahetust sidusrühmadega. Täpsemaid suuniseid nõudvates valdkondades võidakse aastas käsitleda kuni kolme rakendusmeedet ning menetlus võib konsultatsioonide intensiivsusest olenevalt võtta kuni 24 kuud.

Koosseisuvälised töötajad || Haldus- ja sekretäritöö valdkonna tugiteenused.

3.2.4. Kooskõla kehtiva mitmeaastase finantsraamistikuga

12. ¨         Ettepanek/algatus on kooskõlas järgmise mitmeaastase finantsraamistikuga

13. þ         Ettepanekuga/algatusega kaasneb mitmeaastase finantsraamistiku asjakohase rubriigi ümberplaneerimine

Allpool tabelis on esitatud finantsvahendite summad, mida Euroopa andmekaitseinspektor vajab igal aastal oma uute ülesannete täitmiseks Euroopa Andmekaitsenõukogu sekretariaadi töö tagamisel ja seonduvate menetluste ja vahendite tagamisel järgmise finantsperspektiivi vältel lisaks juba kavandatud ülesannetele.

Aasta || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Kokku

Personal jne || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Tegevused || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250

Kokku || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073

14. ¨         Ettepanekuga/algatusega seoses on vajalik paindlikkusinstrumendi kohaldamine või mitmeaastase finantsraamistiku läbivaatamine[67].

3.2.5. Kolmandate isikute rahaline osalus

15. þEttepanek/algatus ei hõlma kolmandate isikute poolset kaasrahastamist

16. ¨Ettepanek/algatus hõlmab kaasrahastamist, mille hinnanguline summa on järgmine:

assigneeringud miljonites eurodes (kolm kohta pärast koma)

|| Aasta N || Aasta N+1 || Aasta N+2 || Aasta N+3 || Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6) || Kokku

Täpsustage kaasrahastav asutus || || || || || || || ||

Kaasrahastatavad assigneeringud KOKKU || || || || || || || ||

3.3. Hinnanguline mõju tuludele

17. þ         Ettepanekul/algatusel puudub finantsmõju tuludele.

18. ¨         Ettepanekul/algatusel on järgmine finantsmõju:

· ¨         omavahenditele

· ¨         mitmesugustele tuludele

miljonites eurodes (kolm kohta pärast koma)

Tulude eelarverida || Jooksva aasta eelarves kättesaadavad assigneeringud || Ettepaneku/algatuse mõju[68]

Aasta N || Aasta N+1 || Aasta N+2 || Aasta N+3 || Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6)

|| || || || || || || ||

Mitmesuguste sihtotstarbeliste tulude puhul täpsustage, milliseid kulude eelarveridasid ettepanek mõjutab.

Täpsustage tuludele avaldatava mõju arvutusmeetod.

Lisa üksikisikute kaitset isikuandmete töötlemisel käsitleva Euroopa Parlamendi ja nõukogu määruse ettepaneku finantsselgitusele.

Kohaldatav metoodika ja peamised aluseks olevad eeldused

Kahest ettepanekust tulenevate Euroopa andmekaitseinspektori uute ülesannete täitmisega seotud personalikulud on hinnatud praegu samalaadsete ülesannete täitmisest komisjonile tekkinud kulude alusel.

Euroopa andmekaitseinspektor loob Euroopa Andmekaitsenõukogu, mis asendab artikli 29 töörühma. Komisjoni kõnealuse ülesandega seotud praeguse töökoormuse alusel on selleks vaja kolme täiendavat täistööajale taandatud ametikohta ning vastavaid haldus- ja tegevuskulusid. See töökoormus hakkab kehtima kõnealuse määruse jõustumise kuupäeval.

Lisaks sellele täidab Euroopa andmekaitseinspektor ülesandeid järjepidevuse mehhanismi raames, mis nõuab eeldatavasti viit täistööajale taandatud ametikohta, ning riiklike andmekaitseasutuste jaoks ühise IT-vahendi väljatöötamisel ja käitamisel, mis nõuab kahte täiendavat töötajat.

Esimese seitsme aasta jaoks nõutava personalieelarve arvutused on esitatud täpsemalt allpool tabelis. Teises tabelis on esitatud nõutav tegevuseelarve. See väljendub ELi eelarve Euroopa andmekaitseinspektorit käsitlevas IX jaos.

Kulu liik || Arvutus || Maksumus (tuhandetes)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Kok­ku

Palgad ja lisatasud || || || || || || || || ||

- Euroopa Andmekaitsenõukogu juhatajale || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

- sh ametnikud ja ajutised töötajad || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

- sh riikide lähetatud eksperdid || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

- sh lepingulised töötajad || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

Värbamiskulud || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Lähetuskulud || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Muud kulud, koolitus || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Halduskulud kokku || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Ülesannete kirjeldus:

Ametnikud ja ajutised töötajad || Sekretariaadi ja Andmekaitsenõukogu eest vastutavad kantseleitöötajad. Lisaks logistilisele toele, mis hõlmab eelarvelisi ja lepingulisi küsimusi, sisaldab see koosolekute päevakordade ning ekspertidele saadetavate kutsete koostamist, uuringuid rühma päevakorraga seotud teemadel, rühma tööga seotud dokumentide, sealhulgas asjakohaste isikuandmete kaitse-, konfidentsiaalsus- ning avalikkusele juurdepääsu andmise nõuete haldamist. Arvestades kõiki allrühmi ja eksperdirühmi võidakse korraldada kuni 50 koosolekut ning otsustusmenetlust igal aastal. Juhtumite menetlejad, kes kasutavad isikuandmete kaitse järjepidevuse mehhanismi, et tagada ELi isikuandmete kaitse eeskirjade kohaldamise ühtsus. Ülesanded hõlmavad liikmesriikide ametiasutuste poolt otsuse langetamiseks esitatud juhtumite uurimist ja uuringuid, liikmesriikidega peetavaid läbirääkimisi ning komisjoni otsuste ettevalmistamist. Hiljutiste kogemuste põhjal võib 5–10 juhtumit aastas nõuda järjepidevuse mehhanismi kohaldamist. IT-vahend lihtsustab tegevusalast suhtlust riiklike andmekaitseasutuste ning vastutavate töötlejate vahel, kes on kohustatud avalik-õiguslike asutustega teavet jagama. Vastutavad töötajad tagavad süsteemide nõuete tehnilise projekteerimise, rakendamise ja käitamisega seotud IT-protsesside kvaliteedikontrolli, projektijuhtimise ning eelarve täitmise järelevalve.

Koosseisuvälised töötajad || Haldus- ja sekretäritöö valdkonna tugiteenused.

Euroopa andmekaitseinspektori eriülesannetega seotud kulud

Täpsustada eesmärgid ja väljundid ò || || || Aasta N=2014 || Aasta N+1 || Aasta N+2 || Aasta N+3 || Lisage vajalik arv aastaid, et kajastada kogu finantsmõju kestust (vt punkt 1.6) || KOKKU

VÄLJUNDID

Väljundi liik[69] || Väljundi keskmine kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv || Kulu || Väljundite arv kokku || Kulud kokku

ERIEESMÄRK nr 1[70] || Andmekaitsenõukogu sekretariaat

- Väljund || Juhtumid[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

Eesmärk nr 1 kokku || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

ERIEESMÄRK nr 2 || Järjepidevuse mehhanism

- Väljund || Dokumendid[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

Eesmärk nr 2 kokku || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

ERIEESMÄRK nr 3 || Ühine IT-vahend andmekaitseasutustele (Euroopa andmekaitseinspektor)

- Väljund || Juhtumid[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

Eesmärk nr 3 kokku || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

KULUD KOKKU || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               „Eraelu puutumatuse kaitse ühendatud maailmas – Euroopa 21. sajandi isikuandmete kaitse raamistik” COM(2012) 9 (final).

[2]               COM(2012) 10 (final).

[3]               Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24. oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, EÜT L 281, 23.11.1995, lk 31.

[4]               Nõukogu raamotsus 2008/977/JSK, 27. november 2008, kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta, ELT L 350, 30.12.2008, lk 60 (edaspidi „raamotsus”).

[5]               KOM(2010) 245 (lõplik).

[6]               KOM(2010) 2020 (lõplik).

[7]               „Stockholmi programm – avatud ja turvaline Euroopa kodanike teenistuses ja nende kaitsel”, ELT C 115, 4.5.2010, lk 1.

[8]               Euroopa Parlamendi resolutsioon komisjoni teatise kohta Euroopa Parlamendile ja nõukogule „Vabadusel, turvalisusel ja õigusel rajanev ala kodanike teenistuses” – Stockholmi programm, vastu võetud 25. novembril 2009 (P7_TA(2009)0090).

[9]               KOM(2010) 171 (lõplik).

[10]             KOM(2010) 609 (lõplik).

[11]             Eurobaromeetri eriuuring (EB) nr 359, Isikuandmete kaitse ja elektrooniline identiteet ELis (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Mittekonfidentsiaalseid arvamusi saab vaadata komisjoni veebisaidilt http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Mittekonfidentsiaalseid arvamusi saab vaadata komisjoni veebisaidilt http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Euroopa Võrgu- ja Infoturbeamet, mis tegeleb sidevõrkude ja infosüsteemidega seotud turvaküsimustega.

[18]             Vt http://www.enisa.europa.eu/act/it/data-breach-notification/.

[19]             Eurobaromeetri eriuuring (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Vt uuring eraelu puutumatust soodustavate tehnoloogiate majandusliku kasu kohta ja 2010. aasta jaanuari võrdlusuuring eraelu puutumatuse uute probleemidega seotud erinevate lähenemisviiside kohta eelkõige tehnoloogia arengu seisukohast   (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Töörühm asutati 1996. aastal (direktiivi 95/46/EÜ artikli 29 alusel) ning see on nõuandev organ, kuhu kuuluvad liikmesriikide andmekaitseasutuste esindajad, Euroopa andmekaitseinspektor ja komisjoni esindajad. Rohkem teavet töörühma tegevuse kohta saab aadressil http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Eriti vt järgmised arvamused: arvamus eraelu puutumatuse tuleviku kohta (2009, WP 168), arvamus 1/2010 mõistete „vastutav töötleja” ja „volitatud töötleja” kohta (1/2010, WP 169), arvamus 2/2010 käitumispõhise internetireklaami kohta (2/2010, WP 171), arvamus 3/2010 vastutuse põhimõtte kohta (3/2010, WP 173), arvamus nr 8/2010 kohaldatava õiguse kohta (8/2010, WP 179) ja arvamus 15/2011 nõusoleku mõiste määratlemise kohta (15/2011, WP 187). Komisjoni palvel võttis töörühm vastu ka kolm järgmist nõuandedokumenti: teatiste, tundliku teabe ja isikuandmete kaitse direktiivi artikli 28 lõike 6 kohaldamise kohta. Need on kättesaadavad aadressil http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Kättesaadav Euroopa andmekaitseinspektori veebisaidil http://www.edps.europa.eu/EDPSWEB/.

[24]             Euroopa Parlamendi 6. juuli 2011. aasta resolutsioon tervikliku lähenemisviisi kohta isikandmete kaitsele Euroopa Liidus (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=ET&ring=A7-2011-0244 (raportöör: Euroopa Parlamendi liige Axel Voss (Euroopa Rahvapartei (kristlike demokraatide) fraktsioon, Saksamaa).

[25]             SEC(2012)72.

[26]             CESE 999/2011.

[27]             Euroopa Liidu Kohtu 9. novembri 2010. aasta otsus liidetud kohtuasjades C-92/09 ja C-93/09 Volker und Markus Schecke ja Eifert, EKL 2010, lk I-0000.

[28]             Kooskõlas harta artikli 52 lõikega 1 võib isikuandmete kaitse õiguse rakendamist piirata ainult seadusega ning arvestades nimetatud õiguste ja vabaduste olemust ning kui see on proportsionaalsuse põhimõtte kohaselt vajalik ning vastab tegelikult Euroopa Liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või on vaja kaitsta teiste isikute õigusi ja vabadusi.

[29]             Euroopa Parlamendi ja nõukogu direktiiv 2002/58/EÜ, 12. juuli 2002, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), EÜT L 201, 31.7.2002, lk 37.

[30]             Euroopa Parlamendi ja nõukogu direktiiv 2009/136/EÜ, 25. november 2009, millega muudetakse direktiivi 2002/22/EÜ universaalteenuste ning kasutajate õiguste kohta elektrooniliste sidevõrkude ja -teenuste puhul, direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eralelu puutumatuse kaitset elektroonilise side sektoris, ning määrust (EÜ) nr 2006/2004 tarbijakaitseseaduse jõustamise eest vastutavate siseriiklike asutuste vahelise koostöö kohta (EMPs kohaldatav tekst), ELT L 337, 18.12.2009, lk 11.

[31]             Vastu võetud ning allakirjutamiseks, ratifitseerimiseks ja ühinemiseks avatud ÜRO Peaassamblee 20. novembri 1989. aasta resolutsiooniga 44/25.

[32]             Vastu võetud isikuandmete kaitse ja eraelu puutumatuse eest vastutavate volinike rahvusvahelisel konverentsil 5. novembril 2009. Vt ka Euroopa ühise müügiõiguse määruse ettepaneku (KOM(2011) 635 (lõplik)) artikli 13 lõige 3.

[33]             CM/Rec (2010)13.

[34]             Euroopa Liidu Kohtu 9. märtsi 2010. aasta otsus kohtuasjas: komisjon vs. Saksamaa (C-518/07, EKL 2010, lk I-1885).

[35]             Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001, 18. detsember 2000, üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, EÜT L 008, 12.1.2001, lk 1.

[36]             Op. cit. joonealune märkus 34.

[37]             Nõukogu otsus 2008/615/JSK, 23. juuni 2008, piiriülese koostöö tõhustamise kohta, eelkõige seoses terrorismi- ja piiriülese kuritegevuse vastase võitlusega, ELT L 210, 6.8.2008, lk 1.

[38]             Tuginedes nõukogu 30. novembri 2009. aasta raamotsuse 2009/948/JSK (kohtualluvuskonfliktide vältimise ja lahendamise kohta kriminaalmenetluses, ELT L 328, 15.12.2009, lk 42) artikli 5 lõikele 1 ning nõukogu 16. detsembri 2002. aasta määruse (EÜ) nr 1/2003 (asutamislepingu artiklites 81 ja 82 sätestatud konkurentsieeskirjade rakendamise kohta, ELT L 1, 4.1.2003, lk 1) artikli 13 lõikele 1.

[39]             Tuginedes Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiivi 2000/31/EÜ (infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta), EÜT L 178, 17.7.2000, lk 1) artikli 18 lõikele 1.

[40]             Vt tõlgendus näiteks Euroopa Liidu Kohtu 16. detsembri 2008. aasta otsuses Satakunnan Markkinapörssi ja Satamedia (C-73/07, EKL 2008, lk I-9831).

[41]             ELT C , , lk .

[42]             ELT C , , lk .

[43]             EÜT L 281, 23.11.1995, lk 31.

[44]             EÜT L 8, 12.1.2001, lk 1.

[45]             Euroopa Parlamendi ja nõukogu määrus (EL) nr 182/2011, 16. veebruar 2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes, ELT L 55, 28.2.2011, lk 13.

[46]             EÜT L 176, 10.7.1999, lk 36.

[47]             ELT L 53, 27.2.2008, lk 52.

[48]             ELT L 160, 18.6.2011, lk 19.

[49]             ABM – tegevuspõhine juhtimine; ABB – tegevuspõhine eelarvestamine.

[50]             Vastavalt finantsmääruse artikli 49 lõike 6 punktile a või b.

[51]             Eelarve täitmise viise selgitatakse koos viidetega finantsmäärusele veebisaidil BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[52]             Määratletud finantsmääruse artiklis 185.

[53]             Liigendatud assigneeringud / liigendamata assigneeringud.

[54]             EFTA – Euroopa Vabakaubanduse Assotsiatsioon.

[55]             Kandidaatriigid ja vajaduse korral Lääne-Balkani potentsiaalsed kandidaatriigid.

[56]             Aasta, mil alustatakse ettepaneku/algatuse rakendamist.

[57]             Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised B..A read), otsene teadustegevus, kaudne teadustegevus.

[58]             Aasta, mil alustatakse ettepaneku/algatuse rakendamist.

[59]             Väljunditena käsitatakse tarnitavaid tooteid ja osutatavaid teenuseid (nt rahastatud üliõpilasvahetuste arv, ehitatud teede pikkus kilomeetrites jms).

[60]             Komisjoni arvamused, otsused ja menetluskoosolekud.

[61]             Järjepidevuse mehhanismi alusel käsitletud juhtumid.

[62]             Aasta, mil alustatakse ettepaneku/algatuse rakendamist.

[63]             Tehniline ja/või haldusabi ning ELi programmide ja/või meetmete rakendamiseks antava toetusega seotud kulud (endised B..A read), otsene teadustegevus, kaudne teadustegevus.

[64]             Lepingulised töötajad, kohalikud töötajad, riikide lähetatud eksperdid, renditööjõud, noored eksperdid

delegatsioonides.

[65]             Tegevusassigneeringutest rahastatavate koosseisuväliste töötajate ülempiiri arvestades (endised B..A read).

[66]             Peamiselt struktuurifondid, Euroopa Maaelu Arengu Põllumajandusfond ja Euroopa Kalandusfond.

[67]             Vt institutsioonidevahelise kokkuleppe punkte 19 ja 24.

[68]             Traditsiooniliste omavahendite (tollimaksud ja suhkrumaksud) korral peab märgitud olema netosumma, st brutosumma pärast 25 % sissenõudmiskulude mahaarvamist.

[69]             Väljunditena käsitatakse tarnitavaid tooteid ja osutatavaid teenuseid (nt rahastatud üliõpilasvahetuste arv, ehitatud teede pikkus kilomeetrites jms).

[70]             Vastavalt punktis 1.4.2 nimetatud erieesmärkidele.

[71]             Järjepidevuse mehhanismi alusel käsitletud juhtumid.

[72]             Komisjoni arvamused, otsused ja menetluskoosolekud.

[73]             Iga aasta kogusummad prognoosivad IT-vahendite väljatöötamiseks ja käitamiseks tehtavat tööd.