Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) /* COM/2012/011 final - 2012/0011 (COD) */
PERUSTELUT
1.
EHDOTUKSEN TAUSTA
Näissä perusteluissa esitellään
yksityiskohtaisesti ehdotus henkilötietojen suojaa koskevaksi uudeksi EU:n
lainsäädäntökehykseksi. Uudistusta käsitellään myös tiedonannossa COM(2012) 9
final[1].
Ehdotettu uusi lainsäädäntökehys käsittää kaksi säädösehdotusta, jotka ovat –
ehdotus Euroopan parlamentin ja neuvoston
asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden
tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), ja –
ehdotus Euroopan parlamentin ja neuvoston
direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa
henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja
syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten
sekä näiden tietojen vapaasta liikkuvuudesta[2].
Nämä perustelut liittyvät yleistä
tietosuoja-asetusta koskevaan ehdotukseen. Kun EU:n nykyisen tietosuojalainsäädännön
keskeinen säädös, direktiivi 95/46/EY[3],
annettiin vuonna 1995, sillä oli kaksi tavoitetta: suojata tietosuojaa koskeva
perusoikeus ja taata henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä.
Direktiiviä täydennettiin puitepäätöksellä 2008/977/YOS. Se on unionin tasolla
sovellettava yleinen väline, joka koskee henkilötietojen suojaa poliisiyhteistyön
ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla[4]. Teknologian nopea kehitys on tuonut
henkilötietojen suojeluun uusia haasteita. Tietoja jaetaan ja kerätään nyt
valtavan paljon suuremmassa mittakaavassa kuin ennen. Teknologian kehityksen
ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää
toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös yksityiset
ihmiset saattavat yhä useammin henkilötietojaan julkisuuteen
maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen
elämän. Luottamuksen rakentaminen verkkoympäristöön on
talouden kehityksen kannalta olennaista. Luottamuspulan vuoksi kuluttajat
suhtautuvat uusiin verkkopalveluihin epäluuloisesti ja epäröivät ostosten
tekemistä verkossa. Tämä uhkaa hidastaa uusien teknologioiden innovatiivisten
käyttötapojen kehittämistä. Sen vuoksi henkilötietojen suoja on keskeisellä
sijalla Euroopan digitaalistrategiassa[5]
ja yleisemminkin Eurooppa 2020 ‑strategiassa[6]. Periaate, jonka mukaan jokaisella on oikeus
henkilötietojensa suojaan, on vahvistettu Lissabonin sopimuksen myötä Euroopan
unionin toiminnasta tehdyn sopimuksen, jäljempänä SEUT-sopimus, 16 artiklan 1
kohdassa. Lisäksi Lissabonin sopimuksen myötä on otettu käyttöön
SEUT-sopimuksen 16 artiklan 2 kohdassa vahvistettu erityinen oikeusperusta,
jonka nojalla voidaan antaa henkilötietojen suojaa koskevia sääntöjä. Euroopan
unionin perusoikeuskirjan 8 artiklassa vahvistetaan, että henkilötietojen suoja
on perusoikeus. Eurooppa-neuvosto kehotti komissiota
arvioimaan EU:n tietosuojasäädösten toimivuutta ja esittämään tarvittaessa sekä
lainsäädäntöä koskevia että muita ehdotuksia.[7]
Euroopan parlamentti katsoi Tukholman ohjelmaa koskevassa päätöslauselmassaan[8], että EU:ssa olisi laadittava
kattava järjestelmä henkilötietojen suojaamiseksi, ja kehotti muun muassa
tarkistamaan puitepäätöstä. Komissio puolestaan korosti Tukholman ohjelman
toteuttamista koskevassa toimintasuunnitelmassaan[9] tarvetta varmistaa, että
henkilötietojen suojaa koskevaa perusoikeutta sovelletaan johdonmukaisesti
kaikkien EU:n politiikkojen yhteydessä. Tiedonannossaan Kattava lähestymistapa
henkilötietojen suojaan Euroopan unionissa[10]
komissio katsoi, että EU:ssa tarvitaan nykyistä kattavampi ja johdonmukaisempi
politiikka henkilötietojen suojaa koskevan perusoikeuden toteuttamiseksi. Nykyisen tietosuojakehyksen tavoitteet ja
periaatteet ovat edelleen pätevät. Sen avulla ei kuitenkaan ole pystytty
estämään henkilötietojen suojan täytäntöönpanon hajanaisuutta eri puolilla
unionia eikä myöskään oikeudellista epävarmuutta tai sitä laajalle levinnyttä
näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy
huomattavia riskejä[11].
Tämän vuoksi on aika laatia EU:lle vahvempi ja johdonmukaisempi
tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, niin että
digitaalitalous voi kehittyä koko sisämarkkinoiden alueella ja yksilöt voivat
valvoa omia tietojaan. Näin myös vahvistetaan oikeusvarmuutta ja luottamusta
käytännön toiminnan sujuvuuteen talouden toimijoiden ja viranomaisten kannalta.
2.
KUULEMISTEN JA VAIKUTUSTENARVIOINNIN TULOKSET
Tämä aloite perustuu laajaan
kuulemiskierrokseen, jossa kaikilta keskeisiltä sidosryhmiltä pyydettiin
näkemyksiä voimassa olevan tietosuojakehyksen uudistuksesta. Prosessi kesti yli
kaksi vuotta, ja sen yhteydessä järjestettiin toukokuussa 2009 korkean tason
konferenssi[12]
ja kaksi julkista kuulemista: –
9. heinäkuuta – 31. joulukuuta 2009 järjestettiin
kuuleminen henkilötietojen suojaa koskevan perusoikeuden oikeudellisista
puitteista. Komissio sai 168 vastausta, joista 127 yksityishenkilöiltä,
liikemaailman järjestöiltä ja yhdistyksiltä ja 12 viranomaisilta.[13] –
4. marraskuuta 2010 – 15. tammikuuta 2011
järjestettiin kuuleminen komission kattavasta lähestymistavasta henkilötietojen
suojaan Euroopan unionissa. Komissio sai 305 vastausta, joista 54
kansalaisilta, 31 viranomaisilta ja 220 yksityisiltä organisaatioilta,
erityisesti liikemaailman yhdistyksiltä ja valtiosta riippumattomilta
järjestöiltä.[14]
Lisäksi keskeisille sidosryhmille
järjestettiin kohdennettuja kuulemisia, ja kesä- ja heinäkuussa 2010
järjestettiin tilaisuuksia jäsenvaltioiden viranomaisille ja yksityisen
sektorin sidosryhmille sekä yksityisyydensuojan, tietosuojan ja
kuluttaja-asioiden parissa toimiville järjestöille[15]. Marraskuussa 2010 Euroopan
komission varapuheenjohtaja Viviane Reding järjesti tietosuojauudistusta
koskevan pyöreän pöydän keskustelun. Tietosuojapäivänä 28. tammikuuta 2011
Euroopan komissio ja Euroopan neuvosto järjestivät yhdessä korkean tason
konferenssin, jossa käsiteltiin EU:n säädöskehyksen uudistukseen liittyviä
kysymyksiä ja tarvetta laatia maailmanlaajuisesti sovellettavat yhteiset
tietosuojanormit[16].
Unkari ja Puola järjestivät neuvoston puheenjohtajuuskausiensa aikana
tietosuojaa koskevan konferenssin 16. ja 17. kesäkuuta 2011 sekä 21. syyskuuta
2011. Tietosuojauudistukseen liittyviä
erityiskysymyksiä käsiteltiin erilaisissa työpajoissa ja seminaareissa pitkin
vuotta 2011. Tammikuussa ENISA[17]
järjesti työpajan, jossa käsiteltiin tietoturvaloukkauksista ilmoittamista
Euroopassa[18].
Helmikuussa komissio kutsui jäsenvaltion viranomaisia työpajaan keskustelemaan
poliisiyhteistyöhön ja rikosasioissa tehtävään oikeudelliseen yhteistyöhön
liittyvistä tietosuojakysymyksistä sekä puitepäätöksen täytäntöönpanosta.
Perusoikeusvirasto puolestaan järjesti sidosryhmille tarkoitetun
kuulemistapaamisen, jonka aiheena olivat tietosuoja ja yksityisyydensuoja.
Kansallisten tietosuojaviranomaisten kanssa keskusteltiin uudistuksen
keskeisistä kysymyksistä 13. heinäkuuta 2011 pidetyssä kokouksessa. EU:n
kansalaisia kuultiin marras–joulukuussa 2010 tehdyssä eurobarometrikyselyssä[19]. Lisäksi käynnistettiin useita
selvityksiä.[20]
Tietosuojatyöryhmä[21]
esitti komissiolle useita lausuntoja, jotka sisälsivät hyödyllisiä kommentteja[22]. Myös Euroopan tietosuojavaltuutettu
esitti kattavan lausunnon komission marraskuussa 2010 antamassa tiedonannossa
esitetyistä kysymyksistä[23].
Euroopan parlamentti hyväksyi 6. heinäkuuta
2011 antamassaan päätöslauselmassa[24]
kertomuksen, joka tukee tietosuojakehyksen uudistusta koskevaa komission
lähestymistapaa. Euroopan unionin neuvosto hyväksyi 24. helmikuuta 2011
päätelmät, joissa se antaa laajan tukensa komission pyrkimyksille
tietosuojakehyksen uudistamiseksi ja hyväksyy monet komission lähestymistavan
osatekijät. Myös Euroopan talous- ja sosiaalikomitea kannatti komission
pyrkimystä varmistaa EU:n tietosuojasääntöjen yhdenmukaisempi soveltaminen
kaikissa jäsenvaltioissa[25]
direktiiviä 95/46/EY tarkistamalla.[26]
Kuulemisten perusteella sidosryhmien suuri
enemmistö oli sitä mieltä, että tietosuojaa koskevat yleiset periaatteet ovat
edelleen päteviä, mutta että nykyistä säädöskehystä on mukautettava, jotta
voidaan ottaa paremmin huomioon uusien (erityisesti verkkoympäristön)
teknologioiden nopeaan kehitykseen ja globalisaatioon liittyvät haasteet ja
säilyttää samalla säädöskehyksen teknologianeutraalius. Etenkin talouden
toimijat ovat arvostelleet kovin sanoin EU:n nykyisen henkilötietojen suojan
hajanaisuutta ja vaatineet oikeusvarmuuden lisäämistä ja tietosuojasääntöjen
yhtenäistämistä. Talouden toimijat myös katsovat, että henkilötietojen
kansainvälisiin siirtoihin sovellettavien sääntöjen monimutkaisuus haittaa
niiden toimintaa merkittävästi, koska niiden on säännöllisesti siirrettävä
henkilötietoja EU:sta muualle maailmaan. Komissio on arvioinut eri
toimintavaihtoehtojen vaikutuksia parempaa sääntelyä koskevan politiikan
mukaisesti. Vaikutustenarvioinnin perustaksi otettiin kolme toimintatavoitetta,
joiden avulla pyritään parantamaan tietosuojan sisämarkkinaulottuvuutta, tehostamaan
yksilöiden tietosuojaoikeuksien käyttöä ja luomaan kattava ja johdonmukainen
säädöskehys, joka kattaa kaikki unionin toimivaltaan kuuluvat alat, myös
poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön.
Vaikutustenarvioinnissa tarkasteltiin kolmea eriasteista toimintavaihtoehtoa:
ensimmäisen vaihtoehdon mukaan lainsäädäntöä tarkistettaisiin mahdollisimman
vähän, minkä lisäksi laadittaisiin sääntöjen tulkintaa koskevia tiedonantoja ja
tukitoimenpiteitä, kuten rahoitusohjelmia ja teknisiä välineitä, toinen
vaihtoehto käsittäisi joukon säännöksiä, joilla pyrittäisiin ratkaisemaan
analyysissa havaitut ongelmat, ja kolmas vaihtoehto edellyttäisi tietosuojan
keskittämistä EU:n tasolle antamalla kaikkia sektoreita koskevat täsmälliset ja
yksityiskohtaiset säännöt ja perustamalla EU:n virasto seuraamaan ja valvomaan
näiden säännösten täytäntöönpanoa. Komission vakiintuneen käytännön mukaisesti
kutakin toimintavaihtoehtoa arvioitiin yksiköiden välisen ohjausryhmän avulla
tarkastelemalla sen vaikuttavuutta toimintatavoitteiden saavuttamisessa,
taloudellisia vaikutuksia sidosryhmiin (muun muassa EU:n toimielinten
talousarvioon), sosiaalisia vaikutuksia ja vaikutusta perusoikeuksiin.
Ympäristövaikutuksia ei tarkasteltu erikseen. Kokonaisvaikutusten analyysin
perusteella laadittiin parhaaksi arvioitu toimintavaihtoehto. Se perustuu
toiseen toimintavaihtoehtoon, minkä lisäksi sitä on täydennetty eräillä kahteen
muuhun vaihtoehtoon sisältyvillä toimenpiteillä. Nämä kaikki esitetään tässä
ehdotuksessa. Vaikutustenarvioinnin perusteella parhaaksi arvioidun vaihtoehdon
toteuttaminen parantaa huomattavasti oikeusvarmuutta rekisterinpitäjien ja
kansalaisten kannalta, keventää hallinnollista rasitusta, lisää
tietosuojasäännösten täytäntöönpanon johdonmukaisuutta unionissa, parantaa
yksilöiden mahdollisuuksia käyttää tietosuojaoikeuksiaan henkilötietojensa
suojaamiseksi EU:ssa sekä tehostaa tietosuojalainsäädännön valvontaa ja
täytäntöönpanoa. Parhaaksi arvioidun vaihtoehdon täytäntöönpanon odotetaan myös
edistävän yksinkertaistamista ja hallinnollisen rasituksen keventämistä
koskevia komission tavoitteita sekä Euroopan digitaalistrategian, Tukholman
ohjelman toimintasuunnitelman ja Eurooppa 2020 -strategian tavoitteita. Vaikutustenarviointilautakunta antoi
arvioinnista lausuntonsa 9. syyskuuta 2011. Sen perusteella
vaikutustenarviointiin tehtiin seuraavat muutokset: –
nykyisen säädöskehyksen tavoitteita selkeytettiin
(missä määrin ne on saavutettu ja miltä osin niitä ei ole saavutettu), samoin
suunnitellun uudistuksen tavoitteita; –
ongelman määrittelyä koskevassa jaksossa esitettiin
enemmän näyttöä ja lisää selityksiä/täsmennyksiä; –
tekstiin lisättiin suhteellisuusperiaatetta koskeva
jakso; –
kaikki perusskenaariossa ja parhaaksi arvioidussa
vaihtoehdossa esitetyt hallinnollista rasitusta koskevat laskelmat ja arviot on
tarkistettu perusteellisesti ja ilmoituskustannusten ja lainsäädännön
hajanaisuudesta johtuvien kokonaiskustannusten suhdetta on täsmennetty (muun
muassa liitteessä 10); –
erityisesti tietosuojavastaavista ja tietosuojaa
koskevien vaikutustenarviointien laatimisesta mikroyrityksille ja pienille ja
keskisuurille yrityksille aiheutuvia vaikutuksia on täsmennetty paremmin. Vaikutustenarviointikertomus ja sen
tiivistelmä julkaistaan yhdessä säädösehdotusten kanssa.
3.
EHDOTUKSEN OIKEUDELLINEN SISÄLTÖ
3.1.
Oikeusperusta
Tämä ehdotus perustuu SEUT-sopimuksen 16
artiklaan, joka on Lissabonin sopimuksen mukainen uusi oikeusperusta
tietosuojaa koskevien sääntöjen antamiselle. Kyseisen määräyksen nojalla
voidaan antaa sääntöjä, jotka koskevat yksilöiden suojelua henkilötietojen
käsittelyssä silloin, kun näitä tietoja käsittelevät jäsenvaltiot
suorittaessaan unionin lainsäädännön soveltamisalaan kuuluvia tehtäviä. Lisäksi
sen perusteella voidaan antaa sääntöjä, jotka koskevat henkilötietojen vapaata
liikkuvuutta, riippumatta siitä, käsittelevätkö henkilötietoja jäsenvaltiot vai
yksityiset tahot. Asetuksen katsotaan olevan sopivin
säädöstyyppi henkilötietojen suojaa koskevan kehyksen määrittämiseksi
unionissa. Asetuksen suora sovellettavuus SEUT-sopimuksen 288 artiklan nojalla
vähentää lainsäädännön hajanaisuutta ja takaa paremman oikeusvarmuuden, kun
käyttöön otetaan yhtenäinen keskeisten sääntöjen kokonaisuus, joka parantaa
yksilön perusoikeuksien suojaa ja edistää sisämarkkinoiden toimintaa. Viittaus SEUT-sopimuksen 114 artiklan 1
kohtaan on tarpeen vain direktiivin 2002/58/EY muuttamiseksi siltä osin kuin
direktiivissä säädetään myös tilaajina olevien oikeushenkilöiden oikeutettujen
etujen suojaamisesta.
3.2.
Toissijaisuus ja suhteellisuus
Euroopan unionista tehdyn sopimuksen,
jäljempänä ’SEU-sopimus’, 5 artiklan 3 kohdassa vahvistetun
toissijaisuusperiaatteen mukaisesti unionin tasolla olisi toteutettava toimia
vain, jos jäsenvaltiot eivät voi yksin riittävällä tavalla saavuttaa
suunnitellun toiminnan tavoitteita, vaan ne voidaan ehdotetun toiminnan
laajuuden tai vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Edellä
esitettyjen ongelmien perusteella toissijaisuusperiaatteen analysointi
osoittaa, että EU:n tason toiminta on tarpeen seuraavista syistä: –
Oikeus henkilötietojen suojaan vahvistetaan
perusoikeuskirjan 8 artiklassa, ja se edellyttää, että tietosuojan on oltava
samantasoinen kaikkialla unionissa. EU:n yhteisten sääntöjen puuttuminen voisi
aiheuttaa riskin siitä, että suojelun taso jäsenvaltioissa vaihtelisi, ja luoda
rajoituksia henkilötietojen siirroille eri normeja noudattavien jäsenvaltioiden
välillä. –
Henkilötietoja siirretään yli valtioiden rajojen
tihenevään tahtiin sekä EU:n sisällä että EU:n ja kolmansien maiden välillä.
Lisäksi tietosuojalainsäädännön täytäntöönpanon valvontaan liittyy käytännön
ongelmia. Jäsenvaltioiden ja niiden viranomaisten olisi tehtävä keskenään
yhteistyötä, jota olisi koordinoitava EU:n tasolla, jotta voidaan varmistaa
unionin oikeuden yhdenmukainen soveltaminen. EU:lla on parhaat edellytykset
varmistaa tehokkaasti ja johdonmukaisesti yksilöiden suojan yhtenäisyys silloin
kun heidän henkilötietojaan siirretään kolmansiin maihin. –
Jäsenvaltiot eivät nykytilanteessa voi yksinään vähentää
näitä ongelmia, etenkään silloin kun ne liittyvät kansallisten lainsäädäntöjen
hajanaisuuteen. Sen vuoksi tarvitaan yhtenäinen ja johdonmukainen kehys, jonka
perusteella henkilötietoja voidaan siirtää sujuvasti yli rajojen EU:n sisällä
ja varmistaa samalla kaikkien yksilöiden tehokas suojelu kaikkialla EU:ssa. –
Ehdotetut EU:n lainsäädäntötoimet ovat ongelmien
luonteen ja mittakaavan vuoksi vaikuttavampia kuin jäsenvaltioiden tasolla
toteutetut vastaavat toimet, koska ne eivät rajoitu yhden tai vain muutaman
jäsenvaltion tasolle. Suhteellisuusperiaate edellyttää, että kaikki
toimet ovat kohdennettuja eivätkä ylitä sitä, mikä on tarpeen tavoitteiden
saavuttamiseksi. Suhteellisuusperiaate on ohjannut koko prosessia eri
toimintavaihtoehtojen määrittämisestä ja arvioinnista säädösehdotuksen
laatimiseen asti.
3.3.
Tiivistelmä perusoikeuksiin liittyvistä
kysymyksistä
Oikeus henkilötietojen suojaan vahvistetaan
perusoikeuskirjan 8 artiklassa, SEUT-sopimuksen 16 artiklassa ja Euroopan
ihmisoikeussopimuksen 8 artiklassa. Kuten EU:n tuomioistuin on korostanut[27], oikeus henkilötietojen
suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen
tehtävään yhteiskunnassa[28].
Tietosuoja liittyy läheisesti yksityis- ja perhe-elämän kunnioittamiseen, josta
määrätään perusoikeuskirjan 7 artiklassa. Tämän vuoksi direktiivin 95/46/EY 1
artiklan 1 kohdassa säädetään, että jäsenvaltioiden on henkilötietojen
käsittelyssä turvattava yksilöille heidän perusoikeutensa ja -vapautensa ja
erityisesti heidän oikeutensa yksityisyyteen. Tietosuojauudistus voi vaikuttaa myös
seuraaviin perusoikeuskirjassa vahvistettuihin perusoikeuksiin: sananvapaus
(perusoikeuskirjan 11 artikla); elinkeinovapaus (16 artikla); omistusoikeus ja
varsinkin teollis- ja tekijänoikeudet (17 artiklan 2 kohta); esimerkiksi
rotuun, etniseen alkuperään, geneettisiin ominaisuuksiin, uskontoon tai
vakaumukseen, poliittisiin tai muihin mielipiteisiin, vammaisuuteen tai
sukupuoliseen suuntautumiseen perustuvan syrjinnän kielto (21 artikla); lapsen
oikeudet (24 artikla); oikeus korkeatasoiseen terveydenhoitoon (35 artikla);
oikeus tutustua asiakirjoihin (42 artikla); oikeus tehokkaisiin
oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen (47 artikla).
3.4.
Ehdotuksen yksityiskohtaiset perustelut
3.4.1.
I LUKU – YLEISET SÄÄNNÖKSET
Ehdotuksen 1 artiklassa määritetään asetuksen
kohde, ja samoin kuin direktiivin 95/46/EY 1 artiklassa, asetuksen
molemmat tavoitteet. Ehdotuksen 2 artiklassa määritellään asetuksen
aineellinen soveltamisala. Ehdotuksen 3 artiklassa määritellään asetuksen
alueellinen soveltamisala. Ehdotuksen 4 artiklassa esitetään asetuksessa
käytettyjen käsitteiden määritelmät. Osa määritelmistä on otettu sellaisinaan
direktiivistä 95/46/EY, toisia on muutettu tai täydennetty, ja osa on uusia
(’henkilötietojen tietoturvaloukkaus’ sähköisen viestinnän
tietosuojadirektiivin 2002/58/EY[29],
sellaisena kuin se on muutettuna direktiivillä 2009/136/EY[30], 2 artiklan h alakohdan
mukaisesti, ’geneettiset tiedot’, ’biometriset tiedot’, ’terveystiedot’,
’päätoimipaikka’, ’edustaja’, ’yritys’, ’yritysryhmä’, ’yrityksiä koskevat
sitovat säännöt’, ’lapsi’ lapsen oikeuksia koskevan YK:n yleissopimuksen
mukaisesti[31]
ja ’valvontaviranomainen’). ’Suostumuksen’ määritelmään on lisätty
kriteeri ’nimenomainen’, jotta voidaan välttää sekaannus ’yksiselitteisen’
suostumuksen kanssa. Näin suostumukselle saataisiin yksi ainoa johdonmukainen
määritelmä, joka takaa, että rekisteröidyt ovat tietoisia siitä, että antavat
suostumuksensa, ja tietävät, mitä varten.
3.4.2.
II LUKU –- PERIAATTEET
Ehdotuksen 5 artiklassa säädetään
henkilötietojen käsittelyä koskevista periaatteista, jotka vastaavat
direktiivin 95/46/EY 6 artiklassa vahvistettuja periaatteita. Uusia elementtejä
ovat erityisesti läpinäkyvyysperiaate, tietojen minimoinnin periaate sekä
rekisterinpitäjän kattavan vastuun vahvistaminen. Ehdotuksen 6 artiklassa vahvistetaan
tietojenkäsittelyn lainmukaisuuden kriteerit direktiivin 95/46/EY 7 artiklan
pohjalta. Ehdotuksessa täsmennetään kriteerejä, jotka koskevat eri etujen
tasapainottamista sekä rekisterinpitäjän lakisääteisten velvoitteiden
noudattamista tai yleisen edun suojaamista. Ehdotuksen 7 artiklassa selkeytetään
edellytyksiä, joiden on täytyttävä, jotta suostumus muodostaisi pätevän
oikeusperustan lainmukaiselle käsittelylle. Ehdotuksen 8 artiklassa säädetään
lisäedellytykset lapsen henkilötietoja koskevan käsittelyn lainmukaisuudelle
suoraan lapsille tarjottavien tietoyhteiskunnan palvelujen yhteydessä. Ehdotuksen 9 artiklassa säädetään erityisiä
tietoryhmiä koskevasta yleisestä käsittelykiellosta ja tätä pääsääntöä
koskevista poikkeuksista direktiivin 95/46/EY 8 artiklan pohjalta. Ehdotuksen 10 artiklassa täsmennetään, että
rekisterinpitäjällä ei ole velvollisuutta hankkia lisätietoja rekisteröidyn
tunnistamista varten, jos tämä olisi tarpeen vain siksi, että voitaisiin
noudattaa jotakin tämän asetuksen säännöstä.
3.4.3.
III LUKU – REKISTERÖIDYN OIKEUDET
3.4.3.1.
1 jakso – Läpinäkyvyys ja sitä koskevat
yksityiskohtaiset säännöt
Ehdotuksen 11 artiklassa otetaan käyttöön
rekisterinpitäjiä koskeva vaatimus toimittaa läpinäkyvää, helposti saatavaa ja
ymmärrettävää tietoa. Vaatimus perustuu erityisesti henkilötietojen ja
yksityisyyden suojaa koskevista kansainvälisistä standardeista annettuun
Madridin päätöslauselmaan[32].
Ehdotuksen 12 artiklassa velvoitetaan rekisterinpitäjä
vahvistamaan menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä
varten. Tämä tarkoittaa muun muassa sähköisiä pyyntöjä, vaatimusta vastata
rekisteröidyn pyyntöihin tietyssä määräajassa sekä kieltäytymisen
perustelemista. Ehdotuksen 13 artiklassa säädetään tietojen
vastaanottajien oikeuksista direktiivin 95/46/EY 12 artiklan c alakohdan
perusteella. Oikeuksia laajennetaan koskemaan kaikkia tietojen vastaanottajia,
yhteiset rekisterinpitäjät ja henkilötietojen käsittelijät mukaan lukien.
3.4.3.2.
2 jakso – Ilmoittaminen ja tiedonsaanti
Ehdotuksen 14 artiklassa säädetään
rekisterinpitäjän ilmoitusvelvollisuudesta rekisteröityä kohtaan direktiivin
95/46/EY 10 ja 11 artiklan pohjalta. Rekisteröidylle on annettava lisätietoja
muun muassa tietojen säilytysajasta, oikeudesta tehdä valitus, tietojen
siirtämisestä jäsenvaltion ulkopuolelle sekä siitä, mistä tiedot ovat peräisin.
Ehdotuksessa säilytetään direktiivissä 95/46/EY sallitut poikkeukset, joiden
mukaisesti ilmoitusvelvollisuutta ei ole, jos kyseisestä rekisteröinnistä tai
tietojen luovutuksesta on nimenomaisesti lailla säädetty. Poikkeusta voitaisiin
soveltaa esimerkiksi kilpailuviranomaisten, vero- tai tullihallintojen tai
sosiaaliturva-alan toimivaltaisten viranomaisten menettelyissä. Ehdotuksen 15 artiklassa säädetään
rekisteröidyn oikeudesta tutustua omiin henkilötietoihinsa. Säännös perustuu
direktiivin 95/46/EY 12 artiklan a alakohtaan, minkä lisäksi siihen on lisätty
uusia elementtejä, kuten velvollisuus ilmoittaa rekisteröidylle tietojen säilytysajasta
sekä oikeudesta oikaista ja poistaa tietoja ja valitusoikeudesta.
3.4.3.3.
3 jakso – Tietojen oikaiseminen ja poistaminen
Ehdotuksen 16 artiklassa vahvistetaan
rekisteröidyn oikeus oikaista tietojaan direktiivin 95/46/EY 12 artiklan b
alakohdan mukaisesti. Ehdotuksen 17 artiklassa säädetään
rekisteröidyn oikeudesta tulla unohdetuksi ja poistaa tietonsa. Siinä myös
täsmennetään direktiivin 95/46/EY 12 artiklan b alakohdassa säädettyä oikeutta
tietojen poistamiseen ja säädetään edellytykset oikeudelle tulla unohdetuksi.
Tähän sisältyy muun muassa tiedot julkistaneen rekisterinpitäjän velvollisuus
ilmoittaa kolmansille osapuolille rekisteröidyn pyynnöstä poistaa kyseisiin
henkilötietoihin liittyvät linkit tai tietojen kopiot tai jäljennökset. Lisäksi
artiklaan on lisätty oikeus rajoittaa tietojenkäsittelyä tietyissä tapauksissa,
moniselitteistä ilmaisua ”suojata tiedot tietokannassa” välttäen. Ehdotuksen 18 artiklassa otetaan käyttöön
rekisteröidyn oikeus siirtää tietonsa yhdestä sähköisestä käsittelyjärjestelmästä
toiseen rekisterinpitäjän estämättä. Siirron edellytykseksi ja jotta voidaan
vahvistaa yksilön oikeutta tutustua omiin henkilötietoihinsa, siinä säädetään
myös oikeudesta saada kyseiset tiedot rekisterinpitäjältä jäsennellyssä ja
yleisesti käytetyssä sähköisessä muodossa.
3.4.3.4.
4 jakso – Oikeus vastustaa tietojenkäsittelyä ja
profilointi
Ehdotuksen 19 artiklassa säädetään
rekisteröidyn oikeudesta vastustaa henkilötietojensa käsittelyä. Se perustuu
direktiivin 95/46/EY 14 artiklaan. Tekstiä on hieman muutettu, muun muassa
todistustaakan sekä suoramarkkinointiin soveltamisen osalta. Ehdotuksen 20
artikla koskee rekisteröidyn oikeutta olla joutumatta profilointiin perustuvan
toimenpiteen kohteeksi. Se perustuu direktiivin 95/46/EY 15 artiklan 1 kohtaan,
joka koskee automatisoituja yksittäispäätöksiä. Tekstiä on kuitenkin muutettu
lisäämällä siihen uusia takeita. Ehdotuksessa on otettu huomioon profilointia
koskeva Euroopan neuvoston suositus[33].
3.4.3.5.
5 jakso – Rajoitukset
Ehdotuksen 21
artiklassa selkeytetään unionin tai jäsenvaltioiden valtuutusta pitää yllä tai
ottaa käyttöön rajoituksia 5 artiklassa säädettyihin periaatteisiin ja 11–20
artiklassa ja 32 artiklassa vahvistettuihin rekisteröidyn oikeuksiin. Säännös
perustuu direktiivin 95/46/EY 13 artiklaan sekä perusoikeuskirjan ja Euroopan
ihmisoikeussopimuksen vaatimuksiin, sellaisina kuin Euroopan unionin
tuomioistuin ja Euroopan ihmisoikeustuomioistuin ovat niitä tulkinneet.
3.4.4.
IV LUKU – REKISTERINPITÄJÄ JA HENKILÖTIETOJEN
KÄSITTELIJÄ
3.4.4.1.
1 jakso – Yleiset velvollisuudet
Ehdotuksen 22 artiklassa otetaan huomioon
tilivelvollisuuden periaatteesta käyty keskustelu ja kuvataan
yksityiskohtaisesti rekisterinpitäjän velvollisuus noudattaa tätä asetusta ja
osoittaa se muun muassa hyväksymällä sisäisiä menettelyjä ja mekanismeja
noudattamisen varmistamiseksi. Ehdotuksen 23 artiklassa säädetään
rekisterinpitäjän velvollisuudet, jotka perustuvat sisäänrakennetun ja
oletusarvoisen tietosuojan periaatteisiin. Ehdotuksen 24 artiklassa säädetään
tilanteesta, jossa rekisterinpitäjiä on useampia, ja täsmennetään niiden
vastuuta sekä toisiaan että rekisteröityä kohtaan. Ehdotuksen 25 artiklassa velvoitetaan muut
kuin unioniin sijoittautuneet rekisterinpitäjät nimittämään tiettyjen
edellytysten täyttyessä itselleen edustaja unionin alueella silloin, kun niiden
käsittelytoimintaan sovelletaan tätä asetusta. Ehdotuksen 26 artiklassa selkeytetään
henkilötietojen käsittelijöiden asemaa ja velvollisuuksia, jotka perustuvat
osittain direktiivin 95/46/EY 17 artiklan 2 kohtaan. Niihin myös lisätään uusia
tekijöitä, kuten se, että jos henkilötietojen käsittelijä käsittelee tietoja
muuten kuin rekisterinpitäjän ohjeiden mukaisesti, sitä on pidettävä yhteisenä
rekisterinpitäjänä. Ehdotuksen 27 artikla koskee
tietojenkäsittelyä rekisterinpitäjän ja henkilötietojen käsittelijän
alaisuudessa. Säännös perustuu direktiivin 95/46/EY 16 artiklaan. Ehdotuksen 28 artiklassa otetaan käyttöön
rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskeva velvollisuus
säilyttää niiden vastuulla toteutettavia käsittelytoimia koskevat asiakirjat,
kun direktiivin 95/46/EY 18 artiklan 1 kohdassa ja 19 artiklassa säädetään
yleisestä velvollisuudesta ilmoittaa tietojenkäsittelystä
valvontaviranomaiselle. Ehdotuksen 29 artiklassa selkeytetään
rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuutta tehdä
yhteistyötä valvontaviranomaisen kanssa.
3.4.4.2.
2 jakso – Tietoturvallisuus
Ehdotuksen 30 artiklassa velvoitetaan
rekisterinpitäjä ja henkilötietojen käsittelijä toteuttamaan tietojenkäsittelyn
turvallisuuden varmistamiseksi tarvittavat toimenpiteet direktiivin 95/46/EY 17
artiklan 1 kohdan mukaisesti. Ehdotuksessa laajennetaan velvollisuus koskemaan
kaikkia henkilötietojen käsittelijöitä, riippumatta siitä, millainen sopimus
niillä on rekisterinpitäjän kanssa. Ehdotuksen 31 ja 32 artiklassa otetaan
käyttöön velvollisuus ilmoittaa henkilötietoihin kohdistuvista
tietoturvaloukkauksista. Säännös perustuu sähköisen viestinnän
tietosuojadirektiivin 2002/58/EY 4 artiklan 3 kohtaan.
3.4.4.3.
3 jakso – Tietosuojaa koskeva vaikutustenarviointi
ja ennakkohyväksyntä
Ehdotuksen 33 artiklassa otetaan käyttöön
rekisterinpitäjiä ja henkilötietojen käsittelijöitä koskeva velvollisuus laatia
tietosuojaa koskeva vaikutustenarviointi ennen riskialttiiden
käsittelyoperaatioiden toteuttamista. Ehdotuksen 34 artikla koskee tapauksia, joissa
ennen tietojenkäsittelyä on saatava valvontaviranomaisen lupa ja kuultava sitä.
Säännös perustuu direktiivin 95/46/EY 20 artiklassa säädettyyn
ennakkotarkastuksen käsitteeseen.
3.4.4.4.
4 jakso – Tietosuojavastaava
Ehdotuksen 35 artiklassa otetaan käyttöön
velvollisuus nimittää tietosuojavastaava julkisella sektorilla ja yksityisellä
sektorilla suurissa yrityksissä tai yrityksissä, joissa rekisterinpitäjän tai
henkilötietojen käsittelijän keskeiset tehtävät muodostuvat säännöllistä ja
järjestelmällistä seurantaa edellyttävistä käsittelytoimista. Säännös perustuu
direktiivin 95/46/EY 18 artiklan 2 kohtaan, jossa säädetään jäsenvaltioiden
mahdollisuudesta ottaa käyttöön tällainen vaatimus yleisen ilmoitusmenettelyn
sijasta. Ehdotuksen 36 artiklassa säädetään
tietosuojavastaavan asemasta. Ehdotuksen 37 artiklassa vahvistetaan
tietosuojavastaavan keskeiset tehtävät.
3.4.4.5.
5 jakso – Käytännesäännöt ja sertifiointi
Ehdotuksen 38 artiklassa säädetään
käytännesäännöistä direktiivin 95/46/EY 27 artiklan 1 kohdan pohjalta.
Säännöksessä selkeytetään käytännesääntöjen sisältöä ja menettelyjä ja
säädetään, että komissiolla on valtuudet päättää käytännesääntöjen yleisestä
pätevyydestä. Ehdotuksen 39
artiklassa säädetään mahdollisuudesta ottaa käyttöön sertifiointimekanismeja
sekä tietosuojasinettejä ja ‑merkkejä.
3.4.5.
V LUKU – HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN
TAI KANSAINVÄLISILLE JÄRJESTÖILLE
Ehdotuksen 40 artiklassa säädetään yleisestä
periaatteesta, jonka mukaan kyseisessä luvussa säädettyjä velvoitteita on
noudatettava aina kun henkilötietoja siirretään kolmansiin maihin tai
kansainvälisille järjestöille, myös silloin kun tietoja siirretään edelleen. Ehdotuksen 41 artiklassa vahvistetaan
kriteerit, edellytykset ja menettelyt, joiden mukaisesti komissio tekee
tietosuojan tason riittävyyttä koskevan päätöksen. Säännös perustuu direktiivin
95/46/EY 25 artiklaan. Kriteerit, jotka komission on otettava huomioon
arvioidessaan tietosuojan tason riittävyyttä, ovat oikeusvaltioperiaate,
oikeudelliset muutoksenhakukeinot ja riippumaton valvonta. Artiklassa säädetään
nyt nimenomaisesti, että komissio voi arvioida tietosuojan tason riittävyyttä
tietyllä kolmannen maan alueella tai tietojenkäsittelyn sektorilla. Ehdotuksen 42 artiklassa edellytetään, että
kun tietoja siirretään kolmansiin maihin, joiden osalta komissio ei ole tehnyt
tietosuojan tason riittävyyttä koskevaa päätöstä, on annettava asianmukaiset
takeet, joita voivat olla erityisesti tietosuojaa koskevat vakiolausekkeet,
yritystä koskevat sitovat säännöt tai sopimuslausekkeet. Mahdollisuus käyttää
komission vahvistamia tietosuojaa koskevia vakiolausekkeita perustuu
direktiivin 95/46/EY 26 artiklan 4 kohtaan. Uusi elementti on se, että
tällaiset tietosuojaa koskevat vakiolausekkeet voi nyt vahvistaa myös
tietosuojaviranomainen, ja komissio voi todeta ne yleisesti päteviksi. Myös
yritystä koskevat sitovat säännöt mainitaan nyt säädöstekstissä erikseen.
Sopimuslausekkeita koskeva vaihtoehto antaa rekisterinpitäjälle tai
henkilötietojen käsittelijälle tiettyä joustonvaraa, mutta niiden käyttö
riippuu valvontaviranomaisten ennakkohyväksynnästä. Ehdotuksen 43 artiklassa kuvaillaan
yksityiskohtaisemmin edellytykset siirtojen toteuttamiseksi yritystä koskevien
sitovien sääntöjen perusteella. Säännös perustuu nykykäytäntöihin ja
valvontaviranomaisten vaatimuksiin. Ehdotuksen 44 artiklassa täsmennetään ja
selkeytetään tiedonsiirtoja koskevia poikkeuksia direktiivin 95/46/EY 26
artiklan voimassa olevien säännösten pohjalta. Tämä koskee erityisesti tiedonsiirtoja,
jotka ovat tarpeen tärkeiden yleistä etua koskevien syiden vuoksi, esimerkiksi
kun on kyse kansainvälisistä tiedonsiirroista kilpailuviranomaisten tai vero-
tai tullihallintojen tai sosiaaliturva-alan tai kalatalouden hallinnoinnista
vastaavien toimivaltaisten viranomaisten välillä. Lisäksi tiedonsiirto voi olla
rajatuissa olosuhteissa oikeutettu rekisterinpitäjän tai henkilötietojen
käsittelijän oikeutetun edun perusteella, mutta vasta kun kyseiseen siirtoon
liittyvät olosuhteet on arvioitu ja dokumentoitu. Ehdotuksen 45 artiklassa säädetään komission
ja kolmansien maiden valvontaviranomaisten käyttöön tarkoitetuista
henkilötietojen suojaamista koskevista kansainvälisistä yhteistyömekanismeista.
Tämä koskee erityisesti niitä kolmansia maita, joiden tarjoama tietosuojan taso
katsotaan riittäväksi, kun otetaan huomioon Taloudellisen yhteistyön ja
kehityksen järjestön (OECD) 12. kesäkuuta 2007 antama suositus rajatylittävästä
yhteistyöstä yksityisyydensuojaa koskevan lainsäädännön täytäntöönpanon alalla.
3.4.6.
VI LUKU – RIIPPUMATTOMAT VALVONTAVIRANOMAISET
3.4.6.1.
1 jakso – Riippumaton asema
Ehdotuksen 46 artiklassa velvoitetaan
jäsenvaltiot perustamaan valvontaviranomaisia. Säännös perustuu direktiivin
95/46/EY 28 artiklan 1 kohtaan, minkä lisäksi siinä laajennetaan
valvontaviranomaisten tehtävä koskemaan yhteistyötä sekä muiden
valvontaviranomaisten että komission kanssa. Ehdotuksen 47 artiklassa selkeytetään
valvontaviranomaisten riippumattomuuden edellytyksiä panemalla täytäntöön
Euroopan unionin tuomioistuimen oikeuskäytäntö[34].
Lisäksi säännös perustuu asetuksen (EY) N:o 45/2001[35] 44 artiklaan. Ehdotuksen 48 artiklassa vahvistetaan
valvontaviranomaisen jäseniä koskevat yleiset edellytykset. Säännös perustuu
asiaa koskevaan oikeuskäytäntöön[36]
ja asetuksen (EY) N:o 45/2001 42 artiklan 2–6 kohtaan. Ehdotuksen 49 artiklassa vahvistetaan
valvontaviranomaisen perustamista koskevat säännöt, jotka on sisällytettävä
jäsenvaltioiden lainsäädäntöön. Ehdotuksen 50 artiklassa säädetään
valvontaviranomaisen jäseniä ja henkilöstöä koskevasta
vaitiolovelvollisuudesta. Säännös perustuu direktiivin 95/46/EY 28 artiklan 7
kohtaan.
3.4.6.2.
2 jakso – Toimivalta ja tehtävät
Ehdotuksen 51 artiklassa määritellään
valvontaviranomaisten toimivalta. Pääsääntö perustuu direktiivin 95/46/EY 28
artiklan 6 kohtaan (toimivalta rajoittuu valvontaviranomaisen kotijäsenvaltion
alueeseen), mutta sitä täydentää uusi johtavan valvontaviranomaisen toimivalta
tilanteissa, joissa rekisterinpitäjä tai henkilötietojen käsittelijä on
sijoittautunut useisiin jäsenvaltioihin. Säännöksen tarkoituksena on varmistaa
soveltamisen yhdenmukaisuus (yhden luukun järjestelmä). Tuomioistuimet on
vapautettu valvontaviranomaisen valvonnasta silloin kun ne käyttävät
tuomiovaltaansa, mutta niiden on siitä huolimatta sovellettava tietosuojaa
koskevia aineellisia sääntöjä. Ehdotuksen 52 artiklassa säädetään
valvontaviranomaisen velvollisuuksista, joita ovat muun muassa valitusten
käsittely ja tutkiminen sekä tietosuojaan liittyvistä riskeistä, säännöistä,
takeista ja oikeuksista tiedottaminen yleisölle. Ehdotuksen 53 artiklassa säädetään
valvontaviranomaisen valtuuksista. Säännös perustuu osittain direktiivin
95/46/EY 28 artiklan 3 kohtaan ja asetuksen (EY) N:o 45/2001 47 artiklaan,
minkä lisäksi siihen on lisätty eräitä uusia tekijöitä, kuten toimivalta
määrätä hallinnollisia seuraamuksia. Ehdotuksen 54 artiklassa velvoitetaan
valvontaviranomaiset laatimaan vuotuinen toimintakertomus. Säännös perustuu
direktiivin 95/46/EY 28 artiklan 5 kohtaan.
3.4.7.
VII LUKU – YHTEISTYÖ JA YHDENMUKAISUUS
3.4.7.1.
1 jakso – Yhteistyö
Ehdotuksen 55 artiklassa säädetään
nimenomaiset säännöt pakollista keskinäistä avunantoa varten, muun muassa
toisen valvontaviranomaisen pyynnön noudattamatta jättämisestä määrättävät
seuraamukset. Säännös perustuu direktiivin 95/46/EY 28 artiklan 6 kohdan
toiseen alakohtaan. Ehdotuksen 56 artiklassa esitetään yhteisiä
operaatioita koskevat säännöt, jotka perustuvat neuvoston päätöksen
2008/615/YOS[37]
17 artiklaan ja kattavat muun muassa valvontaviranomaisten oikeuden osallistua
tällaisiin operaatioihin.
3.4.7.2.
2 jakso – Yhdenmukaisuus
Ehdotuksen 57 artiklalla otetaan käyttöön
yhdenmukaisuusmekanismi, jonka avulla voidaan varmistaa tietosuojasäännösten
yhdenmukainen soveltaminen eri jäsenvaltioissa asuviin rekisteröityihin
kohdistuvien käsittelytoimien yhteydessä. Ehdotuksen 58 artiklassa vahvistetaan
menettelyt ja edellytykset Euroopan tietosuojaneuvoston lausunnon saamista
varten. Ehdotuksen 59 artikla koskee komission
lausuntoja yhdenmukaisuusmekanismin puitteissa käsiteltävistä asioista.
Komissio voi joko vahvistaa Euroopan tietosuojaneuvoston lausunnon tai ilmaista
eriävän mielipiteensä lausunnosta ja tietosuojaviranomaisen
toimenpideluonnoksesta. Jos Euroopan tietosuojaneuvosto on ottanut asian esille
58 artiklan 3 kohdan nojalla, voidaan odottaa, että komissio käyttää
harkintavaltaansa ja antaa lausunnon aina kun sitä tarvitaan. Ehdotuksen 60 artikla koskee komission
päätöksiä, joissa se vaatii toimivaltaista viranomaista keskeyttämään
toimenpideluonnoksen täytäntöönpanon, jos se on tarpeen tämän asetuksen
asianmukaisen soveltamisen varmistamiseksi. Ehdotuksen 61 artiklassa säädetään
mahdollisuudesta hyväksyä väliaikaisia toimenpiteitä kiireellisessä
menettelyssä. Ehdotuksen 62 artiklassa esitetään
vaatimukset, joiden perusteella komissio voi antaa täytäntöönpanosäädöksiä
yhdenmukaisuusmekanismin perusteella. Ehdotuksen 63
artiklassa säädetään velvollisuudesta panna yhden valvontaviranomaisen
määräämät toimenpiteet täytäntöön kaikissa jäsenvaltioissa, joita asia koskee.
Lisäksi siinä säädetään, että yhdenmukaisuusmekanismin soveltaminen on
kyseisten toimenpiteiden oikeudellisen pätevyyden ja täytäntöönpanon
ennakkoedellytys.
3.4.7.3.
3 jakso – Euroopan tietosuojaneuvosto
Ehdotuksen 64 artiklalla perustetaan Euroopan
tietosuojaneuvosto, jonka muodostavat kunkin jäsenvaltion valvontaviranomaisen
päälliköt ja Euroopan tietosuojavaltuutettu. Euroopan tietosuojaneuvosto korvaa
direktiivin 95/46/EY 29 artiklalla perustetun tietosuojatyöryhmän. Artiklassa
täsmennetään, että komissio ei ole Euroopan tietosuojaneuvoston jäsen, mutta
että sillä on oikeus osallistua neuvoston toimintaan ja olla edustettuna siinä.
Ehdotuksen 65 artiklassa korostetaan ja
täsmennetään Euroopan tietosuojaneuvoston toiminnan riippumattomuutta. Ehdotuksen 66 artiklassa kuvataan Euroopan
tietosuojaneuvoston tehtävät direktiivin 95/46/EY 30 artiklan 1 kohdan
perusteella. Lisäksi siinä säädetään lisätehtävistä, jotka perustuvat Euroopan
tietosuojaneuvoston laajennettuun toiminta-alaan unionissa ja sen ulkopuolella.
Jotta hätätilanteisiin voitaisiin reagoida nopeasti, artiklassa säädetään, että
komissio voi pyytää tietosuojaneuvostolta lausuntoa tietyssä määräajassa. Ehdotuksen 67 artiklassa vaaditaan Euroopan
tietosuojaneuvostoa esittämään vuosittain toimintakertomus. Säännös perustuu
direktiivin 95/46/EY 30 artiklan 6 kohtaan. Ehdotuksen 68 artiklassa vahvistetaan Euroopan
tietosuojaneuvoston päätöksentekomenettelyt, mukaan lukien velvollisuus
hyväksyä työjärjestys, jonka olisi katettava myös operatiiviset järjestelyt. Ehdotuksen 69 artiklassa säädetään Euroopan
tietosuojaneuvoston puheenjohtajasta ja varapuheenjohtajista. Ehdotuksen 70 artiklassa määritellään
puheenjohtajan tehtävät. Ehdotuksen 71 artiklassa säädetään, että
Euroopan tietosuojaneuvoston sihteeristön tehtävistä vastaa Euroopan tietosuojavaltuutettu,
ja määritellään nämä tehtävät. Ehdotuksen 72 artiklassa säädetään
luottamuksellisuudesta.
3.4.8.
VIII LUKU – OIKEUSSUOJAKEINOT, VASTUU JA
SEURAAMUKSET
Ehdotuksen 73 artiklassa säädetään, että
jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle.
Säännös perustuu direktiivin 95/46/EY 28 artiklan 4 kohtaan. Artiklassa
mainitaan myös ne elimet, järjestöt ja yhdistykset, jotka voivat tehdä
valituksen rekisteröidyn puolesta, tai jos kyseessä on henkilötietoja koskeva
tietoturvaloukkaus, rekisteröidyn valituksesta riippumatta. Ehdotuksen 74 artiklassa säädetään oikeudesta
oikeussuojakeinoihin valvontaviranomaista vastaan. Säännös perustuu direktiivin
95/46/EY 28 artiklan 3 kohdan yleiseen säännökseen. Artiklassa säädetään erityisesti
oikeussuojakeinosta, joka velvoittaa valvontaviranomaisen toteuttamaan
valituksen perusteella tarvittavat toimenpiteet, ja selkeytetään
valvontaviranomaisen kotijäsenvaltion tuomioistuinten toimivaltaa. Lisäksi
säädetään, että rekisteröidyn asuinjäsenvaltion valvontaviranomainen voi panna
rekisteröidyn puolesta vireille menettelyt sellaisen toisen jäsenvaltion
tuomioistuimessa, joka on toimivaltaisen valvontaviranomaisen kotijäsenvaltio. Ehdotuksen 75 artikla koskee
oikeussuojakeinoja rekisterinpitäjää tai henkilötietojen käsittelijää vastaan.
Säännös perustuu direktiivin 95/46/EY 22 artiklaan. Ehdotetun säännöksen mukaan
rekisteröity voi kääntyä joko vastaajan kotijäsenvaltion tai oman
asuinjäsenvaltionsa tuomioistuimen puoleen. Jos yhdenmukaisuusmekanismin
perusteella on vireillä useampia samaa asiaa koskevia menettelyjä, tuomioistuin
voi keskeyttää menettelyt, paitsi jos asian käsittelyllä on kiire. Ehdotuksen 76 artiklassa vahvistetaan
tuomioistuinmenettelyjä koskevat yhteiset säännöt, jotka koskevat muun muassa
elinten, järjestöjen ja yhdistysten oikeutta edustaa rekisteröityä
tuomioistuimissa, valvontaviranomaisten oikeutta panna vireille oikeudellisia
menettelyjä sekä toisessa jäsenvaltiossa vireillä olevista rinnakkaisista
menettelyistä ilmoittamista tuomioistuimille ja tuomioistuinten mahdollisuutta
keskeyttää menettelyt tällaisessa tapauksessa.[38]
Jäsenvaltioiden on varmistettava, että oikeussuojakeinot mahdollistavat nopeat
toimenpiteet.[39] Ehdotuksen 77 artiklassa säädetään vastuusta
ja oikeudesta korvauksen saamiseen. Säännös perustuu direktiivin 95/46/EY 23
artiklaan. Sitä kuitenkin laajennetaan niin, että oikeus korvauksen saamiseen
koskee myös henkilötietojen käsittelijöiden aiheuttamia vahinkoja. Lisäksi
artiklassa selkeytetään yhteisten rekisterinpitäjien ja yhteisten
henkilötietojen käsittelijöiden vastuuta. Ehdotuksen 78 artiklassa velvoitetaan
jäsenvaltiot säätämään seuraamuksia koskevat säännöt, määräämään seuraamuksia
asetuksen rikkomisesta ja varmistamaan näiden sääntöjen täytäntöönpano. Ehdotuksen 79
artiklassa velvoitetaan kukin valvontaviranomainen langettamaan hallinnollisia
seuraamuksia tässä säännöksessä luetelluista teoista määräämällä sakkoja
tiettyyn enimmäismäärään asti kuhunkin tapaukseen liittyvät olosuhteet
asianmukaisesti huomioon ottaen.
3.4.9.
IX LUKU – TIETOJENKÄSITTELYYN LIITTYVIÄ
ERITYISTILANTEITA KOSKEVAT SÄÄNNÖKSET
Ehdotuksen 80 artiklassa velvoitetaan
jäsenvaltiot hyväksymään vapautuksia ja poikkeuksia asetuksen
erityissäännöksistä, silloin kun nämä ovat tarpeen henkilötietojen suojaa
koskevan oikeuden ja sananvapautta koskevan oikeuden yhteensovittamiseksi.
Säännös perustuu direktiivin 95/46/EY 9 artiklaan, sellaisena kuin Euroopan
yhteisöjen tuomioistuin on sitä tulkinnut.[40]
Ehdotuksen 81 artiklassa velvoitetaan jäsenvaltiot
vahvistamaan erityisiä tietoryhmiä koskevien edellytysten nojalla erityiset
takeet terveystietojen käsittelyä varten. Ehdotuksen 82 artiklassa valtuutetaan
jäsenvaltiot antamaan erityislakeja työntekijän henkilötietojen käsittelyä
varten. Ehdotuksen 83 artiklassa säädetään erityisistä
edellytyksistä, jotka koskevat henkilötietojen käsittelyä historiantutkimusta
taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Ehdotuksen 84 artiklassa valtuutetaan
jäsenvaltiot hyväksymään erityisiä sääntöjä, jotka koskevat
valvontaviranomaisten oikeutta tutustua tietoihin ja pääsyä tiloihin
tilanteissa, joissa rekisterinpitäjiä koskee salassapitovelvollisuus. Ehdotuksen 85 artiklassa säädetään, että
SEUT-sopimuksen 17 artiklan nojalla kirkkojen voimassa olevia kattavia
tietosuojasääntöjä voidaan edelleen soveltaa, kunhan säännöt yhdenmukaistetaan
tämän asetuksen kanssa.
3.4.10.
X LUKU – DELEGOIDUT SÄÄDÖKSET JA
TÄYTÄNTÖÖNPANOSÄÄDÖKSET
Ehdotuksen 86 artikla sisältää siirretyn
säädösvallan käyttöä koskevat vakiosäännökset SEUT-sopimuksen 290 artiklan
mukaisesti. Tuon artiklan nojalla lainsäätäjä voi siirtää komissiolle vallan
antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan
yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä
hyväksytyn säädöksen tiettyjä, muita kuin sen keskeisiä osia. Ehdotuksen 87
artiklassa säädetään komiteamenettelystä, jolla komissiolle siirretään
täytäntöönpanovaltaa sellaisia tapauksia varten, joissa unionin oikeudellisesti
velvoittavat säädökset edellyttävät SEUT-sopimuksen 291 artiklan mukaisesti
yhdenmukaista täytäntöönpanoa. Sovelletaan tarkastelumenettelyä.
3.4.11.
XI LUKU – LOPPUSÄÄNNÖKSET
Ehdotuksen 88 artiklassa kumotaan direktiivi
95/46/EY. Ehdotuksen 89 artiklassa täsmennetään ehdotetun
asetuksen suhde sähköisen viestinnän tietosuojadirektiiviin 2002/58/EY ja
muutetaan kyseistä direktiiviä. Ehdotuksen 90 artiklassa velvoitetaan komissio
arvioimaan asetusta ja laatimaan sitä koskevia kertomuksia. Ehdotuksen 91 artiklassa säädetään asetuksen
voimaantulopäivä ja sen soveltamista koskeva siirtymäaika. 4. TALOUSARVIOVAIKUTUKSET Ehdotuksen talousarviovaikutukset liittyvät
Euroopan tietosuojavaltuutetulle osoitettuihin tehtäviin, jotka täsmennetään
ehdotuksen liitteenä olevassa rahoitusselvityksessä. Nämä vaikutukset
edellyttävät rahoitusnäkymien otsakkeen 5 rahoitussuunnitelman muuttamista. Ehdotus ei vaikuta toimintamenoihin. Tämän asetusehdotuksen liitteenä oleva
rahoitusselvitys kattaa sekä tämän asetuksen että poliisiyhteistyötä ja rikosasioissa
tehtävää oikeudellista yhteistyötä koskevan tietosuojadirektiivin
talousarviovaikutukset. 2012/0011 (COD) Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS yksilöiden suojelusta henkilötietojen
käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen
tietosuoja-asetus) (ETA:n kannalta merkityksellinen teksti) EUROOPAN PARLAMENTTI JA EUROOPAN
UNIONIN NEUVOSTO, jotka ottavat huomioon Euroopan unionin toiminnasta
tehdyn sopimuksen ja erityisesti sen 16 artiklan 2 kohdan ja 114
artiklan 1 kohdan, ottavat huomioon Euroopan komission
ehdotuksen, sen jälkeen kun esitys
lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu
kansallisille parlamenteille, ottavat huomioon Euroopan talous- ja
sosiaalikomitean lausunnon[41], ovat kuulleet Euroopan tietosuojavaltuutettua[42], noudattavat tavallista
lainsäätämisjärjestystä, sekä katsovat seuraavaa: (1)
Luonnollisten henkilöiden suojelu henkilötietojen
käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan
8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen
16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa
suojaan. (2)
Henkilötietojen käsittelyn on tarkoitus palvella
ihmistä, minkä vuoksi niissä periaatteissa ja säännöissä, jotka koskevat
yksilöiden suojelua henkilötietojen käsittelyssä, olisi henkilöiden
kansalaisuudesta ja asuinpaikasta riippumatta otettava huomioon heidän
perusoikeutensa ja ‑vapautensa ja erityisesti oikeus henkilötietojen suojaan.
Henkilötietojen käsittelyn olisi tuettava vapauden, turvallisuuden ja oikeuden
alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä,
talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä yksilöiden
hyvinvointia. (3)
Yksilöiden suojelusta henkilötietojen käsittelyssä
ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun
Euroopan parlamentin ja neuvoston direktiivin 95/46/EY[43] tarkoituksena on
yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien
perusoikeuksien ja ‑vapauksien suojelua ja taata henkilötietojen vapaa
liikkuvuus jäsenvaltioiden välillä. (4)
Sisämarkkinoiden toiminnasta aiheutuva
taloudellinen ja sosiaalinen yhdentyminen on huomattavasti lisännyt
kansainvälisiä tiedonsiirtoja. Tietojenvaihto unionin taloudellisten,
sosiaalisten, julkisten ja yksityisten toimijoiden kesken on lisääntynyt. Unionin
lainsäädännössä jäsenvaltioiden viranomaisia kehotetaan toimimaan yhteistyössä
ja vaihtamaan keskenään henkilötietoja, jotta ne voisivat täyttää
velvollisuutensa tai suorittaa tehtäviä jonkin toisen jäsenvaltion
viranomaisten puolesta. (5)
Teknologian nopea kehitys ja globalisaatio ovat
tuoneet henkilötietojen käsittelyyn uusia haasteita. Tietoja jaetaan ja
kerätään nyt valtavan paljon suuremmassa mittakaavassa. Teknologian kehityksen
ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää
toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös yksityiset
ihmiset saattavat yhä useammin henkilötietojaan julkisuuteen
maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen
elämän, ja sen vuoksi on edelleen helpotettava vapaata tiedonkulkua unionissa
ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille
samalla kun varmistetaan henkilötietojen korkeatasoinen suoja. (6)
Tämän kehityksen vuoksi unionissa on laadittava
vahvempi ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla
täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta
digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Yksilöiden olisi
voitava valvoa omia tietojaan, ja oikeusvarmuutta ja luottamusta käytännön
toiminnan sujuvuuteen olisi vahvistettava sekä yksilöiden että talouden
toimijoiden ja viranomaisten kannalta. (7)
Direktiivin 95/46/EY tavoitteet ja periaatteet ovat
edelleen pätevät, mutta sen avulla ei ole pystytty estämään henkilötietojen
suojan täytäntöönpanon hajanaisuutta eri puolilla unionia eikä myöskään
oikeudellista epävarmuutta tai sitä laajalle levinnyttä näkemystä, jonka mukaan
erityisesti verkkoympäristössä toimimiseen liittyy yksilöiden suojelun kannalta
huomattavia riskejä. Yksilön oikeuksiin ja vapauksiin ja erityisesti
yksityisyyden suojaa henkilötietojen käsittelyssä koskevaan oikeuteen liittyvät
eroavuudet jäsenvaltioiden välillä voivat estää henkilötietojen vapaan
liikkuvuuden unionin alueella. Nämä eroavuudet voivat muodostua esteeksi
taloudelliselle toiminnalle unionin tasolla, vääristää kilpailua ja estää
viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Nämä
suojelun tasossa ilmenevät eroavuudet johtuvat direktiivin 95/46/EY
täytäntöönpanossa ja soveltamisessa esiintyvistä eroista. (8)
Jotta voitaisiin varmistaa yksilöiden yhdenmukainen
ja korkeatasoinen suoja ja poistaa henkilötietojen liikkuvuuden esteet, yksilön
oikeuksilla ja vapauksilla olisi oltava näiden tietojen käsittelyssä
samantasoinen suoja kaikissa jäsenvaltioissa. Luonnollisten henkilöiden
perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien
sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla
unionissa. (9)
Jotta henkilötietoja voidaan suojata tehokkaasti
kaikkialla unionissa, on vahvistettava ja täsmennettävä rekisteröidyn oikeuksia
ja henkilötietoja käsittelevien ja niiden käsittelystä päättävien
velvollisuuksia. Samalla on varmistettava samantasoiset valtuudet seurata ja
varmistaa henkilötietojen suojelua koskevien sääntöjen noudattaminen ja
sääntöjen rikkomiseen syyllistyneille samantasoiset seuraamukset
jäsenvaltioissa. (10)
Euroopan unionin toiminnasta tehdyn sopimuksen
16 artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat
luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat
henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen
vapaata liikkuvuutta. (11)
Jotta voitaisiin varmistaa yksilöiden yhdenmukainen
suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat tietojen
vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, joka takaa
oikeusvarmuuden ja läpinäkyvyyden talouden toimijoiden, kuten mikroyritysten
sekä pienten ja keskisuurten yritysten kannalta, antaa yksilöille kaikissa
jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet
ja rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja
vastuut sekä varmistaa henkilötietojen käsittelyn yhdenmukaisen valvonnan ja
samantasoiset seuraamukset kaikissa jäsenvaltioissa ja eri jäsenvaltioiden
valvontaviranomaisten tehokkaan yhteistyön. Tässä asetuksessa säädetään eräistä
poikkeuksista, jotta voitaisiin ottaa huomioon mikroyritysten sekä pienten ja keskisuurten
yritysten erityistilanne. Lisäksi unionin toimielimiä ja elimiä sekä
jäsenvaltioita ja niiden valvontaviranomaisia kehotetaan ottamaan tämän
asetuksen soveltamisessa huomioon mikroyritysten sekä pienten ja keskisuurten
yritysten erityistarpeet. Mikroyritysten sekä pienten ja keskisuurten yritysten
määritelmän olisi perustuttava mikroyritysten sekä pienten ja keskisuurten
yritysten määritelmästä 6 päivänä toukokuuta 2003 annettuun komission
suositukseen 2003/361/EY. (12)
Tämän asetuksen tarjoaman suojan olisi koskettava
kaikkia luonnollisia henkilöitä heidän kansalaisuudestaan ja asuinpaikastaan
riippumatta, silloin kun on kyse henkilötietojen käsittelystä.
Oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen
yritysten ei pitäisi vedota tähän asetukseen perustuvaan suojeluun silloin kun
tietojenkäsittely koskee näiden oikeushenkilöiden tietoja, kuten oikeushenkilön
nimeä, oikeudellista muotoa ja yhteystietoja. Samaa olisi sovellettava myös
silloin kun oikeushenkilön nimi sisältää yhden tai useamman luonnollisen
henkilön nimen. (13)
Yksilöiden suojelun olisi oltava
teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta, koska
tällainen riippuvaisuus aiheuttaisi vakavan väärinkäytösten riskin. Yksilöiden
suojelun olisi koskettava myös henkilötietojen automatisoitua käsittelyä sekä
sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin
osan tai joiden on tarkoitus muodostaa rekisterin osa. Tämän asetuksen
soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai
asiakirjakokonaisuuksia kansilehtineen, joita ei ole järjestetty määriteltyjen
perusteiden mukaisesti. (14)
Tämä asetus ei koske sellaisia perusoikeuksien ja
-vapauksien suojeluun tai tietojen vapaaseen liikkuvuuteen liittyviä
kysymyksiä, jotka eivät kuulu unionin oikeuden soveltamisalaan, eikä se kata
unionin toimielinten, elinten ja laitosten suorittamaa henkilötietojen
käsittelyä, johon sovelletaan asetusta (EY) N:o 45/2001[44], eikä henkilötietojen
käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja
turvallisuuspolitiikkaan liittyvää toimintaa. (15)
Tätä asetusta ei pitäisi soveltaa luonnollisen
henkilön suorittamaan, yksinomaan henkilökohtaisen tai kotitaloutta koskevaan
henkilötietojen käsittelyyn, kuten kirjeenvaihtoon tai osoitteiston pitämiseen,
johon ei liity mitään ansaitsemistarkoitusta ja joka ei ole sidoksissa
mihinkään ammatilliseen tai kaupalliseen toimintaan. Tämä vapautus ei koske
sellaisia rekisterinpitäjiä tai henkilötietojen käsittelijöitä, jotka tarjoavat
keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen
käsittelyyn. (16)
Yksilöiden suojelusta toimivaltaisten viranomaisten
käsitellessä henkilötietoja rikosten torjumista, tutkimista, selvittämistä ja
syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten
sekä näiden tietojen vapaasta liikkuvuudesta on annettu erillinen säädös
unionin tasolla. Sen vuoksi tätä asetusta ei pitäisi soveltaa näitä
tarkoituksia varten tehtävään henkilötietojen käsittelyyn. Kun viranomaiset
käsittelevät tämän asetuksen soveltamisalaan kuuluvia henkilötietoja rikosten
torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai
rikosoikeudellisten seuraamusten täytäntöönpanoa varten, olisi sen sijaan
sovellettava unionin tasolla annettua erityissäädöstä (direktiivi XX/YYY). (17)
Tämä asetus ei saisi vaikuttaa direktiivin
2000/31/EY soveltamiseen eikä etenkään tuon direktiivin 12–15 artiklassa
säädettyihin välittäjinä toimivien palveluntarjoajien vastuuta koskeviin
sääntöihin. (18)
Tämän asetuksen säännöksiä sovellettaessa voidaan
ottaa huomioon virallisten asiakirjojen julkisuusperiaate. (19)
Tätä asetusta olisi noudatettava kaikessa
sellaisessa henkilötietojen käsittelyssä, jota suoritetaan unioniin
sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan
yhteydessä, riippumatta siitä, tapahtuuko itse käsittely unionin alueella vai
ei. Sijoittautuminen edellyttää tosiasiallista toimintaa ja kiinteää
toimipaikkaa. Sijoittautumisen oikeudellisella muodolla eli sillä, onko
kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä
suhteessa ratkaisevaa merkitystä. (20)
Jotta yksilöt eivät jäisi ilman heille tämän
asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava
kaikkien unionin alueella asuvien rekisteröityjen henkilötietojen käsittelyssä,
jos sitä suorittava rekisterinpitäjä ei ole sijoittautunut unioniin ja jos
käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille
rekisteröidyille tai näiden rekisteröityjen käyttäytymisen seurantaan. (21)
Sen määrittämiseksi, voidaanko käsittelytoiminnan
katsoa koskevan rekisteröityjen ’käyttäytymisen seurantaa’, olisi
varmistettava, onko yksilöitä seurattu internetissä sellaisten
käsittelytekniikoiden avulla, jotka käsittävät ’profiilin’ soveltamisen tiettyyn
yksilöön erityisesti häntä koskevien päätösten tekemistä varten tai hänen
henkilökohtaisten mieltymystensä, käyttäytymisensä ja asenteidensa analysointia
tai ennakoimista varten. (22)
Jos kansainvälisen julkisoikeuden nojalla on
sovellettava jäsenvaltion kansallista lakia, tätä asetusta olisi sovellettava
myös sellaiseen rekisterinpitäjään, joka ei ole sijoittautunut unioniin, vaan
esimerkiksi jäsenvaltion diplomaatti- tai konsuliedustustoon. (23)
Tietosuojaperiaatteita olisi sovellettava kaikkiin
tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista
henkilöä. Sen määrittämiseksi, onko luonnollinen henkilö tunnistettavissa,
olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu
henkilö voi kohtuuden rajoissa käyttää mainitun henkilön tunnistamiseksi.
Tietosuojaperiaatteita ei pitäisi soveltaa tietoihin, joiden tunnistettavuus on
poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista. (24)
Verkkopalvelujen käyttäjät voidaan yhdistää heidän
käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien
internet-tunnisteisiin, kuten IP-osoitteisiin tai evästeisiin. Näin käyttäjästä
voi jäädä jälkiä, joita voidaan käyttää yhdessä ainutlaatuisten tunnisteiden ja
muiden palvelimille toimitettujen tietojen avulla käyttäjien profilointiin ja
tunnistamiseen. Tästä seuraa, että tunnistenumeroita, sijaintitietoja,
internet-tunnisteita tai muita erityistekijöitä ei sinänsä tarvitse pitää
henkilötietoina kaikissa tilanteissa. (25)
Suostumus olisi annettava nimenomaisesti käyttäen
mitä tahansa soveltuvaa tapaa, joka mahdollistaa vapaasti esitetyn, täsmällisen
ja tietoon perustuvan ilmoituksen rekisteröidyn toiveista siten, että
asianomainen esittää suostumusta ilmaisevan lausuman tai toteuttaa suostumusta
ilmaisevan toimen, joka osoittaa, että asianomainen tietää antavansa
suostumuksensa henkilötietojensa käsittelyyn, esimerkiksi rastittamalla ruudun
vieraillessaan internet-sivustolla tai esittämällä minkä tahansa muun lausuman
tai käyttäytymällä tavalla, joka selkeästi osoittaa tässä yhteydessä, että
rekisteröity hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen.
Suostumusta ei pitäisi voida antaa vaikenemalla tai jättämällä jokin toimi
toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan
samaa tarkoitusta tai samoja tarkoituksia varten. Jos rekisteröidyn on annettava
suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja
tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä,
jota varten se annetaan. (26)
Terveyttä koskevia henkilötietoja ovat erityisesti
kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa, tiedot yksilön
rekisteröimisestä terveyspalvelujen saamista varten, tiedot yksilöä koskevista
terveydenhuollon maksuista tai yksilön oikeudesta terveydenhuoltoon, yksilölle
annettu numero, symboli tai erityistuntomerkki ainoastaan yksilön
tunnistamiseksi terveydenhuollon piirissä, yksilöstä terveydenhuollon
palvelujen antamisen aikana kerätyt tiedot, kehon osan tai kehosta peräisin
olevan aineen testaamisesta tai tutkimisesta saadut tiedot, myös biologiset
näytteet, tieto siitä, kuka on hoitanut yksilölle, sekä kaikki tiedot
esimerkiksi sairauksista, vammoista, sairauden riskistä, esitiedoista tai
annetuista hoidoista sekä tieto rekisteröidyn senhetkisestä fyysisestä tai
lääketieteellisestä tilanteesta riippumatta siitä, mistä lähteestä tiedot on
saatu (lääkäriltä tai muulta terveydenhuoltoalan ammattilaiselta, sairaalalta,
lääkinnällisestä laitteesta vai diagnostisesta in vitro ‑testistä). (27)
Se, sijaitseeko rekisterinpitäjän päätoimipaikka
unionissa, olisi määritettävä objektiivisten kriteerien perusteella, joissa
otetaan huomioon ne todelliset hallintotoimet, joiden yhteydessä tehdään
kiinteässä toimipaikassa toteutettavan käsittelyn tarkoituksia, edellytyksiä ja
keinoja koskevat tärkeimmät päätökset. Näihin kriteereihin ei saisi vaikuttaa
se, toteutetaanko varsinainen henkilötietojen käsittely tuossa paikassa, sillä
henkilötietojen käsittelyä tai käsittelytoimia varten käytettävien teknisten välineiden
ja teknologioiden olemassaolo ja käyttö eivät sinänsä osoita tällaista
päätoimipaikkaa eivätkä ne sen vuoksi ole ratkaiseva kriteeri päätoimipaikan
määrittämisessä. Rekisterinpitäjän päätoimipaikan olisi oltava sen
keskushallinnon sijaintipaikka unionissa. (28)
Yritysryhmän olisi katettava sekä määräysvaltaa
käyttävä yritys että sen määräysvallassa olevat yritykset niin, että
määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen
nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen
sääntöjen perusteella, tai jolla on toimivalta panna täytäntöön henkilötietojen
suojaa koskevat säännöt. (29)
On pyrittävä suojaamaan erityisesti lasten
henkilötietoja, koska he eivät välttämättä ole kovin hyvin perillä
henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, takeista tai
omista oikeuksistaan. Sen määrittämiseksi, milloin yksilö on lapsi, tähän
asetukseen olisi sisällytettävä lapsen oikeuksia koskevassa YK:n
yleissopimuksessa vahvistettu määritelmä. (30)
Kaikki henkilötietojen käsittely on suoritettava
lainmukaisesti ja asianomaisia henkilöitä kohtaan oikeudenmukaisella ja
läpinäkyvällä tavalla. Varsinkin tietojenkäsittelyn nimenomaiset tarkoitukset
olisi määritettävä ja ilmoitettava tietojen keräämisen yhteydessä selvästi ja
lainmukaisesti. Henkilötietojen olisi oltava asianmukaisia ja olennaisia ja
niiden määrä olisi rajoitettava mahdollisimman vähään suhteessa niihin
tarkoituksiin, joita varten niitä käsitellään; sen vuoksi olisi erityisesti
varmistettava, että tietoja ei kerätä liikaa ja että niiden säilytysaika on
rajoitettu mahdollisimman lyhyeksi. Henkilötietoja olisi käsiteltävä vain jos
käsittelyn tarkoitusta ei voida toteuttaa muilla keinoin. Kaikki kohtuulliset
toimenpiteet olisi toteutettava sen varmistamiseksi, että virheelliset
henkilötiedot oikaistaan tai poistetaan. Rekisterinpitäjän olisi asetettava
määräajat henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden
säännöllistä tarkistamista varten, jotta voidaan varmistaa, ettei tietoja
säilytetä pidempään kuin on tarpeen. (31)
Jotta henkilötietojen käsittely olisi lainmukaista,
sen olisi perustuttava asianomaisen henkilön suostumukseen tai muuhun
oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä
asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin tai jäsenvaltion
lainsäädännössä. (32)
Kun tietojenkäsittely perustuu rekisteröidyn
suostumukseen, rekisterinpitäjällä olisi oltava vastuu sen osoittamisesta, että
rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus
annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi
annettava takeet sen varmistamiseksi, että rekisteröity on tietoinen siitä,
että hän on antanut suostumuksensa ja että hän tietää, mitä se koskee. (33)
Sen varmistamiseksi, että suostumus annetaan
vapaasti, olisi täsmennettävä, että suostumus ei ole pätevä peruste
tietojenkäsittelylle, jos yksilöllä ei ole todellista vapaan valinnan
mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta
tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. (34)
Suostumuksen ei pitäisi muodostaa pätevää
oikeudellista perustetta henkilötietojen käsittelylle, jos rekisteröidyn ja
rekisterinpitäjän välillä on selkeä epäsuhta. Näin on erityisesti siinä
tapauksessa, että rekisteröity on riippuvuussuhteessa rekisterinpitäjään,
esimerkiksi kun työnantaja käsittelee työntekijöiden henkilötietoja työsuhteen
yhteydessä. Jos rekisterinpitäjä on viranomainen, epäsuhta liittyisi vain
erityisiin tietojenkäsittelytoimiin, joiden yhteydessä viranomainen voi määrätä
velvoitteen asiaa koskevien julkisten toimivaltuuksiensa nojalla eikä
suostumusta voida katsoa annetun vapaaehtoisesti, kun otetaan huomioon
rekisteröidyn edut. (35)
Käsittelyä olisi pidettävä lainmukaisena, kun se on
tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten. (36)
Kun käsittely tapahtuu rekisterinpitäjää koskevan
lakisääteisen velvoitteen noudattamiseksi tai kun käsittely on tarpeen yleistä
etua koskevan tai julkisen vallan käyttöön liittyvän tehtävän suorittamiseksi,
käsittelyllä olisi oltava oikeusperusta unionin lainsäädännössä tai sellaisessa
jäsenvaltion lainsäädännössä, joka täyttää oikeuksien ja vapauksien
rajoittamiselle Euroopan unionin perusoikeuskirjassa asetetut vaatimukset.
Unionin oikeudessa tai kansallisessa lainsäädännössä määritetään, olisiko
yleistä etua tai julkisen vallan käyttöä koskevan tehtävän suorittamisesta
vastuussa olevan rekisterinpitäjän oltava julkinen viranomainen tai muu julkis-
tai yksityisoikeudellinen luonnollinen tai oikeushenkilö, esimerkiksi
ammatillinen yhteenliittymä. (37)
Henkilötietojen käsittelyä olisi pidettävä
lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn hengen kannalta
olennaisten etujen suojelemiseksi. (38)
Rekisterinpitäjän oikeutetut edut voivat muodostaa
käsittelyn oikeusperustan edellyttäen, että rekisteröidyn etuja tai
perusoikeuksia ja -vapauksia ei syrjäytetä. Tätä on arvioitava huolellisesti
etenkin jos rekisteröity on lapsi, koska lapset tarvitsevat erityistä suojelua.
Rekisteröidyllä olisi oltava oikeus vastustaa tietojensa käsittelyä
tilanteeseensa liittyvien syiden vuoksi ja maksutta. Läpinäkyvyyden
varmistamiseksi rekisterinpitäjällä olisi oltava velvollisuus ilmoittaa
rekisteröidylle nimenomaisesti näistä oikeutetuista eduista ja rekisteröidyn
oikeudesta vastustaa tietojenkäsittelyä, ja rekisterinpitäjällä olisi myös
oltava velvollisuus esittää näitä oikeutettuja etuja koskevat asiakirjat. Koska
on lainsäätäjän tehtävä vahvistaa lailla oikeusperusta, jonka nojalla
viranomaiset voivat käsitellä tietoja, tätä oikeusperustaa ei pitäisi soveltaa
tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä. (39)
On rekisterinpitäjän oikeutetun edun mukaista
rajoittaa tietojenkäsittely siihen, mikä on ehdottoman välttämätöntä, jotta
viranomaiset, tietotekniikan kriisiryhmät (Computer Emergency Response Teams,
CERT), CSIRT-toimijat (tietoturvaloukkauksiin reagoiva ja niitä tutkiva
yksikkö), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä
turvallisuusteknologian ja ‑palvelujen tarjoajat voivat varmistaa verkko- ja
tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä
varmuudella onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta,
jotka vaarantavat tallennettujen tai siirrettävien tietojen ja niihin
liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien
palvelujen saatavuuden, aitouden, eheyden ja luottamuksellisuuden. Tähän voisi
kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja
vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja
tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen
estäminen. (40)
Henkilötietojen käsittely muita tarkoituksia varten
olisi sallittava vain jos käsittely on niiden tarkoitusten mukaista, joita
varten tiedot on alun perin kerätty, erityisesti silloin kun käsittely on
tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä
tutkimustarkoituksia varten. Jos muu tarkoitus on ristiriidassa sen
tarkoituksen kanssa, jota varten tiedot alun perin kerättiin, rekisterinpitäjän
olisi saatava rekisteröidyn suostumus tätä muuta tarkoitusta varten tai
käsittelyn olisi perustuttava muuhun lainmukaista käsittelyä koskevaan
oikeutettuun perusteeseen, erityisesti jos sellaisesta säädetään unionin oikeudessa
tai rekisterinpitäjään sovellettavassa jäsenvaltion laissa. Kaikissa
tapauksissa olisi varmistettava, että sovelletaan tässä asetuksessa
vahvistettuja periaatteita ja erityisesti periaatetta, jonka mukaan
rekisteröidylle on ilmoitettava näistä muista tarkoituksista. (41)
Henkilötietoja, jotka ovat perusoikeuksien tai
yksityisyyden kannalta erityisen arkaluonteisia ja haavoittuvia, on suojeltava
erityisen tarkasti. Tällaisia tietoja ei pitäisi käsitellä ilman rekisteröidyn
nimenomaista suostumusta. Olisi kuitenkin nimenomaisesti säädettävä tätä
kieltoa koskevista poikkeuksista erityisten tarpeiden vaatiessa etenkin, jos
kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden
sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa
perusvapauksien toteutuminen. (42)
Arkaluonteisten tietoryhmien käsittelykiellosta
olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu lakiin
ja tapahtuu asianmukaisten takeiden vallitessa, jotta voidaan suojata henkilötietoja
ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden ja
erityisesti terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja
sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten,
erityisesti laadun ja kustannustehokkuuden takaamiseksi
sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten
käsittelymenettelyssä tai historiantutkimusta taikka tilastollisia tai
tieteellisiä tutkimustarkoituksia varten. (43)
Myös viranomaisten suorittama henkilötietojen
käsittely valtiosääntöoikeudessa ja kansainvälisessä julkisoikeudessa
säädettyjen virallisesti tunnustettujen uskonnollisten yhdistysten päämäärien
toteuttamiseksi toteutetaan yleisen edun perusteella. (44)
Jos demokraattisen järjestelmän vaaleihin liittyvä
toiminta tietyissä jäsenvaltioissa edellyttää, että poliittiset puolueet
keräävät tietoja henkilöiden poliittisista mielipiteistä, kyseisten tietojen
käsittely voidaan sallia yleisen edun vuoksi sillä edellytyksellä, että otetaan
käyttöön asianmukaiset takeet. (45)
Jos rekisterinpitäjä ei pysty tunnistamaan
luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjää ei
pitäisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten,
jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen
säännöstä. Kun rekisteröity on esittänyt tiedonsaantipyynnön,
rekisterinpitäjällä olisi oltava oikeus pyytää rekisteröidyltä lisätietoja,
joiden avulla rekisterinpitäjä voi löytää tämän pyytämät henkilötiedot. (46)
Läpinäkyvyysperiaatteen mukaisesti yleisölle tai
rekisteröidylle tarkoitettujen tietojen olisi oltava helposti saatavilla ja
ymmärrettäviä, ja ne olisi ilmaistava selkeällä ja yksinkertaisella kielellä.
Tämä on erityisen tärkeää esimerkiksi verkkomainonnassa, missä rekisteröidyn on
toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi
vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä
keräävät ja mitä tarkoitusta varten. Koska lapset tarvitsevat erityistä
suojelua, kaikki erityisesti lapsiin kohdistuvaa tietojenkäsittelyä koskeva
tiedotus ja viestintä on ilmaistava niin selkeällä ja yksinkertaisella
kielellä, että lapsi voi helposti ymmärtää ne. (47)
Olisi säädettävä yksityiskohtaisesti siitä, miten
tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin
helpottaa, esimerkiksi siitä, miten voi pyytää maksutta pääsyä tietoihin tai
tietojen oikaisemista ja poistamista sekä käyttää oikeutta vastustaa
tietojenkäsittelyä. Rekisterinpitäjä olisi velvoitettava vastaamaan
rekisteröidyn pyyntöihin tietyssä määräajassa ja perustelemaan kieltäytymisensä
siinä tapauksessa, että rekisteröidyn pyyntöä ei noudateta. (48)
Asianmukaisen ja läpinäkyvän käsittelyn
periaatteiden mukaisesti rekisteröidylle olisi ilmoitettava erityisesti
henkilötietojen käsittelystä ja sen tarkoituksista, tietojen säilytysajasta,
tiedonsaantioikeudesta, oikeudesta oikaista ja poistaa tiedot sekä
valitusoikeudesta. Jos tietoja kerätään rekisteröidyltä, tälle olisi lisäksi
ilmoitettava, onko hänen pakko toimittaa tiedot, sekä kieltäytymisen
seurauksista. (49)
Rekisteröidylle olisi ilmoitettava häntä koskevien
henkilötietojen käsittelystä tietojen keräämisen yhteydessä tai, jos tietoja ei
ole saatu suoraan rekisteröidyltä, kohtuullisen ajan kuluessa tietojen
keräämisestä, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos tietoja
voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi
ilmoitettava tästä silloin, kun tietoja luovutetaan ensimmäisen kerran. (50)
Tätä ei kuitenkaan tarvitse vaatia silloin kun
rekisteröidyllä jo on tämä tieto tai kun lainsäädännössä nimenomaisesti
säädetään tietojen tallentamisesta tai luovuttamisesta tai kun tietojen
toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta
vaivaa. Viimeksi mainittu tilanne liittyy erityisesti tapauksiin, joissa
käsittely tapahtuu historiantutkimusta taikka tilastollisia tai tieteellisiä
tutkimustarkoituksia varten; tällöin voidaan ottaa huomioon rekisteröityjen
määrä, tietojen ikä ja mahdollisesti hyväksytyt korvaavat toimenpiteet. (51)
Jokaisella olisi oltava oikeus saada tietoa siitä,
mitä tietoja hänestä on kerätty, sekä käyttää tätä oikeutta vaivattomasti
voidakseen valvoa ja tarkistaa käsittelyn lainmukaisuuden. Kaikilla
rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus
erityisesti tietojenkäsittelyn tarkoituksista, käsittelyajasta, tietojen
vastaanottajista, käsiteltävien tietojen logiikasta sekä käsittelyn
mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Tämä
oikeus ei saisi aiheuttaa vahinkoa muiden oikeuksille ja vapauksille,
esimerkiksi liikesuhteiden luottamuksellisuudelle tai henkiselle omaisuudelle
eikä etenkään ohjelmistojen tekijänoikeudelle. Näiden seikkojen huomioon
ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta
minkäänlaista tietoa. (52)
Rekisterinpitäjän olisi käytettävä kaikkia
kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden,
joka haluaa käyttää tiedonsaantioikeuttaan, erityisesti verkkopalvelujen ja
internet-tunnisteiden yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää
henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten. (53)
Jokaisella olisi oltava oikeus saada itseään
koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”,
jos tietojen säilyttäminen ei ole tämän asetuksen säännösten mukaista.
Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen
henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun tietoja ei
enää tarvita niiden tarkoitusten toteuttamista varten, joita varten ne
kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on
perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut
henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei
muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen
erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, jolloin
hän ei ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja
haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Tietojen
säilyttäminen edelleen voitaisiin kuitenkin sallia, jos se on tarpeen
historiantutkimukseen taikka tilastolliseen tai tieteelliseen tutkimukseen
liittyvistä syistä, kansanterveyteen liittyvän yleisen edun vuoksi,
sananvapautta koskevan oikeuden käyttöä varten, tai kun laki niin vaatii tai
kun on olemassa syy rajoittaa tietojen käsittelyä sen sijaan että ne
poistettaisiin. (54)
Jotta voitaisiin lujittaa ”oikeutta tulla
unohdetuksi” verkkoympäristössä, olisi laajennettava oikeutta tietojen
poistamiseen niin, että tiedot julkistanut rekisterinpitäjä velvoitettaisiin
ilmoittamaan tietoja käsitteleville kolmansille osapuolille rekisteröidyn
pyynnöstä poistaa kyseisiin henkilötietoihin liittyvät linkit tai näiden
henkilötietojen jäljennökset tai kopiot. Tämän ilmoituksen varmistamiseksi
rekisterinpitäjän olisi toteutettava kaikki kohtuulliset, muun muassa tekniset
toimenpiteet, niiden tietojen suhteen, joiden julkistamisesta rekisterinpitäjä
on vastuussa. Kun henkilötiedot julkistaa kolmas osapuoli, rekisterinpitäjän
olisi katsottava olevan vastuussa julkistamisesta, jos rekisterinpitäjä on
valtuuttanut kolmannen osapuolen julkistamaan tiedot. (55)
Jotta voitaisiin edelleen lujittaa rekisteröityjen
oikeutta valvoa henkilötietojaan ja heidän tiedonsaantioikeuttaan silloin kun
henkilötietoja käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti
käytetyssä muodossa, rekisteröidyillä olisi oltava oikeus saada jäljennös heitä
koskevista tiedoista myös yleisesti käytetyssä sähköisessä muodossa.
Rekisteröityjen pitäisi myös voida siirtää antamansa tiedot yhdestä
automaattisesta sovelluksesta, esimerkiksi sosiaalisesta verkostosta, toiseen.
Tätä olisi sovellettava silloin kun rekisteröity on antanut tiedot
automaattiseen käsittelyjärjestelmään oman suostumuksensa tai sopimuksen
täytäntöönpanon perusteella. (56)
Vaikka henkilötietoja voitaisiin käsitellä
lainmukaisesti rekisteröidyn elintärkeiden etujen suojaamiseksi tai yleisen
edun, julkisen vallan käytön tai rekisterinpitäjän oikeutetun edun vuoksi,
rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa tietojensa käsittelyä.
Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän oikeutetut edut
voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja ‑vapaudet. (57)
Jos henkilötietoja käsitellään suoramarkkinointia
varten, rekisteröidyllä olisi oltava oikeus vastustaa henkilötietojensa
käsittelyä tällaista markkinointia varten maksutta ja tavalla, johon tämä voi
vedota helposti ja tehokkaasti. (58)
Jokaisella luonnollisella henkilöllä olisi oltava
oikeus olla joutumatta tietojen automaattisen käsittelyn avulla tapahtuvaan
profilointiin perustuvien toimenpiteiden kohteeksi. Tällaiset toimenpiteet
olisi kuitenkin sallittava, jos ne on nimenomaisesti hyväksytty laissa tai
toteutettu sopimuksen tekemisen tai täytäntöönpanon yhteydessä tai kun
rekisteröity on antanut niihin suostumuksensa. Tällaiseen käsittelyyn olisi
kuitenkin aina sovellettava asianmukaisia takeita, joihin kuuluisivat
tällaisesta käsittelystä ilmoittaminen rekisteröidylle, oikeus tietojen
käsittelyyn ihmisen toimesta ja se, että tällaista toimenpidettä ei saisi
kohdistaa lapseen. (59)
Rajoituksista, jotka koskevat erityisiä
periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, tiedonsaantioikeutta,
oikeutta oikaista ja poistaa tietoja, oikeutta siirtää tiedot järjestelmästä
toiseen, oikeutta vastustaa tietojenkäsittelyä, profilointiin perustuvia
toimenpiteitä sekä henkilötietoja koskevasta tietoturvaloukkauksesta
ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän
velvollisuuksia, voidaan säätää unionin tai jäsenvaltion lainsäädännössä siltä
osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan
toimenpiteitä yleisen turvallisuuden takaamiseksi, esimerkiksi ihmishenkien
suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin
yhteydessä taikka rikosten tai, säännellyn ammattitoiminnan yhteydessä,
ammattietiikan rikkomusten torjumista, tutkimista ja syytteeseenpanoa varten
tai muiden unionin tai jäsenvaltion yleistä etua koskevien syiden vuoksi,
esimerkiksi unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta
koskevien etujen vuoksi tai säänneltyjen ammattien ammattietiikkaa koskevien
loukkausten vuoksi tai rekisteröidyn suojelemiseksi tai muille kuuluvien
oikeuksien ja vapauksien suojelemiseksi. Näiden rajoitusten olisi oltava
Euroopan unionin perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien
suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten
mukaisia. (60)
Olisi vahvistettava rekisterinpitäjän kattava
vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta
henkilötietojen käsittelystä. Rekisterinpitäjän olisi erityisesti varmistettava
ja kyettävä osoittamaan, että kaikki käsittelytoimet ovat tämän asetuksen
mukaisia. (61)
Rekisteröidyn oikeuksien ja vapauksien suoja
henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset
tekniset ja organisatoriset toimenpiteet sekä käsittelyn suunnittelu- että
toteuttamisvaiheessa, asetuksessa säädettyjen vaatimusten noudattamiseksi.
Varmistaakseen ja osoittaakseen, että asetusta on noudatettu, rekisterinpitäjän
olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava asianmukaiset
toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen
tietosuojan periaatteita. (62)
Rekisteröidyn oikeuksien ja vapauksien suojelu sekä
rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuu esimerkiksi
valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden
yhteydessä edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan
selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset,
edellytykset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun
käsittely suoritetaan rekisterinpitäjän puolesta. (63)
Jos unionin alueella asuvien rekisteröityjen
henkilötietoja käsittelee rekisterinpitäjä, joka ei ole sijoittautunut
unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille
rekisteröidyille tai heidän käyttäytymisensä seurantaan, rekisterinpitäjän
olisi nimitettävä edustaja, paitsi jos rekisterinpitäjä on sijoittautunut
kolmanteen maahan, joka tarjoaa riittävän tietosuojan tason, tai jos
rekisterinpitäjä on pieni tai keskisuuri yritys tai viranomainen tai julkishallinnon
elin tai jos rekisterinpitäjä tarjoaa tavaroita ja palveluja näille
rekisteröidyille vain satunnaisesti. Edustajan olisi toimittava
rekisterinpitäjän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki
valvontaviranomaiset. (64)
Sen määrittämiseksi, tarjoaako rekisterinpitäjä
tavaroita ja palveluja unionissa asuville rekisteröidyille vain satunnaisesti,
olisi varmistettava, ilmeneekö rekisterinpitäjän yleisestä toiminnasta, että
tavaroiden ja palvelujen tarjoaminen näille rekisteröidyille on sen pääasiallisten
toimintojen aputoiminto. (65)
Rekisterinpitäjän tai henkilötietojen käsittelijän
olisi dokumentoitava kaikki käsittelytoimet voidakseen osoittaa, että ne ovat
tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät
olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja
esittämään sille pyydettäessä käsittelyä koskevat dokumentit, jotta
tietojenkäsittelytoimia voidaan seurata niiden pohjalta. (66)
Turvallisuuden ylläpitämiseksi ja asetuksen
säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai
henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja
toteutettava toimenpiteitä näiden riskien lieventämiseksi. Näiden
toimenpiteiden avulla olisi voitava varmistaa asianmukainen turvallisuustaso
ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset
suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen
luonteeseen. Vahvistaessaan teknisiä standardeja ja organisatorisia
toimenpiteitä tietojenkäsittelyn turvallisuuden varmistamiseksi komission olisi
edistettävä teknologianeutraaliutta, yhteentoimivuutta ja innovointia sekä
tehtävä tarvittaessa yhteistyötä kolmansien maiden kanssa. (67)
Jos henkilötietojen tietoturvaloukkaukseen ei
puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua kyseessä olevalle
henkilölle huomattavia taloudellisia menetyksiä ja sosiaalisia haittoja, kuten
väärän henkilöllisyyden käyttöä. Sen vuoksi rekisterinpitäjän olisi
ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta
viivytystä heti, kun se on tullut ilmi, ja mahdollisuuksien mukaan 24 tunnin
kuluessa. Jos ilmoitusta ei voida tehdä 24 tunnin kuluessa, ilmoitukseen olisi
liitettävä selvitys viivytyksen syistä. Henkilöille, joiden henkilötietoihin
tietoturvaloukkaus voi vaikuttaa haitallisesti, olisi ilmoitettava asiasta
ilman aiheetonta viivytystä, jotta he voivat toteuttaa tarvittavat varotoimet.
Tietoturvaloukkauksen olisi katsottava vaikuttavan haitallisesti rekisteröidyn
henkilötietoihin tai yksityisyyteen, jos se voi johtaa esimerkiksi
henkilötietovarkauteen tai ‑petokseen tai jos siitä voi aiheutua fyysistä
haittaa tai huomattavan vakavaa nöyryytystä tai jos se voi vahingoittaa
henkilön mainetta. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen
luonne ja esitettävä suosituksia siitä, miten asianomainen voi lieventää sen
mahdollisia haittavaikutuksia. Tietoturvaloukkauksesta olisi ilmoitettava
rekisteröidylle niin pian kuin se on kohtuudella mahdollista ja tiiviissä
yhteistyössä valvontaviranomaisen kanssa, noudattaen valvontaviranomaisen tai
esimerkiksi lainvalvontaviranomaisten antamia ohjeita. Esimerkiksi, jotta
rekisteröidyillä olisi mahdollisuus lieventää välittömien haittojen riskiä,
tietoturvaloukkauksesta olisi ilmoitettava heille viipymättä, kun taas tarve
toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai
vastaavien tietoturvaloukkausten estämiseksi voivat olla perusteena ilmoituksen
lykkäämiselle. (68)
Sen määrittämiseksi, onko henkilötietojen
tietoturvaloukkauksesta ilmoitettu valvontaviranomaiselle ja rekisteröidylle
ilman aiheetonta viivytystä, olisi tarkistettava, onko rekisterinpitäjä on
toteuttanut ja soveltanut asianmukaisia teknisiä ja organisatorisia
suojatoimenpiteitä selvittääkseen välittömästi, onko tapahtunut henkilötietojen
tietoturvaloukkaus, ja ilmoittaakseen asiasta viipymättä valvontaviranomaiselle
ja rekisteröidylle, ennen kuin siitä aiheutuu vahinkoa taloudellisille ja
henkilökohtaisille eduille, ottaen huomioon erityisesti tietoturvaloukkauksen
luonne ja vakavuus sekä siitä rekisteröidylle aiheutuvat seuraukset ja
haittavaikutukset. (69)
Laadittaessa yksityiskohtaisia sääntöjä
henkilötietojen tietoturvaloukkausten ilmoittamisen muodosta ja ilmoittamisessa
sovellettavista menettelyistä olisi otettava asianmukaisesti huomioon
loukkaukseen liittyvät seikat, kuten se, oliko henkilötiedot suojattu
asianmukaisin teknisin suojauskeinoin, mikä vähentää olennaisesti
henkilötietopetoksen tai muiden väärinkäytösten todennäköisyyttä. Tällaisissa
säännöissä ja menettelyissä olisi myös otettava huomioon
lainvalvontaviranomaisten oikeutetut edut tapauksissa, joissa varhainen
ilmoittaminen voisi tarpeettomasti haitata tietoturvaloukkauksen tutkimista. (70)
Direktiivissä 95/46/EY säädetään yleinen
velvollisuus ilmoittaa henkilötietojen käsittelystä valvontaviranomaisille.
Tämä velvollisuus aiheuttaa hallinnollista ja taloudellista rasitusta, mutta se
ei aina ole edistänyt henkilötietojen suojaa. Siksi tällaisesta yleisestä
ilmoitusvelvollisuudesta olisi luovuttava ja korvattava se tehokkailla
menettelyillä ja mekanismilla, jotka keskittyvät sen sijaan niihin
käsittelytoimiin, joihin niiden luonteen, laajuuden tai tarkoitusten vuoksi
todennäköisesti liittyy rekisteröidyn oikeuksien ja vapauksien kannalta
erityisiä riskejä. Tällaisissa tapauksissa rekisterinpitäjän tai
henkilötietojen käsittelijän olisi tehtävä ennen tietojenkäsittelyä tietosuojaa
koskeva vaikutustenarviointi, jossa olisi tarkasteltava erityisesti
suunniteltuja toimenpiteitä sekä niitä takeita ja mekanismeja, joiden avulla
varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on
noudatettu. (71)
Tätä olisi sovellettava erityisesti vasta
perustettuihin suuren mittakaavan rekisteröintijärjestelmiin, joissa on
tarkoitus käsitellä huomattavia määriä henkilötietoja alueellisella,
kansallisella tai ylikansallisella tasolla, mikä voi vaikuttaa suureen määrään
rekisteröityjä. (72)
Joissain olosuhteissa voisi olla järkevää ja
taloudellista laatia tietosuojaa koskeva vaikutustenarviointi, jossa
tarkasteltaisiin asioita laajemmin kuin yhden projektin kannalta, esimerkiksi
kun viranomaiset tai julkishallinnon elimet aikovat luoda yhteisen sovelluksen
tai käsittelyalustan tai kun useat rekisterinpitäjät aikovat ottaa käyttöön
yhteisen sovelluksen tai käsittely-ympäristön kokonaista teollisuudenalaa tai
segmenttiä tai jotakin laajalti käytettävää horisontaalista toimintoa varten. (73)
Viranomaisten tai julkishallinnon elinten olisi
tehtävä tietosuojaa koskeva vaikutustenarviointi, ellei sellaista ole jo tehty,
kun hyväksytään kansallista lainsäädäntöä, johon kyseisen viranomaisen tai
julkishallinnon elimen tehtävien suorittaminen perustuu ja joka säätelee siihen
liittyviä käsittelytoimia tai käsittelytoimien sarjoja. (74)
Jos tietosuojaa koskeva vaikutustenarviointi
osoittaa, että käsittelytoimiin tai tietyn uuden teknologian käyttöön liittyy
runsaasti erityisiä rekisteröidyn oikeuksiin ja vapauksiin vaikuttavia riskejä,
kuten rekisteröidyn jääminen ilman tiettyä oikeutta, ennen käsittelyn
aloittamista olisi kuultava valvontaviranomaista tällaisesta riskialttiista
käsittelystä, joka saattaa olla vastoin asetuksen säännöksiä, jotta se voi
esittää ehdotuksia tilanteen korjaamiseksi. Tällainen kuuleminen olisi
suoritettava myös joko kansallisen parlamentin toimenpiteen tai tällaiseen lainsäädäntötoimenpiteeseen
perustuvan toimenpiteen valmistelun aikana, kun näissä toimenpiteissä
määritetään käsittelyn luonne ja vahvistetaan asianmukaiset takeet. (75)
Jos tietojenkäsittely suoritetaan julkisella
sektorilla tai yksityisen sektorin suuressa yrityksessä tai sellaisessa
yrityksessä, sen koosta riippumatta, jonka keskeisiin toimintoihin liittyy
säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia,
rekisterinpitäjällä tai henkilötietojen käsittelijällä olisi oltava apunaan
henkilö, joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn
yhteydessä. Tällaisen tietosuojavastaavan olisi voitava suorittaa
velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa
rekisterinpitäjään tai ei. (76)
Yhdistyksiä tai muita elimiä, jotka edustavat
rekisterinpitäjien ryhmiä, olisi kannustettava laatimaan käytännesääntöjä tässä
asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen
soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet. (77)
Läpinäkyvyyden ja tämän asetuksen noudattamisen
tehostamiseksi olisi edistettävä sertifiointimekanismien sekä
tietosuojasinettien ja ‑merkkien käyttöönottoa, jotta rekisteröidyt voivat
nopeasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason. (78)
Henkilötietojen kansainväliset siirrot ovat tarpeen
kansainvälisen kaupan ja yhteistyön kehittämiseksi. Tällaisten siirtojen
lisääntyminen on synnyttänyt uusia henkilötietojen suojaan liittyviä haasteita
ja huolenaiheita. Kun henkilötietoja siirretään unionista kolmansiin maihin tai
kansainvälisille järjestöille, ei kuitenkaan pitäisi vaarantaa yksilöiden
henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen.
Siirtoja kolmansiin maihin voidaan joka tapauksessa toteuttaa ainoastaan tätä
asetusta täysimääräisesti noudattaen. (79)
Tämä asetus ei vaikuta unionin ja kolmansien maiden
välillä tehtyihin kansainvälisiin sopimuksiin, jotka koskevat henkilötietojen
siirtoa, rekisteröidyille annettavat asianmukaiset takeet mukaan lukien. (80)
Komissio voi päättää koko unionin osalta, että
tietyt kolmannet maat tai tietty alue tai tietojenkäsittelyn sektori jossakin
kolmannessa maassa tai tietyt kansainväliset järjestöt tarjoavat riittävän
tasoisen tietosuojan, jotta voidaan varmistaa oikeusvarmuus ja yhdenmukaisuus
kaikkialla unionissa riittävän tietosuojan tarjoavan kolmansien maiden tai
kansainvälisten järjestöjen osalta. Tällöin henkilötietoja voidaan siirtää
kyseisiin maihin ilman erityistä lupaa. (81)
Unionin perusarvojen ja erityisesti ihmisoikeuksien
suojan mukaisesti komission olisi kolmansia maita arvioidessaan otettava
huomioon, miten oikeusvaltioperiaate, oikeussuoja sekä kansainväliset
ihmisoikeussäännöt ja ‑normit toteutuvat kyseisessä kolmannessa maassa. (82)
Komissio voi myös todeta, että jokin kolmas maa tai
jokin alue tai tietojenkäsittelyn sektori kolmannessa maassa tai jokin
kansainvälinen järjestö ei tarjoa riittävän tasoista tietosuojaa. Tällöin
henkilötietojen siirtäminen kyseiseen maahan olisi kiellettävä. Tällaisessa
tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai
kansainvälisten järjestöjen välisistä kuulemismenettelyistä. (83)
Jos tietosuojan riittävyyttä koskevaa päätöstä ei
ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi
toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan antaa
asianmukaiset takeet kolmannen maan puutteellisen tietosuojan kompensoimiseksi.
Nämä asianmukaiset takeet voivat tarkoittaa, että sovelletaan yritystä koskevia
sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa
koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä
sopimuslausekkeita, tai muita soveltuvia ja oikeasuhteisia toimenpiteitä, jotka
ovat perusteltuja tiedonsiirtoon tai tiedonsiirtojen sarjaan liittyvien seikkojen
perusteella, edellyttäen että valvontaviranomainen hyväksyy ne. (84)
Se, että rekisterinpitäjä tai henkilötietojen
käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä
tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai
henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia
vakiolausekkeita laajempiin sopimuksiin tai lisäämästä muita lausekkeita,
kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai
valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa tai vaikuta
rekisteröidyn perusoikeuksiin tai -vapauksiin. (85)
Yritysryhmän olisi voitava soveltaa sitä koskevia
hyväksyttyjä sitovia sääntöjä kansainvälisiin tiedonsiirtoihinsa unionista
samaan yritysryhmään kuuluville organisaatioille, kunhan näissä sitovissa
säännöissä on olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet,
joiden avulla voidaan varmistaa asianmukaiset takeet tällaisia henkilötietojen
siirtoja tai siirtojen sarjoja varten. (86)
Olisi säädettävä mahdollisuudesta tehdä
tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut
suostumuksensa, kun siirto on tarpeen sopimuksen tai oikeudellisen vaateen
nojalla, kun unionin tai jäsenvaltion lainsäädäntöön perustuvat, yleistä etua
koskevat tärkeät syyt niin vaativat tai kun siirto suoritetaan lailla
perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa
sellaisen henkilön käyttöön, jolla on siihen oikeutettu etu. Viimeksi
mainitussa tapauksessa siirto ei saisi käsittää tietoja kokonaisuudessaan tai
rekisterin sisältämää kokonaista tietoryhmää, ja jos rekisteri on tarkoitettu
sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto olisi
tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen
vastaanottajia. (87)
Näitä poikkeuksia olisi sovellettava erityisesti
tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden
vuoksi, esimerkiksi kun on kyse kansainvälisistä tiedonsiirroista
kilpailuviranomaisten tai vero- tai tullihallintojen tai rahoitusalan
valvontaviranomaisten tai sosiaaliturva-alan toimivaltaisten viranomaisten
välillä taikka tiedonsiirroista rikosten torjumisesta, tutkimisesta,
selvittämisestä ja syytteeseenpanosta vastaaville toimivaltaisille
viranomaisille. (88)
Tiedonsiirrot, joita ei voida pitää toistuvina tai
laajamittaisina, voitaisiin sallia rekisterinpitäjän tai henkilötietojen
käsittelijän oikeutettujen etujen toteuttamiseksi, jos nämä ovat arvioineet
kaikki tällaisiin siirtoihin liittyvät olosuhteet. Historiantutkimusta taikka
tilastollisia tai tieteellisiä tutkimustarkoituksia varten olisi otettava
huomioon tietämyksen lisäämistä koskevat yhteiskunnan oikeutetut odotukset. (89)
Aina kun komissio ei ole tehnyt päätöstä kolmannen
maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen
käsittelijän olisi käytettävä ratkaisuja, jotka antavat rekisteröidyille takeet
siitä, että he voivat nauttia samoja perusoikeuksia ja takeita, joita heidän
tietojensa käsittelyyn sovelletaan unionissa, myös tietojen siirtämisen jälkeen.
(90)
Jotkut kolmannet maat säätävät lakeja, asetuksia ja
muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden
lainkäyttövallan alaisuuteen kuuluvien luonnollisten ja oikeushenkilöiden
tietojenkäsittelytoimia. Tällaisten lakien, asetusten ja muiden säädösten
soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla vastoin
kansainvälistä lakia ja estää tähän asetukseen perustuvan yksilöiden suojan
toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä
asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin
täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on
tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion
laissa tunnustetun yleistä etua koskevan tärkeän syyn vuoksi. Komission olisi
täsmennettävä delegoidulla säädöksellä edellytykset, joiden täyttyessä kyseessä
on yleistä etua koskeva tärkeä syy. (91)
Henkilötietojen siirtäminen valtioiden rajojen yli
voi vaikeuttaa yksilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja
erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta.
Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia
tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen
ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat
vaikeuttaa myös riittämättömät ennalta ehkäisevät tai korjaavat toimivaltuudet,
oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten
resurssipula. Sen vuoksi on edistettävä tietosuojavalvontaviranomaisten
läheisempää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ja
toteuttaa tutkimuksia kansainvälisten kumppaniensa kanssa. (92)
Täysin riippumattomien valvontaviranomaisten
perustaminen jäsenvaltioihin on keskeinen osa yksilöiden suojelua
henkilötietojen käsittelyssä. Jäsenvaltiot voivat perustaa useampia kuin yhden
valvontaviranomaisen oman perustuslakinsa, organisaationsa ja
hallintorakenteensa mukaisesti. (93)
Jos jäsenvaltio perustaa useita valvontaviranomaisia,
sen olisi säädettävä laissa menettelyistä, joiden avulla varmistetaan, että
nämä valvontaviranomaiset osallistuvat tehokkaasti yhdenmukaisuusmekanismin
toimintaan. Tällaisen jäsenvaltion olisi erityisesti nimettävä
valvontaviranomainen, joka toimii yhteyspisteenä ja varmistaa näiden
viranomaisten tehokkaan osallistumisen mekanismiin sekä takaa nopean ja sujuvan
yhteistyön muiden valvontaviranomaisten, Euroopan tietosuojaneuvoston ja
komission kanssa. (94)
Kullekin valvontaviranomaiselle olisi osoitettava
riittävät taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka
ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät,
jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden
valvontaviranomaisten kanssa kaikkialla unionissa. (95)
Valvontaviranomaisen jäseniin sovellettavat yleiset
edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä.
Erityisesti olisi säädettävä, että joko jäsenvaltion parlamentin tai
hallituksen on nimitettävä kyseiset jäsenet. Lisäksi olisi vahvistettava
jäsenten henkilökohtaista pätevyyttä ja asemaa koskevat säännöt. (96)
Valvontaviranomaisten olisi seurattava tämän
asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista
koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen
käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi
sisämarkkinoilla. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä
keskenään ja komission kanssa. (97)
Jos unioniin sijoittautunut rekisterinpitäjä tai
henkilötietojen käsittelijä suorittaa henkilötietojen käsittelyä useammassa
kuin yhdessä jäsenvaltiossa, yhdellä valvontaviranomaisella olisi oltava
toimivalta valvoa rekisterinpitäjän tai henkilötietojen käsittelijän toimintaa
kaikkialla unionissa ja tehdä sitä koskevia päätöksiä, jotta voidaan lisätä
soveltamisen yhdenmukaisuutta, taata oikeusvarmuus ja vähentää tällaisten
rekisterinpitäjien ja henkilötietojen käsittelijöiden hallinnollista rasitusta.
(98)
Tällaista yhden luukun palvelua tarjoavan toimivaltaisen
viranomaisen olisi oltava sen jäsenvaltion valvontaviranomainen, jossa
rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikka sijaitsee. (99)
Vaikka tätä asetusta sovelletaan myös kansallisten
tuomioistuinten toimintaan, valvontaviranomaisten toimivalta ei saa kattaa
tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä,
jotta voidaan turvata tuomareiden riippumattomuus heidän hoitaessaan
lainkäyttötehtäviään. Tämä poikkeus olisi kuitenkin rajattava tiukasti
koskemaan tuomioistuinten lainkäyttötehtäviä oikeudenkäynneissä, eikä sitä pidä
soveltaa muuhun toimintaan, johon tuomarit saattavat osallistua kansallisen
lainsäädännön mukaisesti. (100)
Jotta voitaisiin varmistaa tämän asetuksen
johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa,
valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset
tehtävät ja valtuudet, mukaan lukien tutkintavaltuudet, valtuudet toteuttaa
oikeudellisesti sitovia toimia, tehdä päätöksiä ja määrätä seuraamuksia,
erityisesti silloin kun yksilöt tekevät valituksia, sekä oikeus panna vireille
oikeudellisia menettelyjä. Valvontaviranomaisten tutkintavaltuuksia, jotka
koskevat pääsyä tiloihin, olisi käytettävä unionin ja kansallisen lainsäädännön
mukaisesti. Tämä koskee erityisesti vaatimusta saada sitä varten ennakkoon
tuomioistuimen lupa. (101)
Kaikkien valvontaviranomaisten olisi käsiteltävä
rekisteröityjen tekemiä valituksia ja tutkittava asia. Valitus olisi tutkittava
siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi
voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi
ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja sen
ratkaisusta kohtuullisen ajan kuluessa. Jos asiassa tarvitaan lisätutkimuksia
tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava
rekisteröidylle. (102)
Yleisölle suunnattuun valvontaviranomaisen
tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu
rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä
pienet ja keskisuuret yritykset mukaan lukien, sekä rekisteröidyille. (103)
Valvontaviranomaisten olisi autettava toisiaan
tehtävien suorittamisessa ja annettava keskinäistä apua, jotta voidaan
varmistaa tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano
sisämarkkinoilla. (104)
Jokaisella valvontaviranomaisella olisi oltava
oikeus osallistua valvontaviranomaisten yhteisiin operaatioihin. Pyynnön
vastaanottanut valvontaviranomainen olisi velvoitettava vastaamaan pyyntöön
tietyssä määräajassa. (105)
Olisi perustettava yhdenmukaisuusmekanismi
valvontaviranomaisten keskinäistä ja niiden ja komission välistä yhteistyötä
varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen
kaikkialla unionissa. Tätä mekanismia olisi sovellettava erityisesti silloin
kun valvontaviranomainen aikoo toteuttaa sellaista käsittelytoimea koskevan
toimenpiteen, joka liittyy tavaroiden tai palvelujen tarjoamiseen eri
jäsenvaltioissa asuville rekisteröidyille tai näiden käyttäytymisen seurantaan
tai joka saattaisi merkittävästi haitata henkilötietojen vapaata liikkuvuutta.
Mekanismia olisi sovellettava myös silloin kun joku valvontaviranomainen tai
komissio pyytää asian käsittelyä yhdenmukaisuusmekanismin puitteissa. Tämä
mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa
perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla. (106)
Yhdenmukaisuusmekanismin soveltamiseksi Euroopan
tietosuojaneuvoston olisi annettava lausunto tietyssä määräajassa, jos sen
jäsenten yksinkertainen enemmistö niin päättää tai jos joku
valvontaviranomainen tai komissio sitä pyytää. (107)
Komissio voi antaa kyseisestä asiasta lausunnon tai
päätöksen, jossa se vaatii valvontaviranomaista keskeyttämään
toimenpideluonnoksensa täytäntöönpanon, jotta voidaan varmistaa tämän asetuksen
noudattaminen. (108)
Saattaa olla tarpeen toteuttaa kiireellisiä
toimenpiteitä rekisteröidyn etujen suojaamiseksi, etenkin jos on olemassa
vaara, että jonkin rekisteröidylle kuuluvan oikeuden täytäntöönpanolle voi
aiheutua merkittävää haittaa. Tätä varten valvontaviranomaisen olisi voitava
toteuttaa yhdenmukaisuusmekanismin soveltamisen puitteissa väliaikaisia
toimenpiteitä, joiden voimassaolo on rajoitettu. (109)
Tämän mekanismin soveltamisen olisi oltava
valvontaviranomaisen asiaa koskevan päätöksen oikeudellisen pätevyyden ja
täytäntöönpanon edellytys. Muissa tapauksissa, joilla on rajatylittävää
merkitystä, asianomaiset valvontaviranomaiset voivat soveltaa keskinäistä
avunantoa ja toteuttaa yhteisiä tutkimuksia kahden- tai monenväliseltä pohjalta
yhdenmukaisuusmekanismiin turvautumatta. (110)
Unionin tasolla olisi perustettava Euroopan
tietosuojaneuvosto. Sen olisi korvattava direktiivillä 95/46/EY perustettu
tietosuojatyöryhmä. Siinä olisi oltava mukana kunkin jäsenvaltion
valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu. Komission
olisi osallistuttava tietosuojaneuvoston toimintaan. Euroopan
tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista
soveltamista kaikkialla unionissa, mukaan lukien neuvojen antaminen komissiolle
sekä valvontaviranomaisten yhteistyön tukeminen unionissa. Euroopan
tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti. (111)
Jokaisella rekisteröidyllä olisi oltava oikeus
tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle sekä oikeus
soveltaa oikeussuojakeinoja, jos hän katsoo, että hänen tähän asetukseen
perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele
valitusta tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien
suojaamiseksi. (112)
Millä tahansa jäsenvaltion lainsäädännön mukaisesti
perustetulla elimellä, järjestöllä tai yhdistyksellä, jonka tarkoituksena on
suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja
etuja, olisi oltava oikeus tehdä valitus valvontaviranomaiselle tai soveltaa
oikeussuojakeinoja rekisteröidyn puolesta, tai jos kyseessä on henkilötietojen
tietoturvaloukkaus, tehdä oma valitus rekisteröidyn valituksesta riippumatta. (113)
Jokaisella luonnollisella tai oikeushenkilöllä
olisi oltava oikeus oikeussuojakeinoihin häntä koskevia valvontaviranomaisen
päätöksiä vastaan. Kanne valvontaviranomaista vastaan olisi nostettava sen
jäsenvaltion tuomioistuimissa, mihin valvontaviranomainen on sijoittautunut. (114)
Jotta voitaisiin vahvistaa rekisteröityjen
oikeussuojaa silloin kun toimivaltainen valvontaviranomainen on sijoittautunut
johonkin toiseen jäsenvaltioon kuin rekisteröidyn asuinvaltioon, rekisteröity
voi pyytää mitä tahansa elintä, järjestöä tai yhdistystä, jonka tarkoituksena
on suojella henkilötietojen suojaamiseen liittyviä rekisteröidyn oikeuksia ja
etuja, nostamaan puolestaan kanteen valvontaviranomaista vastaan toisen
jäsenvaltion toimivaltaisessa tuomioistuimessa. (115)
Jos toiseen jäsenvaltioon sijoittautunut
toimivaltainen valvontaviranomainen ei toteuta valituksen perusteella toimenpiteitä
tai ei toteuta riittäviä toimenpiteitä, rekisteröity voi pyytää
asuinjäsenvaltionsa valvontaviranomaista nostamaan kanteen tuota viranomaista
vastaan toisen jäsenvaltion toimivaltaisessa tuomioistuimessa. Pyynnön
vastaanottanut valvontaviranomainen voi päättää, onko pyynnön perusteella
asianmukaista toteuttaa toimenpiteitä vai ei, ja ratkaisu olisi voitava saattaa
tuomioistuimen käsiteltäväksi. (116)
Kantajan olisi voitava valita, nostaako se kanteen
rekisterinpitäjää tai henkilötietojen käsittelijää vastaan sen jäsenvaltion
tuomioistuimissa, johon rekisterinpitäjä tai henkilötietojen käsittelijä on
sijoittautunut, vai rekisteröidyn asuinjäsenvaltiossa, paitsi jos
rekisterinpitäjä on viranomainen, jonka toiminta liittyy sen julkisen vallan
käyttöön. (117)
Tuomioistuimet olisi velvoitettava ottamaan
yhteyttä toisiinsa, jos epäillään, että toisen jäsenvaltion tuomioistuimissa on
vireillä rinnakkainen menettely. Tuomioistuinten olisi voitava keskeyttää asian
käsittely, jos toisessa jäsenvaltiossa on vireillä rinnakkainen tapaus.
Jäsenvaltioiden olisi varmistettava tuomioistuinmenettelyjen tehokkuus
huolehtimalla siitä, että niiden avulla voidaan nopeasti hyväksyä
toimenpiteitä, joilla korjataan tai ehkäistään tämän asetuksen rikkominen. (118)
Rekisterinpitäjän tai henkilötietojen käsittelijän
olisi korvattava yksilöille lainvastaisen tietojenkäsittelyn vuoksi
mahdollisesti aiheutuneet vahingot, mutta rekisterinpitäjä tai henkilötietojen
käsittelijä voidaan vapauttaa korvausvelvollisuudesta, jos ne osoittavat,
etteivät ole vastuussa vahingosta, ja erityisesti, jos ne osoittavat
rekisteröidyn tehneen virheen tai jos kyseessä on ylivoimainen este. (119)
Olisi säädettävä seuraamuksista julkis- tai
yksityisoikeudellisille luonnollisille tai oikeushenkilöille, jotka eivät
noudata tätä asetusta. Jäsenvaltioiden olisi varmistettava, että seuraamukset
ovat tehokkaita, oikeasuhteisia ja varoittavia, ja toteutettava kaikki
toimenpiteet seuraamusten täytäntöönpanemiseksi. (120)
Tämän asetuksen rikkomisen vuoksi määrättävien
hallinnollisten seuraamusten lujittamiseksi ja yhdenmukaistamiseksi jokaisella
valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia
seuraamuksia. Tässä asetuksessa olisi mainittava nämä rikkomukset ja niistä
määrättävien sakkojen enimmäismäärä, joka olisi vahvistettava kussakin
tapauksessa erikseen tilanteen mukaan, ottaen huomioon rikkomuksen luonne,
vakavuus ja kesto. Yhdenmukaisuusmekanismissa voidaan käsitellä myös
hallinnollisten seuraamusten soveltamiseen liittyviä eroavuuksia. (121)
Ainoastaan journalistisia tarkoituksia tai
taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettu
henkilötietojen käsittely olisi vapautettava eräiden tämän asetuksen säännösten
noudattamisesta, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan
ja oikeus sananvapauteen ja erityisesti Euroopan unionin perusoikeuskirjan 11
artiklassa vahvistettu oikeus vastaanottaa ja levittää tietoja. Tätä olisi
sovellettava erityisesti audiovisuaalialalla sekä uutis- ja lehtiarkistoissa
tapahtuvaan henkilötietojen käsittelyyn. Jäsenvaltioiden olisi tätä varten
hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja
poikkeuksista näiden perusoikeuksien tasapainottamista varten. Jäsenvaltioiden
olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä
periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen
käsittelijää, tiedonsiirtoja kolmansiin maihin tai kansainvälisille
järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä ja
johdonmukaisuutta. Jäsenvaltiot eivät kuitenkaan saisi säätää poikkeuksia
muista tämän asetuksen säännöksistä. Jotta voitaisiin ottaa huomioon
sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa
yhteiskunnissa, tähän vapauteen liittyviä käsitteitä, kuten journalismia, on tulkittava
väljästi. Tätä varten jäsenvaltioiden olisi luokiteltava toiminnot tässä
asetuksessa säädettyjen vapautusten ja poikkeusten soveltamista varten
”journalistisiksi”, jos niiden tarkoituksena on esittää yleisölle tietoja,
mielipiteitä tai ajatuksia, niiden levittämisessä käytettävästä välineestä
riippumatta. Tällaisia toimintoja ei pitäisi rajoittaa pelkästään
mediayrityksiin, ja niitä olisi voitava toteuttaa sekä voiton tavoittelemiseksi
että voittoa tavoittelemattomassa tarkoituksessa. (122)
Terveystiedot ovat erityissuojelua tarvitseva
erityinen tietoryhmä, ja niiden käsittelyyn on yleensä useita oikeutettuja
syitä, jotka liittyvät sekä yksilön että koko yhteiskunnan etuun ja erityisesti
rajatylittävän terveydenhuollon jatkuvuuden varmistamiseen. Sen vuoksi tässä
asetuksessa olisi säädettävä terveystietojen käsittelyä koskevista
yhdenmukaisista edellytyksistä, kunhan yksilön perusoikeuksien ja
henkilötietojen suojaamiseksi annetaan erityiset ja asianmukaiset takeet. Tähän
sisältyy yksilön oikeus saada pääsy omiin terveystietoihinsa, kuten
terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset,
hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat
tiedot. (123)
Terveystietoja saattaa olla tarpeen käsitellä ilman
rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista
syistä. Tässä yhteydessä ’kansanterveydellä’ olisi kansanterveyttä sekä
työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista 16 päivänä
joulukuuta 2008 annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY)
N:o 1338/2008 esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä
osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös
sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen
tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen
tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä
kuolleisuuden syitä. Tällainen yleistä etua koskevista syistä suoritettava terveystietojen
käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita
tarkoituksia varten kolmansien osapuolten kuten työnantajien tai
vakuutusyhtiöiden ja pankkien toimesta. (124)
Yksilöiden suojelua henkilötietojen käsittelyssä
koskevia yleisiä periaatteita olisi sovellettava myös työsuhteen yhteydessä.
Siksi jäsenvaltioiden olisi tässä asetuksessa asetetuissa rajoissa voitava
antaa lainsäädännössä henkilötietojen käsittelyä työsuhteen yhteydessä koskevat
erityiset säännöt, jotta voidaan säännellä työntekijöiden henkilötietojen
käsittelyä työsuhteen yhteydessä. (125)
Jotta historiantutkimusta taikka tilastollisia tai
tieteellisiä tutkimustarkoituksia varten suoritettava henkilötietojen käsittely
olisi lainmukaista, siinä olisi noudatettava myös muita asiaan liittyviä
lakisääteisiä vaatimuksia, kuten kliinisiä kokeita koskevia sääntöjä. (126)
Tieteellisellä tutkimuksella olisi tämän asetuksen
soveltamista varten tarkoitettava myös perustutkimusta, soveltavaa tutkimusta
ja yksityisin varoin rahoitettua tutkimusta, ja siinä olisi otettava huomioon
Euroopan unionin toiminnasta tehdyn sopimuksen 179 artiklan 1 kohdassa
vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva tavoite. (127)
Koska valvontaviranomaisilla on valtuudet saada
rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä pääsy henkilötietoihin
ja rekisterinpitäjien ja henkilötietojen käsittelijöiden toimitiloihin,
jäsenvaltiot voivat vahvistaa lainsäädännössä tässä asetuksessa asetetuissa
rajoissa erityiset säännöt, joiden avulla taataan vaitiolovelvollisuus tai muu
vastaava velvoite, jos tämä on tarpeen henkilötietojen suojaa koskevan oikeuden
ja vaitiolovelvollisuuden yhteensovittamiseksi. (128)
Tässä asetuksessa kunnioitetaan kirkkojen ja
uskonnollisten yhdistysten tai yhdyskuntien asemaa, joka niillä on kansallisen
lainsäädännön mukaisesti jäsenvaltioissa, eikä puututa siihen, kuten Euroopan
unionin toiminnasta tehdyn sopimuksen 17 artiklassa todetaan. Jos jäsenvaltion
kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen
tullessa voimaan kattavia sääntöjä, jotka koskevat yksilöiden suojaamista
henkilötietojen käsittelyssä, näitä sääntöjä olisi sen vuoksi sovellettava
edelleen, kunhan ne saatetaan tämän asetuksen mukaisiksi. Tällaisia kirkkoja ja
uskonnollisia yhdistyksiä olisi vaadittava säätämään täysin riippumattomien
valvontaviranomaisten perustamisesta. (129)
Jotta voidaan saavuttaa tämän asetuksen tavoitteet
eli suojata luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja
erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa
henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta
hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä Euroopan
unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Delegoituja
säädöksiä olisi annettava erityisesti käsittelyn lainmukaisuudesta; lapsen
suostumusta koskevien kriteerien ja edellytysten määrittämisestä; erityisten
tietoryhmien käsittelystä; ilmeisen kohtuuttomia pyyntöjä ja rekisteröidyn
oikeuksien käytöstä perittäviä maksuja koskevien kriteerien ja edellytysten
määrittämisestä; rekisteröidylle ilmoittamista ja rekisteröidyn
tiedonsaantioikeutta koskevista kriteereistä ja vaatimuksista; oikeudesta tulla
unohdetuksi ja poistaa tiedot; profilointiin perustuvista toimenpiteistä;
sisäänrakennettuun ja oletusarvoiseen tietosuojaan liittyvää rekisterinpitäjän
vastuuta koskevista kriteereistä ja vaatimuksista; henkilötietojen
käsittelijästä; käsittelyn dokumentointia ja turvallisuutta koskevista
kriteereistä ja vaatimuksista; kriteereistä ja vaatimuksista sen
määrittämiseksi, koska on tapahtunut henkilötietojen tietoturvaloukkaus, ja
siitä ilmoittamiseksi valvontaviranomaisille, sekä olosuhteista, joissa
henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia
rekisteröidyille; tietosuojaa koskevan vaikutustenarvioinnin laatimista
edellyttävien käsittelytoimien kriteereistä ja vaatimuksista; ennakkokuulemista
edellyttävien merkittävien erityisten riskien määrittämistä koskevista
kriteereistä ja vaatimuksista; tietosuojavastaavan nimittämisestä ja
tehtävistä; käytännesäännöistä; sertifiointimekanismeja koskevista kriteereistä
ja vaatimuksista; yritystä koskevien sitovien sääntöjen perusteella tehtävien
tiedonsiirtojen kriteereistä ja vaatimuksista; tiedonsiirtoja koskevista
poikkeuksista; hallinnollisista seuraamuksista; tietojen käsittelystä
terveyteen liittyvien syiden vuoksi; työsuhteeseen liittyvästä käsittelystä ja
historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia
varten tehtävästä käsittelystä. On erityisen tärkeää, että komissio asiaa
valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla.
Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan
varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille
ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti. (130)
Tämän asetuksen yhdenmukaisen soveltamisen
varmistamiseksi komissiolle olisi siirrettävä täytäntöönpanovaltaa, jonka
nojalla se voi vahvistaa vakiolomakkeet lapsen henkilötietojen käsittelyä
varten; vakiomenettelyt ja -lomakkeet rekisteröidyn oikeuksien käyttämistä
varten; vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja ‑menettelyt
tiedonsaantioikeutta varten; oikeuden siirtää tiedot järjestelmästä toiseen;
sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn
dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat vakiolomakkeet;
tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet
ja ‑menettelyt henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi
valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa
koskevan vaikutustenarvioinnin laatimista varten; lomakkeet ja menettelyt
ennakkohyväksyntää ja ‑kuulemista varten; sertifiointia koskevat tekniset
standardit ja mekanismit; kolmannen maan, kolmannessa maassa olevan alueen tai
tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan
riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä;
keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa
tehdyt päätökset. Tätä valtaa olisi käytettävä yleisistä säännöistä ja
periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission
täytäntöönpanovallan käyttöä, 16 päivänä helmikuuta 2011 annetun Euroopan
parlamentin ja neuvoston asetuksen (EU) N:o 182/2011[45] mukaisesti. Tässä yhteydessä
komission olisi harkittava erityisten toimenpiteiden toteuttamista
mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. (131)
Olisi käytettävä tarkastelumenettelyä, kun
vahvistetaan vakiolomakkeet lapsen suostumuksen antamista varten;
vakiomenettelyt ja -lomakkeet rekisteröidyn oikeuksien käyttämistä varten;
vakiolomakkeet rekisteröidylle ilmoittamista varten; vakiolomakkeet ja ‑menettelyt
tiedonsaantioikeutta varten; oikeudesta siirtää tiedot järjestelmästä toiseen;
sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä käsittelyn
dokumentointiin liittyvää rekisterinpitäjän vastuuta koskevat vakiolomakkeet;
tietojenkäsittelyn turvallisuutta koskevat erityisvaatimukset; vakiolomakkeet
ja ‑menettelyt henkilötietojen tietoturvaloukkauksesta ilmoittamiseksi
valvontaviranomaiselle ja rekisteröidylle; normit ja menettelyt tietosuojaa
koskevan vaikutustenarvioinnin laatimista varten; lomakkeet ja menettelyt
ennakkohyväksyntää ja ‑kuulemista varten; tekniset standardit ja mekanismit
sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai
tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan
riittävyyden; tietojen luovutuksen, jota ei hyväksytä unionin lainsäädännössä;
keskinäisen avunannon; yhteiset operaatiot; yhdenmukaisuusmekanismin puitteissa
tehdyt päätökset, koska kyseiset toimenpiteet ovat yleisluonteisia. (132)
Komission olisi hyväksyttävä välittömästi
sovellettavia täytäntöönpanosäädöksiä, kun tämä on tarpeen asianmukaisesti
perustelluissa erittäin kiireellisissä tapauksissa, jotka liittyvät kolmanteen
maahan tai kyseisen kolmannen maan alueeseen tai tietojenkäsittelyn sektoriin
tai kansainväliseen järjestöön, joka ei tarjoa riittävää tietosuojaa, tai
valvontaviranomaisten yhdenmukaisuusmekanismin mukaisesti ilmoittamiin
seikkoihin. (133)
Koska jäsenvaltiot eivät voi yksinään riittävällä
tavalla saavuttaa tämän asetuksen tavoitetta, joka on yksilöiden yhdenmukaisen
suojelun ja tietojen vapaan liikkuvuuden varmistaminen unionissa, vaan se
voidaan toimien laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin
tasolla, unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn
sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti.
Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä
asetuksessa ei ylitetä sitä, mikä on tämän tavoitteen saavuttamiseksi tarpeen. (134)
Direktiivi 95/46/EY olisi korvattava tällä
asetuksella. Direktiiviin 95/46/EY perustuvien komission päätösten ja
valvontaviranomaisten antamien ennakkohyväksyntöjen olisi kuitenkin jäätävä
voimaan. (135)
Tätä asetusta olisi sovellettava kaikkiin
sellaisiin perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä
koskeviin seikkoihin, joihin ei sovelleta direktiivissä 2002/58/EY säädettyjä
erityisiä velvoitteita, joilla on sama tavoite, rekisterinpitäjää koskevat
velvoitteet ja yksilön oikeudet mukaan lukien. Tämän asetuksen ja direktiivin
2002/58/EY keskinäisen suhteen selkeyttämiseksi olisi kyseistä direktiiviä
tarkistettava. (136)
Islannin ja Norjan osalta tällä asetuksella
kehitetään niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan
unionin neuvoston sekä Islannin tasavallan ja Norjan kuningaskunnan välisessä
sopimuksessa viimeksi mainittujen osallistumisesta Schengenin säännöstön
täytäntöönpanoon, soveltamiseen ja kehittämiseen[46], siltä osin kuin asetusta
sovelletaan mainittua säännöstöä soveltavien viranomaisten suorittamaan
henkilötietojen käsittelyyn. (137)
Sveitsin osalta tällä asetuksella kehitetään niitä
Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin, Euroopan
yhteisön ja Sveitsin valaliiton välisessä sopimuksessa Sveitsin valaliiton
osallistumisesta Schengenin säännöstön täytäntöönpanoon, soveltamiseen ja
kehittämiseen[47],
siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien
viranomaisten suorittamaan henkilötietojen käsittelyyn. (138)
Liechtensteinin osalta tällä asetuksella kehitetään
niitä Schengenin säännöstön määräyksiä, joita tarkoitetaan Euroopan unionin,
Euroopan yhteisön, Sveitsin valaliiton ja Liechtensteinin ruhtinaskunnan
välisessä pöytäkirjassa, joka koskee Liechtensteinin ruhtinaskunnan liittymistä
Euroopan unionin, Euroopan yhteisön ja Sveitsin valaliiton väliseen sopimukseen
Sveitsin valaliiton osallistumisesta Schengenin säännöstön täytäntöönpanoon,
soveltamiseen ja kehittämiseen[48],
siltä osin kuin asetusta sovelletaan mainittua säännöstöä soveltavien
viranomaisten suorittamaan henkilötietojen käsittelyyn. (139)
Koska Euroopan unionin tuomioistuin on korostanut,
että oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan että sitä on
tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja oikeasuhteisuuden
periaatteen mukaisesti muut perusoikeudet huomioon ottaen, tässä asetuksessa
kunnioitetaan perusoikeuksia ja otetaan huomioon Euroopan unionin
perusoikeuskirjassa tunnustetut periaatteet sellaisina kuin ne on vahvistettu
perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja
perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen
suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja
tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin
oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen sekä oikeus
kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen, OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN: I LUKU YLEISET SÄÄNNÖKSET 1 artikla
Kohde ja tavoitteet 1. Tällä asetuksella
vahvistetaan säännöt yksilöiden suojelulle henkilötietojen käsittelyssä sekä
säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. 2. Tällä asetuksella suojellaan
luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän
oikeuttaan henkilötietojen suojaan. 3. Henkilötietojen vapaata liikkuvuutta
unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät
yksilöiden suojeluun henkilötietojen käsittelyssä. 2 artikla
Aineellinen soveltamisala 1. Tätä asetusta sovelletaan
henkilötietojen käsittelyyn, joka on osittain tai kokonaan automatisoitu, sekä
sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat
rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. 2. Tätä asetusta ei sovelleta
henkilötietojen käsittelyyn, a) jota suoritetaan sellaisen toiminnan
yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan ja joka koskee
erityisesti kansallista turvallisuutta; b) jota suorittavat unionin toimielimet,
elimet ja laitokset; c) jota suorittavat jäsenvaltiot
toteuttaessaan Euroopan unionista tehdyn sopimuksen 2 luvun soveltamisalaan
kuuluvaa toimintaa; d) jota suorittaa luonnollinen henkilö ilman
ansaitsemistarkoitusta oman, yksinomaan henkilökohtaisen tai kotitalouttaan
koskevan toimintansa yhteydessä; e) jota suorittavat toimivaltaiset viranomaiset
rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai
rikosoikeudellisten seuraamusten täytäntöönpanoa varten. 3. Tämä asetus ei vaikuta
direktiivin 2000/31/EY soveltamiseen eikä etenkään sen 12–15 artiklassa
vahvistettuihin sääntöihin välittäjinä toimivien palveluntarjoajien vastuusta. 3 artikla
Alueellinen soveltamisala 1. Tätä asetusta sovelletaan
henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa
rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan
toiminnan yhteydessä. 2. Tätä asetusta sovelletaan
unionissa asuvia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota
suorittava rekisterinpitäjä ei ole sijoittautunut unioniin, jos käsittely
liittyy a) tavaroiden tai palvelujen tarjoamiseen
näille rekisteröidyille unionissa; tai b) näiden rekisteröityjen käyttäytymisen
seurantaan. 3. Tätä asetusta sovelletaan
henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole
sijoittautunut unioniin vaan paikkaan, jossa sovelletaan jonkin jäsenvaltion
kansallista lakia kansainvälisen julkisoikeuden nojalla. 4 artikla
Määritelmät Tässä asetuksessa tarkoitetaan (1)
’rekisteröidyllä’ luonnollista henkilöä, joka on
tunnistettu tai tunnistettavissa suoraan tai epäsuorasti keinoin, joita joko
rekisterinpitäjä tai muu luonnollinen tai oikeushenkilö voi kohtuuden rajoissa
käyttää, erityisesti henkilönumeron, sijaintitiedon, internet-tunnisteiden
taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen,
geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän
perusteella; (2)
’henkilötiedoilla’ kaikkia rekisteröityä koskevia
tietoja; (3)
’käsittelyllä’ kaikenlaisia toimintoja tai
toimintojen kokonaisuuksia, joita kohdistetaan henkilötietoihin tai henkilötietojen
kokoelmiin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti,
kuten tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen,
muokkaaminen tai muuttaminen, haku, käyttö, tietojen luovuttaminen siirtämällä,
levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen
tai yhdistäminen sekä niiden poistaminen tai tuhoaminen; (4)
’rekisteröintijärjestelmällä’ kaikkia sellaisia
järjestettyjä henkilötietojen kokoelmia, joista tiedot ovat saatavilla tietyin
perustein, oli kokoelma sitten keskitetty, hajautettu tai toiminnallisin tai
maantieteellisin perustein jaettu; (5)
’rekisterinpitäjällä’ luonnollista tai
oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä
toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset,
edellytykset ja keinot; jos käsittelyn tarkoitukset, edellytykset ja keinot
määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai
tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin tai
jäsenvaltioiden säännösten mukaisesti; (6)
’henkilötietojen käsittelijällä’ luonnollista tai
oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee
henkilötietoja rekisterinpitäjän lukuun; (7)
’vastaanottajalla’ luonnollista tai oikeushenkilöä,
viranomaista, virastoa tai muuta elintä, jolle henkilötietoja luovutetaan; (8)
’rekisteröidyn suostumuksella’ mitä tahansa
vapaaehtoista, yksilöityä, tietoista ja nimenomaista tahdonilmaisua, jolla
rekisteröity hyväksyy henkilötietojensa käsittelyn joko antamalla suostumusta
ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen; (9)
’henkilötietojen tietoturvaloukkauksella’
tietoturvaloukkausta, jonka seurauksena on vahingossa tapahtuva tai
lainvastainen siirrettyjen, tallennettujen tai muuten käsiteltyjen
henkilötietojen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen
taikka saanti; (10)
’geneettisillä tiedoilla’ kaikenlaisia tietoja
yksilön perityistä tai sikiöaikaisen kehityksen aikana syntyneistä
ominaisuuksista; (11)
’biometrisillä tiedoilla’ kaikkia yksilön fyysisiin
ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyviä tietoja, joiden
perusteella yksilö voidaan tunnistaa, kuten kasvokuvia tai sormenjälkitietoja; (12)
’terveystiedoilla’ yksilön fyysiseen tai
psyykkiseen terveyteen tai hänelle annettuihin terveyspalveluihin liittyviä
tietoja; (13)
’päätoimipaikalla’ unionissa sijaitsevaa
rekisterinpitäjän sijoittautumispaikkaa, jossa tehdään henkilötietojen
käsittelyn tarkoituksia, edellytyksiä ja keinoja koskevat tärkeimmät päätökset;
jos päätöksiä henkilötietojen käsittelyn tarkoituksista, edellytyksistä ja
keinoista ei tehdä unionissa, päätoimipaikka on paikka, jossa unioniin
sijoittautuneen rekisterinpitäjän toimintaan liittyvät tärkeimmät
käsittelytoimet suoritetaan. Henkilötietojen käsittelijän päätoimipaikan olisi
oltava sen keskushallinnon sijaintipaikka unionissa; (14)
’edustajalla’ unioniin sijoittautunutta
luonnollista tai oikeushenkilöä, jonka rekisterinpitäjä on nimenomaisesti
nimennyt toimimaan lukuunsa ja jonka puoleen valvontaviranomaiset ja muut
elimet unionissa voivat kääntyä rekisterinpitäjän sijasta, kun on kyse tähän
asetukseen perustuvista rekisterinpitäjän velvollisuuksista; (15)
’yrityksellä’ taloudellista toimintaa harjoittavaa
yksikköä sen oikeudellisesta muodosta riippumatta, mukaan lukien erityisesti
luonnolliset ja oikeushenkilöt, kumppanuudet tai yhdistykset, jotka
säännöllisesti harjoittavat taloudellista toimintaa; (16)
’yritysryhmällä’ määräysvaltaa käyttävää yritystä
ja sen määräysvallassa olevia yrityksiä; (17)
’yritystä koskevilla sitovilla säännöillä’
henkilötietojen suojelutoimia, joita jonkin jäsenvaltion alueelle
sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut
noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai
useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai
henkilötietojen käsittelijälle yritysryhmän sisällä; (18)
’lapsella’ alle 18-vuotiasta henkilöä; (19)
’valvontaviranomaisella’ jäsenvaltion
46 artiklan mukaisesti perustamaa viranomaista. II LUKU
PERIAATTEET 5 artikla
Henkilötietojen käsittelyä koskevat periaatteet Henkilötietojen suhteen on noudatettava
seuraavia vaatimuksia: a) niitä on käsiteltävä lainmukaisesti,
asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi; b) ne on kerättävä tiettyä nimenomaista ja
laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden
tarkoitusten kanssa yhteensopimattomalla tavalla; c) niiden on oltava asianmukaisia ja
olennaisia ja niiden määrä on rajoitettava mahdollisimman vähään suhteessa niihin
tarkoituksiin, joita varten niitä käsitellään; niitä saa käsitellä vain ja
ainoastaan siltä osin kuin näitä tarkoituksia ei voitu täyttää käsittelemällä
tietoja, joihin ei sisälly henkilötietoja; d) niiden on oltava täsmällisiä ja
päivitettyjä; on tehtävä kaikki mahdollinen sen varmistamiseksi, että
käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan
viipymättä; e) ne on säilytettävä muodossa, josta
rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn
tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä
aikoja, jos tietoja käsitellään ainoastaan historiantutkimusta taikka
tilastollisia tai tieteellisiä tarkoituksia varten 83 artiklassa vahvistettujen
sääntöjen ja edellytysten mukaisesti ja jos niiden säilyttämisen
tarpeellisuutta arvioidaan säännöllisesti uudelleen; f) vastuu henkilötietojen käsittelystä
kuuluu rekisterinpitäjälle, jonka on varmistettava ja osoitettava jokaisen
käsittelytoimen osalta, että tämän asetuksen säännöksiä on noudatettu. 6 artikla
Käsittelyn lainmukaisuus 1. Henkilötietojen käsittely on
lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista
edellytyksistä täyttyy: a) rekisteröity on antanut suostumuksensa
henkilötietojensa käsittelyyn yhtä tai useampaa erityistarkoitusta varten; b) käsittely on tarpeen sellaisen sopimuksen
täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimusta
edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; c) käsittely on tarpeen rekisterinpitäjän
lakisääteisen velvoitteen noudattamiseksi; d) käsittely on tarpeen rekisteröidyn
elintärkeiden etujen suojaamiseksi; e) käsittely on tarpeen yleistä etua
koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen
vallan käyttämistä varten; f) käsittely on tarpeen rekisterinpitäjän
oikeutetun edun toteuttamiseksi, paitsi milloin tämän edun syrjäyttävät
henkilötietojen suojaa tarvitsevat rekisteröidyn edut tai perusoikeudet ja ‑vapaudet,
erityisesti jos rekisteröity on lapsi. Tätä ei sovelleta tietojenkäsittelyyn,
jota viranomaiset suorittavat tehtäviensä yhteydessä. 2. Henkilötietojen käsittely,
joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä
tutkimustarkoituksia varten, on lainmukaista, jos 83 artiklassa tarkoitettuja
edellytyksiä ja takeita noudatetaan. 3. Edellä olevan 1 kohdan c ja e
alakohdassa tarkoitetun käsittelyn perusteista on säädettävä a) unionin lainsäädännössä, tai b) sen jäsenvaltion laissa, jota sovelletaan
rekisterinpitäjään. Kyseisen jäsenvaltion lain on oltava yleistä etua
koskevan tavoitteen mukainen tai sen on oltava tarpeen muille kuuluvien
oikeuksien ja vapauksien suojaamiseksi ja noudatettava keskeisiltä osin
oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden
oikeasuhteinen. 4. Jos jatkokäsittelyn tarkoitus
on ristiriidassa sen tarkoituksen kanssa, jota varten henkilötiedot on kerätty,
käsittelyn oikeusperustana on oltava vähintään yksi 1 kohdan a–e alakohdassa
tarkoitettu peruste. Tätä sovelletaan erityisesti sopimusmääräysten ja yleisten
sopimusehtojen muuttamisen yhteydessä. 5. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdan f alakohdassa tarkoitetut edellytykset eri aloja ja
erilaisia tietojenkäsittelytilanteita varten, mukaan lukien lapsen
henkilötietojen käsittely. 7 artikla
Suostumuksen edellytykset 1. Rekisterinpitäjän on
osoitettava, että rekisteröity on antanut suostumuksensa henkilötietojensa
käsittelyyn tiettyjä tarkoituksia varten. 2. Jos rekisteröidyn on
annettava suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita
asioita, suostumuksen antamista koskeva vaatimus on esitettävä selvästi
erillään näistä muista asioista. 3. Rekisteröidyllä on oikeus
peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta
suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn
lainmukaisuuteen. 4. Suostumus ei muodosta
oikeusperustaa henkilötietojen käsittelylle, jos rekisteröidyn ja
rekisterinpitäjän välillä on selkeä epäsuhta. 8 artikla
Lapsen henkilötietojen käsittely 1. Tätä asetusta sovellettaessa
katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen
suoraan lapselle, alle 13-vuotiaan lapsen henkilötietojen käsittely on
lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempi tai
huoltaja on antanut siihen suostumuksen tai valtuutuksen. Rekisterinpitäjän on
toteutettava kohtuulliset toimenpiteet todennettavissa olevan suostumuksen saamiseksi,
käytettävissä oleva teknologia huomioon ottaen. 2. Edellä oleva 1 kohta ei
vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen kuten sääntöihin, jotka
koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa
lapseen. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdassa tarkoitettuja, todennettavissa olevan suostumuksen
saamiseksi käytettäviä menetelmiä koskevat kriteerit ja vaatimukset. Tässä
yhteydessä komissio harkitsee erityisten toimenpiteiden toteuttamista
mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. 4. Komissio voi laatia
vakiolomakkeet 1 kohdassa tarkoitettuja, todennettavissa olevan suostumuksen
saamiseksi käytettäviä erityisiä menetelmiä varten. Nämä
täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua
tarkastelumenettelyä noudattaen. 9 artikla
Erityisiä tietoryhmiä koskeva käsittely 1. Sellaisten henkilötietojen
käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia
mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon
kuulumista, sekä geneettisten tietojen tai terveyteen ja seksuaaliseen
käyttäytymiseen tai rikostuomioihin tai niihin liittyviin
turvaamistoimenpiteisiin liittyvien tietojen käsittely on kielletty. 2. Edellä olevaa 1 kohtaa
ei sovelleta, jos: a) rekisteröity on
antanut suostumuksensa kyseisten henkilötietojen käsittelyyn 7 ja 8 artiklassa
säädettyjen edellytysten mukaisesti, paitsi jos unionin tai jäsenvaltion
lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota
rekisteröidyn suostumuksella; tai b) käsittely on tarpeen rekisterinpitäjän
velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla,
siltä osin kuin se sallitaan unionin tai jäsenvaltion lainsäädännössä, jossa
säädetään asianmukaiset takeet; tai c) käsittely on tarpeen rekisteröidyn tai
toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on
fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai d) käsittely suoritetaan poliittisen,
filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön,
yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan
yhteydessä ja asianmukaisin takein, sillä edellytyksellä, että käsittely koskee
ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla
on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja
että tietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn
suostumusta; tai e) käsittely koskee henkilötietoja, jotka
rekisteröity on nimenomaisesti saattanut julkisiksi; tai f) käsittely on tarpeen oikeusvaateen
laatimiseksi, esittämiseksi tai puolustamiseksi; tai g) käsittely on tarpeen yleistä etua
koskevan tehtävän suorittamiseksi unionin tai jäsenvaltion lainsäädännön
nojalla, edellyttäen että siinä säädetään asianmukaisista toimenpiteistä
rekisteröidyn oikeutettujen etujen suojaamiseksi; tai h) terveystietojen käsittely on tarpeen
terveyteen liittyvistä syistä, edellyttäen että 81 artiklassa tarkoitettuja
edellytyksiä ja takeita noudatetaan; tai i) käsittely on tarpeen historiantutkimusta
taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, edellyttäen
että 83 artiklassa tarkoitettuja edellytyksiä ja takeita noudatetaan; tai j) rikostuomioihin tai niihin liittyviin
turvaamistoimiin liittyvien tietojen käsittely suoritetaan joko viranomaisen
valvonnassa tai kun käsittely on tarpeen rekisterinpitäjälle laissa tai
asetuksessa asetetun velvoitteen noudattamiseksi tai tärkeää yleistä etua
koskevan tehtävän suorittamiseksi, ja siltä osin kuin se sallitaan unionin tai
jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista takeista.
Täydellistä rikosrekisteriä saa pitää vain julkisen viranomaisen valvonnassa. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdassa tarkoitettujen erityisten tietoryhmien käsittelyä koskevat
kriteerit, edellytykset ja asianmukaiset takeet sekä 2 kohdassa säädetyt poikkeukset. 10 artikla
Käsittely, joka ei mahdollista tunnistamista Jos rekisterinpitäjä ei pysty tunnistamaan
luonnollista henkilöä käsiteltävien tietojen perusteella, rekisterinpitäjällä
ei ole velvollisuutta hankkia lisätietoja rekisteröidyn tunnistamista varten,
jos tämä olisi tarpeen vain jotta voitaisiin noudattaa jotakin tämän asetuksen
säännöstä. III LUKU
REKISTERÖIDYN OIKEUDET 1 JAKSO
LÄPINÄKYVYYS JA SITÄ KOSKEVAT YKSITYISKOHTAISET SÄÄNNÖT 11 artikla
Läpinäkyvä tiedottaminen ja viestintä 1. Rekisterinpitäjällä on oltava
henkilötietojen käsittelyä ja rekisteröidyn oikeuksien käyttöä varten
läpinäkyvät ja helposti saatavilla olevat toimintatavat. 2. Rekisterinpitäjän on
toimitettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot
ja viestit helposti ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella
kielellä, jossa otetaan huomioon rekisteröidyn tarpeet, etenkin kun tiedot on
suunnattu erityisesti lapselle. 12 artikla
Menettelyt ja mekanismit rekisteröidyn oikeuksien käyttämistä varten 1. Rekisterinpitäjän on
vahvistettava menettelyt 14 artiklassa tarkoitettujen tietojen
toimittamista sekä 13 artiklassa ja 15–19 artiklassa tarkoitettujen
rekisteröidyn oikeuksien käyttämistä varten. Rekisterinpitäjän on laadittava
erityisesti mekanismit, joiden avulla helpotetaan 13 artiklassa ja 15–19
artiklassa tarkoitettujen toimien pyytämistä. Jos henkilötietojen käsittely on
automatisoitu, rekisterinpitäjän on tarjottava keinot esittää tällaiset pyynnöt
sähköisesti. 2. Rekisterinpitäjän on
ilmoitettava rekisteröidylle viipymättä ja viimeistään kuukauden kuluttua
pyynnön esittämisestä, onko 13 artiklan ja 15–19 artiklan nojalla toteutettu
toimenpiteitä, ja toimitettava pyydetyt tiedot. Tätä määräaikaa voidaan
pidentää kuukaudella, jos useat rekisteröidyt käyttävät oikeuksiaan ja heidän
on tehtävä kohtuullisessa määrin yhteistyötä, jotta voidaan välttää
rekisterinpitäjän tarpeeton ja suhteeton rasittaminen. Tiedot on annettava
kirjallisesti. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on
toimitettava sähköisesti, paitsi jos rekisteröity toisin pyytää. 3. Jos rekisterinpitäjä
kieltäytyy toteuttamasta toimenpiteitä rekisteröidyn pyynnön perusteella,
rekisterinpitäjän on ilmoitettava rekisteröidylle kieltäytymisen syyt ja
kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää
muita oikeussuojakeinoja. 4. Edellä 1 kohdassa tarkoitetut
tiedot ja pyyntöjen perusteella toteutettavat toimet ovat maksuttomia. Jos
pyynnöt ovat ilmeisen kohtuuttomia ja etenkin jos pyyntöjä esitetään
toistuvasti, rekisterinpitäjä voi periä maksun tietojen toimittamisesta tai
pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen suorittamatta. Siinä
tapauksessa rekisterinpitäjän on todistettava pyyntöjen kohtuuttomuus. 5. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 4 kohdassa tarkoitettuja ilmeisen kohtuuttomia pyyntöjä ja maksuja
koskevat kriteerit ja edellytykset. 6. Komissio voi laatia
vakiolomakkeet ja ‑menettelyt 2 kohdassa tarkoitettua viestintää varten, myös
silloin kun se tapahtuu sähköisesti. Tässä yhteydessä komissio toteuttaa
tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten
hyväksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa
tarkoitettua tarkastelumenettelyä noudattaen. 13 artikla
Tietojen vastaanottajien oikeudet Rekisterinpitäjän on ilmoitettava
kaikenlaisista 16 ja 17 artiklan mukaisesti tehdyistä oikaisuista tai
poistoista jokaiselle vastaanottajalle, jolle tietoja on luovutettu, paitsi jos
tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. 2 JAKSO
ILMOITTAMINEN JA TIEDONSAANTI 14 artikla
Rekisteröidylle ilmoittaminen 1. Rekisteröityä koskevia
henkilötietoja kerättäessä rekisterinpitäjän on toimitettava rekisteröidylle
ainakin seuraavat tiedot: a) rekisterinpitäjän ja tämän mahdollisen
edustajan sekä tietosuojavastaavan henkilöllisyys ja yhteystiedot; b) henkilötietojen käsittelyn tarkoitukset,
mukaan lukien sopimusmääräykset ja yleiset sopimusehdot, jos käsittely perustuu
6 artiklan 1 kohdan b alakohtaan, ja rekisterinpitäjän oikeutetut edut, jos
käsittely perustuu 6 artiklan 1 kohdan f alakohtaan; c) henkilötietojen säilytysaika; d) rekisteröidyn oikeus pyytää häntä itseään
koskevia henkilötietoja rekisterinpitäjältä sekä oikeus pyytää kyseisten
tietojen oikaisemista tai poistamista tai vastustaa niiden käsittelyä; e) oikeus tehdä valitus
valvontaviranomaiselle ja viranomaisen yhteystiedot; f) henkilötietojen vastaanottajat tai
vastaanottajaryhmät; g) tarvittaessa tieto siitä, että
rekisterinpitäjä aikoo siirtää tietoja kolmanteen maahan tai kansainväliselle
järjestölle, ja kyseisen kolmannen maan tai kansainvälisen järjestön tarjoaman
tietosuojan taso tietosuojan riittävyyttä koskevan komission päätöksen
perusteella; h) muut tiedot, jotka ovat tarpeen
rekisteröidyn kannalta asianmukaisen tietojenkäsittelyn takaamiseksi, ottaen
huomioon henkilötietojen keräämisen erityiset olosuhteet. 2. Jos henkilötietoja kerätään
rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle
1 kohdassa tarkoitettujen tietojen lisäksi, onko henkilötietojen antaminen
pakollista vai vapaaehtoista, sekä tietojen antamatta jättämisen mahdolliset
seuraukset. 3. Jos henkilötietoja ei kerätä
rekisteröidyltä, rekisterinpitäjän on ilmoitettava rekisteröidylle 1 kohdassa
tarkoitettujen tietojen lisäksi, mistä henkilötiedot on saatu. 4. Rekisterinpitäjän on
toimitettava 1, 2 ja 3 kohdassa tarkoitetut tiedot a) silloin kun rekisteröidyltä saadaan
henkilötietoja; tai b) jos henkilötietoja ei kerätä
rekisteröidyltä, silloin kun tietoja tallennetaan tai kohtuullisen ajan
kuluttua tietojen keräämisestä, ottaen huomioon tietojen keräämiseen tai
käsittelyyn liittyvät erityiset olosuhteet, tai, jos tietoja on tarkoitus
luovuttaa toiselle vastaanottajalle, viimeistään silloin kun tietoja
luovutetaan ensimmäisen kerran. 5. Edellä olevaa 1–4 kohtaa ei
sovelleta, jos a) rekisteröity on jo saanut 1, 2 ja 3
kohdassa tarkoitetut tiedot; tai b) tietoja ei kerätä rekisteröidyltä ja kyseisten
tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta
vaivaa; tai c) tietoja ei kerätä rekisteröidyltä ja
niiden tallentamisesta tai luovuttamisesta säädetään nimenomaisesti laissa; tai d) tietoja ei kerätä rekisteröidyltä ja
kyseisten tietojen toimittaminen vaikuttaisi muille kuuluviin oikeuksiin ja
vapauksiin sellaisina kuin ne määritellään unionin tai jäsenvaltion
lainsäädännössä 21 artiklan mukaisesti. 6. Edellä olevan 5 kohdan b
alakohdassa tarkoitetussa tapauksessa rekisterinpitäjän on toteutettava
tarvittavat toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi. 7. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdan f alakohdassa tarkoitettuja tietojen vastaanottajaryhmiä
koskevat kriteerit, 1 kohdan g alakohdassa tarkoitettua mahdollista
tiedonsaantia koskevaa ilmoitusta koskevat vaatimukset, 1 kohdan h alakohdassa
tarkoitettuja, erityisaloilla ja ‑tilanteissa tarvittavia lisätietoja koskevat
kriteerit ja 5 kohdan b alakohdassa säädettyjä poikkeuksia koskevat
edellytykset ja asianmukaiset takeet. Tässä yhteydessä komissio toteuttaa
tarvittavat toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten
hyväksi. 8. Komissio voi laatia
vakiolomakkeet 1–3 kohdassa tarkoitettujen tietojen toimittamista varten,
ottaen tarvittaessa huomioon eri alojen ja tietojenkäsittelytilanteiden
erityisominaisuudet ja tarpeet. Nämä täytäntöönpanosäädökset hyväksytään 87
artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 15 artikla
Rekisteröidyn tiedonsaantioikeus 1. Rekisteröidyllä on oikeus
saada rekisterinpitäjältä pyynnöstä milloin tahansa vahvistus siitä, että häntä
koskevia henkilötietoja käsitellään tai että niitä ei käsitellä. Jos
henkilötietoja käsitellään, rekisterinpitäjän on annettava seuraavat tiedot: a) käsittelyn tarkoitukset; b) kyseessä olevat henkilötietojen ryhmät; c) vastaanottajat tai vastaanottajaryhmät,
joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa, erityisesti
kolmansissa maissa olevat vastaanottajat; d) henkilötietojen säilytysaika; e) tieto siitä, että rekisteröidyllä on
oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan rekisteröityä
koskevat tiedot tai vastustaa niiden käsittelyä; f) tieto siitä, että rekisteröidyllä on
oikeus tehdä valitus valvontaviranomaiselle, ja viranomaisen yhteystiedot; g) käsiteltävät henkilötiedot ja kaikki
tietojen alkuperästä käytettävissä olevat tiedot; h) käsittelyn
merkitys ja mahdolliset seuraukset ainakin 20 artiklassa tarkoitettujen
toimenpiteiden osalta. 2. Rekisteröidyllä on oikeus
saada rekisterinpitäjältä käsiteltävänä olevat henkilötiedot. Jos rekisteröity
esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti, paitsi jos
rekisteröity toisin pyytää. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdan g alakohdassa tarkoitettuun henkilötietojen toimittamiseen
rekisteröidylle liittyvät kriteerit ja vaatimukset. 4. Komissio voi laatia vakiolomakkeet
ja ‑menettelyt 1 kohdassa tarkoitettujen tietojen pyytämistä ja toimittamista
varten, mukaan lukien rekisteröidyn henkilöllisyyden todentaminen ja
henkilötietojen toimittaminen rekisteröidylle, ottaen huomioon eri alojen ja
tietojenkäsittelytilanteiden erityisominaisuudet ja tarpeet. Nämä
täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua
tarkastelumenettelyä noudattaen. 3 JAKSO TIETOJEN OIKAISEMINEN JA
POISTAMINEN 16 artikla
Oikeus tietojen oikaisemiseen Rekisteröidyllä on oikeus vaatia, että
rekisterinpitäjä oikaisee rekisteröityä koskevat virheelliset henkilötiedot.
Rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä,
erityisesti oikaisun avulla. 17 artikla
Oikeus tulla unohdetuksi ja poistaa tiedot 1.
Rekisteröidyllä on oikeus vaatia, että
rekisterinpitäjä poistaa rekisteröityä koskevat henkilötiedot ja pidättyy
näiden tietojen edelleen luovuttamisesta, etenkin kun kyseessä ovat
henkilötiedot, jotka rekisteröity on asettanut saataville lapsena, edellyttäen
että jokin seuraavista perusteista täyttyy: a) tietoja ei enää tarvita niiden
tarkoitusten toteuttamista varten, joita varten ne kerättiin tai joita varten
niitä muutoin käsiteltiin; b) rekisteröity peruuttaa suostumuksen,
johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan mukaisesti, tai
suostumuksen kohteena ollut säilytysaika on päättynyt eikä tietojenkäsittelyyn
ole muuta laillista perustetta; c) rekisteröity vastustaa henkilötietojen
käsittelyä 19 artiklan nojalla; d) tietojenkäsittely ei muista syistä ole
tämän asetuksen mukaista. 2. Jos 1 kohdassa tarkoitettu
rekisterinpitäjä on julkistanut tiedot, sen on toteutettava julkistamiensa
tietojen osalta kaikki kohtuulliset toimenpiteet, mukaan lukien tekniset
toimet, ilmoittaakseen näitä tietoja käsitteleville kolmansille osapuolille,
että rekisteröity pyytää niitä poistamaan kyseisiin henkilötietoihin liittyvät
linkit tai näiden henkilötietojen jäljennökset tai kopiot. Jos rekisterinpitäjä
on valtuuttanut kolmannen osapuolen julkistamaan henkilötietoja,
rekisterinpitäjän katsotaan olevan vastuussa julkaisemisesta. 3. Rekisterinpitäjän on
poistettava henkilötiedot viipymättä, paitsi jos niiden säilyttäminen on
tarpeen a) sananvapautta koskevan oikeuden
käyttämiseksi 80 artiklan mukaisesti; b) kansanterveyteen liittyvää yleistä etua
koskevista syistä 81 artiklan mukaisesti; c) historiantutkimusta taikka tilastollisia
tai tieteellisiä tutkimustarkoituksia varten 83 artiklan mukaisesti; d) unionin tai jäsenvaltion lainsäädäntöön
perustuvan, henkilötietojen tallentamista koskevan rekisterinpitäjän
lakisääteisen velvoitteen noudattamiseksi; jäsenvaltioiden lainsäädännön on
oltava yleistä etua koskevan tavoitteen mukainen, noudatettava keskeisiltä osin
oikeutta henkilötietojen suojaan ja oltava tavoiteltuun päämäärään nähden
oikeasuhteinen; e) edellä 4 kohdassa tarkoitetuissa
tapauksissa. 4. Tietojen poistamisen sijasta
rekisterinpitäjän on rajoitettava niiden käsittelyä, jos a) rekisteröity kiistää tietojen
paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa
rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; b) rekisterinpitäjä ei enää tarvitse
kyseisiä henkilötietoja tehtäviensä suorittamiseen, mutta ne on säilytettävä
todistelua varten; c) käsittely on lainvastaista ja
rekisteröity vastustaa tietojen poistamista ja vaatii sen sijaan niiden käytön
rajoittamista; d) rekisteröity haluaa siirtää
henkilötietonsa toiseen automatisoituun käsittelyjärjestelmään 18 artiklan 2
kohdan mukaisesti. 5. Edellä 4 kohdassa tarkoitettuja
henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan
todistelua varten tai rekisteröidyn suostumuksella tai toisen luonnollisen tai
oikeushenkilön oikeuksien suojaamiseksi tai yleistä etua koskevan tavoitteen
vuoksi. 6. Jos henkilötietojen
käsittelyä on rajoitettu 4 kohdan nojalla, rekisterinpitäjän on ilmoitettava
rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan. 7. Rekisterinpitäjän on
toteutettava mekanismit, joiden avulla voidaan varmistaa, että henkilötietojen
poistamista ja/tai niiden säilyttämisen tarpeellisuuden säännöllistä
tarkistamista varten asetettuja määräaikoja noudatetaan. 8. Jos henkilötiedot on
poistettu, rekisterinpitäjä ei saa enää muutoin käsitellä kyseisiä
henkilötietoja. 9. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin: a) 1 kohdan soveltamista koskevat kriteerit
ja vaatimukset eri aloja ja erilaisia tietojenkäsittelytilanteita varten; b) edellytykset henkilötietoihin liittyvien
linkkien sekä tietojen kopioiden ja jäljennösten poistamiseksi 2 kohdassa
tarkoitetuista julkisesti saatavilla olevista viestintäpalveluista; c) kriteerit ja edellytykset 4 kohdassa
tarkoitettujen henkilötietojen käsittelyn rajoittamista varten. 18 artikla
Oikeus siirtää tiedot järjestelmästä toiseen 1. Kun henkilötietoja
käsitellään sähköisin keinoin, jäsennellyssä ja yleisesti käytetyssä muodossa,
rekisteröidyllä on oikeus saada rekisterinpitäjältä jäljennös käsiteltävistä
tiedoista yleisesti käytetyssä sähköisessä ja jäsennellyssä muodossa, joka
antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen. 2. Kun rekisteröity on itse
antanut henkilötiedot ja niiden käsittely perustuu suostumukseen tai
sopimukseen, rekisteröidyllä on oikeus siirtää kyseiset henkilötiedot ja kaikki
muut rekisteröidyn itsensä antamat, automatisoituun käsittelyjärjestelmään
tallennetut tiedot toiseen järjestelmään, yleisesti käytetyssä sähköisessä
muodossa, sen rekisterinpitäjän estämättä, jonka hallusta henkilötiedot
poistetaan. 3. Komissio voi täsmentää 1
kohdassa tarkoitetun sähköisen muodon ja vahvistaa tekniset standardit,
yksityiskohtaiset säännöt ja menettelyt henkilötietojen siirtämiseksi 2 kohdan
nojalla. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa
tarkoitettua tarkastelumenettelyä noudattaen. 4 JAKSO OIKEUS VASTUSTAA HENKILÖTIETOJEN
KÄSITTELYÄ JA PROFILOINTI 19 artikla
Oikeus vastustaa henkilötietojen käsittelyä 1. Rekisteröidyllä on oikeus
henkilökohtaisen tilanteensa perusteella milloin tahansa vastustaa
henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan d, e ja f
alakohtaan, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on
olemassa pakottava perusteltu syy, joka syrjäyttää rekisteröidyn edut tai
perusoikeudet ja ‑vapaudet. 2. Jos henkilötietoja
käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus vastustaa
maksutta henkilötietojensa käsittelyä tällaista markkinointia varten. Tätä
oikeutta on tarjottava rekisteröidylle nimenomaisesti ja ymmärrettävällä tavalla,
selkeästi muusta tiedotuksesta erillään. 3. Jos vastustus hyväksytään 1
ja 2 kohdan nojalla, rekisterinpitäjä ei saa enää käyttää tai muutoin käsitellä
kyseisiä henkilötietoja. 20 artikla
Profilointiin perustuvat toimenpiteet 1. Jokaisella luonnollisella
henkilöllä on oikeus olla joutumatta sellaisen toimenpiteen kohteeksi, joka
aiheuttaa hänelle oikeusvaikutuksia tai vaikuttaa häneen merkittävällä tavalla
ja joka on tehty ainoastaan automaattisen tietojenkäsittelyn perusteella hänen
tiettyjen henkilökohtaisten ominaisuuksiensa arvioimista tai erityisesti hänen
ammatillisen suorituskykynsä, taloudellisen tilanteensa, sijaintinsa,
terveytensä, henkilökohtaisten mieltymystensä, luotettavuutensa tai
käyttäytymisensä analysoimista tai ennakoimista varten. 2.
Ellei tässä asetuksessa muuta säädetä, henkilöön
voidaan kohdistaa 1 kohdassa tarkoitetun kaltainen toimenpide vain jos
tietojenkäsittely a) suoritetaan sopimuksen tekemisen tai
täytäntöönpanon yhteydessä, sillä edellytyksellä, että rekisteröidyn esittämä
sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö on täytetty tai että on
toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen
suojaamiseksi, kuten oikeus siihen, että tietojen käsittelyyn osallistuu
ihminen; tai b) on nimenomaisesti hyväksytty unionin tai
jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset
toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai c) perustuu rekisteröidyn suostumukseen,
edellyttäen että 7 artiklassa säädetyt edellytykset täyttyvät ja että
asianmukaiset takeet on annettu. 3.
Henkilötietojen automaattinen käsittely, jonka
tarkoituksena on arvioida luonnollisen henkilön tiettyjä henkilökohtaisia
ominaisuuksia, ei saa perustua pelkästään 9 artiklassa tarkoitettuihin
erityisiin henkilötietojen ryhmiin. 4. Tiedoissa, jotka
rekisterinpitäjän on toimitettava 14 artiklan nojalla, on 2 kohdassa
tarkoitetuissa tapauksissa mainittava, onko tietoja käsitelty 1 kohdassa
tarkoitetun kaltaista toimenpidettä varten, ja arvioitava tällaisen käsittelyn
vaikutuksia rekisteröityyn. 5. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin kriteerit ja vaatimukset 2 kohdassa tarkoitettujen rekisteröidyn
oikeutettujen etujen suojaamiseksi annettavia asianmukaisia toimenpiteitä
varten. 5 JAKSO
Rajoitukset 21 artikla
Rajoitukset 1. Unionin tai jäsenvaltion
lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 5 artiklan a–e
alakohdassa sekä 11–20 artiklassa ja 32 artiklassa säädettyjen velvollisuuksien
ja oikeuksien soveltamisalaa, jos tällaiset rajoitukset ovat demokraattisessa
yhteiskunnassa välttämättömiä ja oikeasuhteisia toimenpiteitä, jotta voidaan
taata a) yleinen turvallisuus; b) rikosten torjuminen, tutkiminen,
selvittäminen ja syytteeseenpano; c) muut unionin tai jäsenvaltion yleiset
edut, erityisesti jäsenvaltiolle tai Euroopan unionille tärkeä taloudellinen
tai rahoituksellinen etu, myös rahaa, talousarviota ja verotusta sekä
markkinoiden vakauden ja eheyden suojaamista koskevissa asioissa; d) säänneltyä ammattitoimintaa koskevan
ammattietiikan rikkomusten torjuminen, tutkiminen, selvittäminen ja
syytteeseenpano; e) valvonta-, tarkastus- tai
sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttämiseen a–d
alakohdassa tarkoitetuissa tapauksissa; f) rekisteröidyn tai muille kuuluvien
oikeuksien ja vapauksien suojelu. 2. Edellä 1 kohdassa
tarkoitettujen säädösten on sisällettävä erityisesti säännökset, jotka koskevat
ainakin käsittelyn tavoitteita ja rekisterinpitäjän määrittämistä. IV LUKU REKISTERINPITÄJÄ
JA HENKILÖTIETOJEN KÄSITTELIJÄ 1 JAKSO
YLEISET VELVOLLISUUDET 22 artikla
Rekisterinpitäjän vastuu 1. Rekisterinpitäjän on
hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen
varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä
noudatetaan tätä asetusta. 2. Edellä 1 kohdassa
tarkoitettuja toimenpiteitä ovat erityisesti seuraavat: a) jäljempänä 28 artiklassa
tarkoitettujen asiakirjojen säilyttäminen; b) jäljempänä 30 artiklassa
vahvistettujen tietoturvallisuutta koskevien vaatimusten täytäntöönpano; c) jäljempänä 33 artiklassa tarkoitetun
tietosuojaa koskevan vaikutustenarvioinnin laatiminen; d) valvontaviranomaisen ennakkohyväksyntää
tai ennakkokuulemista koskevien vaatimusten noudattaminen 34 artiklan 1 ja 2
kohdan mukaisesti; e) tietosuojavastaavan nimittäminen
35 artiklan 1 kohdan nojalla. 3. Rekisterinpitäjän on
toteutettava mekanismit sen varmistamiseksi, että 1 ja 2 kohdassa
tarkoitettujen toimenpiteiden tehokkuus tarkistetaan. Tarkistamisen suorittavat riippumattomat sisäiset tai ulkoiset
tarkastajat, mikäli se on oikeasuhteista. 4. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdassa tarkoitettuja, muita kuin 2 kohdassa jo tarkoitettuja
asianmukaisia toimenpiteitä koskevat kriteerit ja vaatimukset, 3 kohdassa
tarkoitettuja tarkistusmekanismeja koskevat edellytykset ja 3 kohdassa
tarkoitettua oikeasuhteisuutta koskevat kriteerit, ottaen huomioon erityiset
toimenpiteet mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. 23 artikla
Sisäänrakennettu ja oletusarvoinen tietosuoja 1. Rekisterinpitäjän on sekä
käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä toteutettava
asianmukaiset tekniset ja organisatoriset toimenpiteet ja menettelyt uusin
tekniikka ja toteuttamiskustannukset huomioon ottaen siten, että käsittely
vastaa tämän asetuksen vaatimuksia ja takaa rekisteröidyn oikeuksien suojelun. 2. Rekisterinpitäjän on otettava
käyttöön keinot sen varmistamiseksi, että käsittely koskee oletusarvoisesti
vain niitä henkilötietoja, jotka ovat välttämättömiä tietyn
käsittelytarkoituksen kannalta, ja että tietoja ei erikseen kerätä eikä
säilytetä suurempia määriä eikä kauemmin kuin on välttämätöntä kyseisten
tarkoitusten toteuttamiseksi. Näiden keinojen avulla on varmistettava etenkin
se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman
henkilömäärän saataville. 3. Siirretään
komissiolle valta antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa
määritellään tarkemmin 1 ja 2 kohdassa tarkoitettuja asianmukaisia
toimenpiteitä koskevat kriteerit ja vaatimukset ja erityisesti eri aloilla tai
eri tuotteisiin ja palveluihin sovellettavat sisäänrakennettua tietosuojaa
koskevat vaatimukset. 4. Komissio
voi vahvistaa 1 ja 2 kohdassa säädettyjä vaatimuksia koskevat tekniset
standardit. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa
tarkoitettua tarkastelumenettelyä noudattaen. 24 artikla
Yhteiset rekisterinpitäjät Jos rekisterinpitäjä määrittää henkilötietojen
käsittelyn tarkoitukset, edellytykset ja keinot yhdessä muiden
rekisterinpitäjien kanssa, näiden yhteisten rekisterinpitäjien on keskinäisellä
järjestelyllä määritettävä kunkin vastuualue tässä asetuksessa vahvistettujen
velvoitteiden mukaisesti, erityisesti niiden menettelyjen ja mekanismien
osalta, joiden avulla rekisteröidyt voivat käyttää oikeuksiaan. 25 artikla
Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien edustajat 1. Edellä 3 artiklan 2 kohdassa
tarkoitetussa tilanteessa rekisterinpitäjän on nimitettävä edustaja unionin
aluetta varten. 2. Tätä velvollisuutta ei
sovelleta a) rekisterinpitäjään, joka on
sijoittautunut sellaiseen kolmanteen maahan, jonka tarjoamaa tietosuojan tasoa
komissio pitää riittävänä 41 artiklan mukaisesti; tai b) yritykseen, jossa on alle 250
työntekijää; tai c) viranomaisiin ja julkishallinnon elimiin;
tai d) rekisterinpitäjään, joka tarjoaa
tavaroita tai palveluja unionin alueella asuville rekisteröidyille vain satunnaisesti. 3. Edustajan on oltava
sijoittautunut johonkin niistä jäsenvaltioista, joissa asuvat ne rekisteröidyt,
joiden henkilötietoja käsitellään heille tarjottavien tavaroiden tai palvelujen
vuoksi tai heidän käyttäytymisensä seuraamiseksi. 4. Edustajan nimittäminen
rekisterinpitäjän toimesta ei rajoita niitä oikeustoimia, jotka voidaan
käynnistää rekisterinpitäjää vastaan. 26 artikla
Henkilötietojen käsittelijä 1. Jos käsittelytoimi
suoritetaan rekisterinpitäjän lukuun, tämän on valittava henkilötietojen
käsittelijä, joka antaa riittävät takeet siitä, että käsittelyyn liittyvät
tekniset ja organisatoriset toimet ja menettelyt toteutetaan niin, että
käsittely täyttää tämän asetuksen vaatimukset ja varmistaa rekisteröidyn
oikeuksien suojelun, erityisesti suoritettavaa käsittelyä koskevien teknisten
turvatoimien ja organisatoristen toimien osalta, ja varmistettava kyseisten
toimenpiteiden noudattamisen. 2. Henkilötietojen käsittelijän
suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla oikeudellisella
asiakirjalla, joka sitoo käsittelijän rekisterinpitäjään ja jossa erityisesti
säädetään, että henkilötietojen käsittelijä a) toimii ainoastaan rekisterinpitäjän
ohjeiden mukaisesti, etenkin jos käsiteltäviä henkilötietoja ei saa siirtää; b) ottaa palvelukseen ainoastaan sellaista
henkilöstöä, joka on sitoutunut noudattamaan salassapitovelvollisuutta tai jota
koskee lakisääteinen salassapitovelvollisuus; c) toteuttaa kaikki 30 artiklassa vaaditut
toimenpiteet; d) käyttää toisen henkilötietojen käsittelijän
palveluksia vasta rekisterinpitäjän ennakkohyväksynnän saatuaan; e) käsittelytoimen luonteen salliessa laatii
yhdessä rekisterinpitäjän kanssa tarvittavat tekniset ja organisatoriset
vaatimukset, jotta voidaan täyttää rekisterinpitäjän velvollisuus vastata
pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien
käyttämistä; f) auttaa
rekisterinpitäjää varmistamaan, että 30–34 artiklassa säädettyjä
velvollisuuksia noudatetaan; g) luovuttaa käsittelyn päätyttyä kaikki
tulokset rekisterinpitäjälle eikä enää muutoin käsittele kyseisiä
henkilötietoja; h) toimittaa rekisterinpitäjälle ja
valvontaviranomaiselle kaikki tiedot, jotka ovat tarpeen tässä artiklassa
säädettyjen velvollisuuksien noudattamisen valvontaa varten. 3. Rekisterinpitäjän ja
henkilötietojen käsittelijän on tallennettava kirjallisesti 2 artiklassa
tarkoitetut rekisterinpitäjän antamat ohjeet ja rekisterinpitäjän
velvollisuudet. 4. Jos henkilötietojen
käsittelijä käsittelee muita kuin rekisterinpitäjän määräämiä henkilötietoja,
käsittelijää on pidettävä kyseisen käsittelyn osalta rekisterinpitäjänä ja
käsittelijään on sovellettava 24 artiklassa vahvistettuja, yhteisiä
rekisterinpitäjiä koskevia sääntöjä. 5. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin henkilötietojen käsittelijän vastuualueita, velvollisuuksia ja
tehtäviä koskevat kriteerit ja vaatimukset 1 kohdan mukaisesti, sekä
edellytykset, joiden nojalla voidaan helpottaa yritysryhmässä erityisesti seuranta-
ja raportointitarkoituksessa suoritettavaa henkilötietojen käsittelyä. 27 artikla
Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän
alaisuudessa Henkilötietojen käsittelijä tai kukaan
rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva
henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin
rekisterinpitäjän ohjeiden mukaisesti, ellei unionin tai jäsenvaltion
lainsäädännössä niin vaadita. 28 artikla
Asiakirjat 1. Jokaisen rekisterinpitäjän ja
henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on
säilytettävä asiakirjat kaikista vastuullaan tapahtuvista
tietojenkäsittelytoimista. 2. Asiakirjoissa on oltava
vähintään seuraavat tiedot: a) rekisterinpitäjän tai yhteisen rekisterinpitäjän
tai henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan
nimi ja yhteystiedot; b) mahdollisen tietosuojavastaavan nimi ja
yhteystiedot; c) henkilötietojen käsittelyn tarkoitukset,
mukaan lukien rekisterinpitäjän oikeutetut edut, jos käsittely perustuu 6
artiklan 1 kohdan f alakohtaan; d) kuvaus rekisteröityjen ryhmistä ja niihin
liittyvistä tietoryhmistä; e) henkilötietojen vastaanottajat tai
vastaanottajien ryhmät, mukaan lukien ne rekisterinpitäjät, joille henkilötietoja
luovutetaan niiden oikeutettujen etujen vuoksi; f) tarvittaessa tiedot henkilötietojen
siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien
tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä
asianmukaisia takeita koskevat asiakirjat, jos kyseessä on 44 artiklan 1 kohdan
h alakohdassa tarkoitettu siirto; g) yleinen maininta eri tietoryhmien
poistamisen määräajoista; h) kuvaus 22 artiklan 3 kohdassa
tarkoitetuista mekanismeista. 3. Rekisterinpitäjän ja henkilötietojen
käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on pyydettäessä
esitettävä asiakirjat valvontaviranomaiselle. 4. Edellä 1 ja 2 kohdassa
tarkoitetut velvollisuudet eivät koske seuraavia rekisterinpitäjiä ja
henkilötietojen käsittelijöitä: a) luonnollinen henkilö, joka käsittelee
henkilötietoja ilman kaupallista tarkoitusta; tai b) yritys tai organisaatio, jonka
palveluksessa on alle 250 työntekijää ja joka käsittelee henkilötietoja
ainoastaan pääasiallisen toimintansa aputoimintona. 5. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritetään 1
kohdassa tarkoitettuja asiakirjoja koskevat kriteerit ja vaatimukset, jotta
voidaan ottaa huomioon erityisesti rekisterinpitäjän ja henkilötietojen käsittelijän
sekä rekisterinpitäjän mahdollisen edustajan vastuualueet. 6. Komissio voi laatia
vakiolomakkeet 1 kohdassa tarkoitettuja asiakirjoja varten. Nämä
täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua
tarkastelumenettelyä noudattaen. 29 artikla
Yhteistyö valvontaviranomaisen kanssa 1. Rekisterinpitäjän
ja henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan on
pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien
suorittamiseksi, erityisesti antamalla 53 artiklan 2 kohdan a alakohdassa
tarkoitetut tiedot ja sallimalla kyseisen kohdan b alakohdassa tarkoitettu
pääsy. 2. Kun
valvontaviranomainen käyttää 53 artiklan 2 kohdassa tarkoitettuja
valtuuksiaan, rekisterinpitäjän ja henkilötietojen käsittelijän on vastattava
valvontaviranomaiselle tämän määrittämän kohtuullisen ajan kuluessa.
Vastauksessa on kuvattava toteutetut toimenpiteet ja saavutetut tulokset
valvontaviranomaisen huomautusten pohjalta. 2 JAKSO
TIETOTURVALLISUUS 30 artikla
Käsittelyn turvallisuus 1. Rekisterinpitäjän ja
henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja
organisatoriset toimenpiteet varmistaakseen käsittelyn ja suojattavien
henkilötietojen luonteeseen liittyviin riskeihin nähden asianmukainen turvallisuustaso,
ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset. 2. Rekisterinpitäjän ja
henkilötietojen käsittelijän on toteutettava riskinarvioinnin pohjalta 1
kohdassa tarkoitetut toimenpiteet henkilötietojen suojaamiseksi vahingossa
tapahtuvalta tai laittomalta tuhoamiselta tai vahingossa tapahtuvalta
häviämiseltä sekä lainvastaisen käsittelyn ja erityisesti luvattoman
luovuttamisen, levittämisen tai tiedonsaannin taikka henkilötietojen
muuttamisen estämiseksi. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 ja 2 kohdassa tarkoitettuja teknisiä ja organisatorisia
toimenpiteitä koskevat kriteerit ja edellytykset, kuten se, mikä on uusin
tekniikka, eri aloja ja erilaisia tietojenkäsittelytilanteita varten, ottaen
erityisesti huomioon teknologian kehitys ja sisäänrakennettua ja oletusarvoista
tietosuojaa koskevat ratkaisut, paitsi jos sovelletaan 4 kohtaa. 4. Komissio voi tarvittaessa
antaa täytäntöönpanosäädöksiä, joissa määritellään 1 ja 2 kohdassa
vahvistettujen vaatimusten soveltaminen eri tilanteissa, kuten a) henkilötietojen luvattoman saannin
estämiseksi; b) henkilötietojen luvattoman luovuttamisen,
lukemisen, jäljentämisen, muuttamisen, poistamisen tai siirtämisen estämiseksi; c) käsittelytoimien lainmukaisuuden
todentamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 87
artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 31 artikla
Henkilötietojen tietoturvaloukkauksesta
ilmoittaminen valvontaviranomaiselle 1. Jos tapahtuu henkilötietojen
tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä
valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan
24 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta
24 tunnin kuluessa, rekisterinpitäjän on toimitettava
valvontaviranomaiselle perusteltu selitys. 2. Henkilötietojen käsittelijän
on 26 artiklan 2 kohdan f alakohdan nojalla ilmoitettava henkilötietojen
tietoturvaloukkauksesta rekisterinpitäjälle heti, kun se on tullut ilmi. 3. Edellä 1 kohdassa
tarkoitetussa ilmoituksessa on vähintään a) kuvattava henkilötietojen
tietoturvaloukkaus, mukaan lukien kyseessä olevien rekisteröityjen ryhmät ja
lukumäärät sekä tietueiden ryhmät ja lukumäärät; b) ilmoitettava tietosuojavastaavan
henkilöllisyys ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa; c) suositeltava toimenpiteitä, joilla
lievennetään henkilötietojen tietoturvaloukkauksen mahdollisia
haittavaikutuksia; d) kuvattava henkilötietojen
tietoturvaloukkauksen seurauksia; e) kuvattava toimenpiteet, joita
rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen
tietoturvaloukkauksen johdosta. 4. Rekisterinpitäjän on
dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen
liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet.
Valvontaviranomaisen on voitava näiden asiakirjojen pohjalta tarkistaa, että
tätä artiklaa on noudatettu. Asiakirjat saavat sisältää ainoastaan kyseistä
tarkoitusta varten välttämättömät tiedot. 5. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 ja 2 kohdassa tarkoitettuja tietoturvaloukkauksia koskevat
kriteerit ja vaatimukset sekä ne erityiset olosuhteet, joissa rekisterinpitäjän
ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen
tietoturvaloukkauksesta. 6. Komissio voi vahvistaa
valvontaviranomaiselle annettavan vakiomuotoisen ilmoituksen, ilmoitusta
koskevat menettelyt sekä 4 kohdassa tarkoitettujen asiakirjojen muodon ja
niitä koskevat yksityiskohtaiset säännöt, mukaan lukien määräajat, joihin
mennessä niissä olevat tiedot on poistettava. Nämä täytäntöönpanosäädökset
hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 32 artikla
Henkilötietojen tietoturvaloukkauksesta
ilmoittaminen rekisteröidylle 1. Kun henkilötietojen
tietoturvaloukkauksella on todennäköisiä haittavaikutuksia rekisteröidyn
henkilötietojen suojalle tai yksityisyydelle, rekisterinpitäjän on 31 artiklassa
tarkoitetun ilmoituksen jälkeen ilmoitettava tietoturvaloukkauksesta myös
rekisteröidylle ilman aiheetonta viivytystä. 2. Edellä 1 kohdassa
tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava
henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin
31 artiklan 3 kohdan b ja c alakohdassa tarkoitetut tiedot ja
suositukset. 3. Henkilötietojen
tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidylle, jos
rekisterinpitäjä osoittaa valvontaviranomaista tyydyttävällä tavalla, että se
on toteuttanut asianmukaiset tekniset suojatoimenpiteet ja että kyseisiä
toimenpiteitä on sovellettu tietoturvaloukkauksen kohteena oleviin
henkilötietoihin. Tällaisten teknisten suojatoimenpiteiden avulla tiedot
muutetaan sellaiseen muotoon, että ne eivät ole sellaisten henkilöiden
ymmärrettävissä, joilla ei ole lupaa päästä tietoihin. 4. Jos rekisterinpitäjä ei ole
vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle,
valvontaviranomainen voi vaatia ilmoituksen tekemistä harkittuaan loukkauksen
todennäköisiä haittavaikutuksia, sanotun kuitenkaan rajoittamatta
rekisterinpitäjän velvollisuutta ilmoittaa tietoturvaloukkauksesta
rekisteröidylle. 5. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin kriteerit ja vaatimukset niiden 1 kohdassa tarkoitettujen
olosuhteiden määrittämiseksi, joissa henkilötietojen tietoturvaloukkauksella on
todennäköisiä haittavaikutuksia henkilötiedoille. 6. Komissio voi vahvistaa 1
kohdassa tarkoitetun, rekisteröidylle tarkoitetun ilmoituksen muodon ja siihen
sovellettavat menettelyt. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan
2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 3 JAKSO
TIETOSUOJAA KOSKEVA VAIKUTUSTENARVIOINTI JA ENNAKKOHYVÄKSYNTÄ 33 artikla
Tietosuojaa koskeva vaikutustenarviointi 1. Jos tietojenkäsittelytoimiin
liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn
oikeuksien ja vapauksien kannalta erityisiä riskejä, rekisterinpitäjän tai tämän
lukuun toimivan henkilötietojen käsittelijän on laadittava arvio suunniteltujen
käsittelytoimien vaikutuksista henkilötietojen suojalle. 2. Edellä 1 kohdassa
tarkoitettuja erityisiä riskejä voi liittyä erityisesti seuraaviin
käsittelytoimiin: a) luonnollisen henkilön henkilökohtaisten
ominaisuuksien järjestelmällinen ja kattava arviointi hänen taloudellisen
tilanteensa, sijaintinsa, terveytensä, henkilökohtaisten mieltymystensä,
luotettavuutensa tai käyttäytymisensä analysoimista tai ennakoimista varten
automatisoidun tietojenkäsittelyn perusteella sellaisten toimenpiteiden
antamista varten, jotka aiheuttavat kyseiselle yksilölle oikeusvaikutuksia tai
vaikuttavat häneen merkittävällä tavalla; b) sukupuolielämää, terveyttä, rotua ja
etnistä alkuperää tai terveydenhoidon antamista, epidemiologisia tutkimuksia
tai mielisairauksia tai tartuntatauteja koskevia selvityksiä koskevien tietojen
käsittely, jos tarkoituksena on toteuttaa tiettyjä yksilöitä koskevia
toimenpiteitä tai tehdä heitä koskevia päätöksiä suuressa mittakaavassa; c) yleisölle avoimien alueiden valvonta,
erityisesti jos käytetään optoelektronisia laitteita (videovalvontaa) suuressa
mittakaavassa; d) lapsia tai geneettisiä tai biometrisiä
tietoja koskevien henkilötietojen käsittely suuren mittakaavan
rekisteröintijärjestelmissä; e) muut käsittelytoimet, joita varten
vaaditaan valvontaviranomaisen kuulemista 34 artiklan 2 kohdan b alakohdan
nojalla. 3. Arvioinnissa on esitettävä
vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio niihin
rekisteröidyn oikeuksien ja vapauksien kannalta liittyvistä riskeistä, toimet
joiden avulla riskeihin on tarkoitus puuttua, sekä takeet, suojatoimenpiteet ja
keinot, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä
asetusta on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten
oikeudet ja oikeutetut edut. 4. Rekisterinpitäjän on
pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista
käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten
etujen suojeluun tai käsittelytoimien turvallisuuteen. 5. Jos rekisterinpitäjä on
viranomainen tai julkishallinnon elin ja käsittely perustuu 6 artiklan 1 kohdan
c alakohdassa tarkoitettuun lakisääteiseen velvollisuuteen, jonka yhteydessä vahvistetaan
käsittelytoimia koskevat säännöt ja menettelyt ja jota säännellään unionin
lainsäädännöllä, 1–4 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat
tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien
aloittamista. 6. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin kriteerit ja edellytykset sellaisia 1 ja 2 artiklassa tarkoitettuja
käsittelytoimia varten, joihin todennäköisesti liittyy erityisiä riskejä, ja 3
artiklassa tarkoitettua arviointia koskevat vaatimukset, mukaan lukien
arvioinnin laajennettavuutta, todentamista ja tarkastamista koskevat
edellytykset. Tässä yhteydessä komissio harkitsee erityisten toimenpiteiden
toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi. 7. Komissio voi täsmentää
standardit ja menettelyt 3 artiklassa tarkoitetun arvioinnin toteuttamista,
todentamista ja tarkastamista varten. Nämä täytäntöönpanosäädökset hyväksytään
87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 34 artikla
Ennakkohyväksyntä ja ennakkokuuleminen 1. Tapauksen mukaan joko
rekisterinpitäjän tai henkilötietojen käsittelijän on saatava
valvontaviranomaiselta ennen henkilötietojen käsittelyä ennakkohyväksyntä sen
varmistamiseksi, että suunniteltu käsittely on tämän asetuksen mukaista ja
erityisesti siitä rekisteröidyille mahdollisesti aiheutuvien riskien
lieventämiseksi, jos rekisterinpitäjä tai henkilötietojen käsittelijä hyväksyy
42 artiklan 2 kohdan d alakohdassa tarkoitettuja sopimuslausekkeita tai ei anna
asianmukaisia takeita 42 artiklan 5 kohdassa tarkoitetussa oikeudellisesti
sitovassa asiakirjassa siltä osin kuin on kyse henkilötietojen siirrosta
kolmanteen maahan tai kansainväliselle järjestölle. 2. Rekisterinpitäjän tai tämän
lukuun toimivan henkilötietojen käsittelijän on ennen henkilötietojen
käsittelyä kuultava valvontaviranomaista sen varmistamiseksi, että suunniteltu
käsittely on tämän asetuksen mukaista ja erityisesti siitä rekisteröidyille
mahdollisesti aiheutuvien riskien lieventämiseksi, jos a) 33 artiklassa tarkoitettu tietosuojaa
koskeva vaikutustenarviointi osoittaa, että käsittelytoimiin todennäköisesti
liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi merkittäviä
erityisiä riskejä; tai b) valvontaviranomainen katsoo
tarpeelliseksi suorittaa ennakkokuulemisen sellaisten 4 kohdan mukaisesti
määriteltyjen käsittelytoimien osalta, joihin todennäköisesti liittyy niiden
luonteen, laajuuden ja/tai tarkoitusten vuoksi rekisteröidyn vapauksien ja
oikeuksien kannalta erityisiä riskejä. 3. Jos valvontaviranomainen
katsoo, että suunniteltu käsittely ei ole tämän asetuksen mukaista, etenkin jos
riskejä ei ole yksilöity tai lievennetty riittävästi, sen on kiellettävä
suunniteltu käsittely ja esitettävä tarvittavat ehdotukset havaittujen
puutteiden korjaamiseksi. 4. Valvontaviranomaisen on
laadittava ja julkaistava luettelo käsittelytoimista, joiden yhteydessä
vaaditaan 2 kohdan b alakohdassa tarkoitettu ennakkokuuleminen.
Valvontaviranomaisen on toimitettava tällaiset luettelot Euroopan
tietosuojaneuvostolle. 5. Jos 4 kohdassa tarkoitettu
luettelo koskee käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen
tarjoamiseen eri jäsenvaltioissa asuville rekisteröidyille tai näiden
käyttäytymisen seuraamiseen tai jos toimet voivat merkittävästi haitata
henkilötietojen vapaata liikkuvuutta unionissa, valvontaviranomaisen on
sovellettava 57 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se
vahvistaa luettelon. 6. Rekisterinpitäjän tai
henkilötietojen käsittelijän on toimitettava valvontaviranomaiselle 33
artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä
muut tarvittavat tiedot, joiden avulla valvontaviranomainen voi arvioida,
ovatko käsittelytoimet tämän asetuksen mukaisia, ja arvioida erityisesti
riskejä rekisteröidyn henkilötietojen suojan kannalta ja tähän liittyviä
takeita. 7. Jäsenvaltioiden on kuultava
valvontaviranomaista, kun ne valmistelevat kansallisen parlamentin hyväksyntää
varten lainsäädäntöä tai tällaiseen lainsäädäntöön perustuvaa toimenpidettä,
jossa määritellään käsittelyn luonne, sen varmistamiseksi, että suunniteltu
käsittely on tämän asetuksen mukaista ja että erityisesti rekisteröidyille
mahdollisesti aiheutuvia riskejä lievennetään. 8. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin kriteerit ja vaatimukset 2 kohdan a alakohdassa tarkoitettujen
merkittävien riskien määrittämistä varten. 9. Komissio voi laatia
vakiolomakkeet ja ‑menettelyt sekä 1 ja 2 kohdassa tarkoitettua
ennakkohyväksyntää ja ‑kuulemista että 6 kohdassa tarkoitettua
valvontaviranomaisille tehtävää ilmoitusta varten. Nämä täytäntöönpanosäädökset
hyväksytään 87 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä
noudattaen. 4 JAKSO
TIETOSUOJAVASTAAVA 35 artikla
Tietosuojavastaavan nimittäminen 1. Rekisterinpitäjän ja
henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun a) tietojenkäsittelyä suorittaa viranomainen
tai julkishallinnon elin; tai b) tietojenkäsittelyä suorittaa yritys,
jossa on vähintään 250 työntekijää; tai c) rekisterinpitäjän tai henkilötietojen
käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista,
jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät
rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. 2. Edellä 1 kohdan b alakohdassa
tarkoitetussa tapauksessa yritysryhmä voi nimittää vain yhden
tietosuojavastaavan. 3. Jos rekisterinpitäjä tai
henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin,
tietosuojavastaava voidaan nimittää sen useampaa yksikköä varten, kyseisen
viranomaisen tai elimen organisaatiorakenne huomioon ottaen. 4. Muissa kuin 1 kohdassa
tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai
rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat
yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan. 5. Rekisterinpitäjän
tai henkilötietojen käsittelijän on tietosuojavastaavaa nimitettäessä otettava
huomioon ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan
käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa
37 artiklassa tarkoitetut tehtävät. Tarvittavan erityisasiantuntemuksen
taso määräytyy etenkin rekisterinpitäjän ja henkilötietojen käsittelijän
suorittaman tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan
perusteella. 6. Rekisterinpitäjän ja
henkilötietojen käsittelijän on varmistettava, että tietosuojavastaavan muut
ammatilliset velvollisuudet voidaan sovittaa yhteen tietosuojavastaavan
tehtävien ja velvollisuuksien kanssa eturistiriitoja aiheuttamatta. 7. Rekisterinpitäjän tai
henkilötietojen käsittelijän on nimitettävä tietosuojavastaava vähintään kahden
vuoden ajaksi. Tietosuojavastaava voidaan nimittää tehtäväänsä uudelleen.
Tietosuojavastaava voidaan erottaa toimestaan vain jos hän ei enää täytä
tehtäviensä suorittamisen edellyttämiä vaatimuksia. 8. Rekisterinpitäjä tai
henkilötietojen käsittelijä voi ottaa tietosuojavastaavan palvelukseensa tai
tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella. 9. Rekisterinpitäjän tai
henkilötietojen käsittelijän on ilmoitettava tietosuojavastaavan nimi ja
yhteystiedot valvontaviranomaiselle ja yleisölle. 10. Rekisteröidyillä on oikeus
ottaa yhteyttä tietosuojavastaavaan kaikissa tietojensa käsittelyyn liittyvissä
asioissa ja pyytää saada käyttää tähän asetukseen perustuvia oikeuksiaan. 11. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdan c alakohdassa tarkoitettuja rekisterinpitäjän ja
henkilötietojen käsittelijän keskeisiä tehtäviä koskevat kriteerit ja
vaatimukset sekä 5 kohdassa tarkoitettua tietosuojavastaavan ammattipätevyyttä
koskevat vaatimukset. 36 artikla
Tietosuojavastaavan asema 1. Rekisterinpitäjän tai
henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan
asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa
koskevien kysymysten käsittelyyn. 2. Rekisterinpitäjän tai
henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava täyttää
velvollisuutensa ja tehtävänsä riippumattomasti eikä ota vastaan ohjeita
tehtäviensä hoitamisen yhteydessä. Tietosuojavastaava raportoi suoraan
rekisterinpitäjän tai henkilötietojen käsittelijän johdolle. 3. Rekisterinpitäjän tai
henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän tehtävien
suorittamisessa ja annettava tälle henkilöstö, toimitilat, varusteet ja muut
resurssit, jotka ovat tarpeen 37 artiklassa tarkoitettujen velvollisuuksien ja
tehtävien täyttämistä varten. 37 artikla
Tietosuojavastaavan tehtävät 1. Rekisterinpitäjän tai
henkilötietojen käsittelijän on osoitettava tietosuojavastaavalle ainakin
seuraavat tehtävät: a) antaa rekisterinpitäjälle tai
henkilötietojen käsittelijälle tietoja ja neuvoja, jotka koskevat niiden tämän
asetuksen mukaisia velvollisuuksia, sekä dokumentoida tämä toiminta ja saadut
vastaukset; b) seurata rekisterinpitäjän tai
henkilötietojen käsittelijän henkilötietojen suojaan liittyvien toimintamenetelmien
täytäntöönpanoa ja soveltamista, kuten vastuunjakoa, käsittelyyn osallistuvan
henkilöstön koulutusta ja tarkastuksia; c) seurata tämän asetuksen täytäntöönpanoa
ja soveltamista ja erityisesti sisäänrakennettuun tietosuojaan, oletusarvoiseen
tietosuojaan ja tietoturvallisuuteen liittyviä vaatimuksia sekä rekisteröidylle
ilmoittamista ja rekisteröityjen esittämiä pyyntöjä, jotka koskevat tähän
asetukseen pohjautuvien oikeuksien käyttöä; d) varmistaa, että 28 artiklassa
tarkoitetut asiakirjat säilytetään; e) seurata 31 ja 32 artiklassa tarkoitettua
henkilötietojen tietoturvaloukkauksiin liittyvien asiakirjojen säilyttämistä ja
tietoturvaloukkauksista ilmoittamista; f) seurata tietosuojaa koskevan
vaikutustenarvioinnin laatimista rekisterinpitäjän tai henkilötietojen
käsittelijän toimesta sekä ennakkohyväksynnän tai ennakkokuulemisen
soveltamista, jos ne vaaditaan 33 ja 34 artiklan nojalla; g) seurata valvontaviranomaisen pyyntöihin
vastaamista ja tietosuojavastaavan toimivaltuuksien mukaisesti tehdä
yhteistyötä valvontaviranomaisen kanssa jälkimmäisen pyynnöstä tai
tietosuojavastaavan omasta aloitteesta; h) toimia valvontaviranomaisen
yhteyspisteenä tietojenkäsittelyyn liittyvissä kysymyksissä ja tarvittaessa
kuulla valvontaviranomaista tietosuojavastaavan omasta aloitteesta. 2. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdassa tarkoitetut tietosuojavastaavan tehtäviä, sertifiointia,
asemaa, toimivaltuuksia ja resursseja koskevat kriteerit ja vaatimukset. 5 JAKSO
KÄYTÄNNESÄÄNNÖT JA SERTIFIOINTI 38 artikla
Käytännesäännöt 1. Jäsenvaltioiden,
valvontaviranomaisten ja komission on edistettävä sellaisten käytännesääntöjen
laatimista, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista,
ottaen huomioon tietojenkäsittelyn eri sektorien erityispiirteet ja erityisesti
seuraavat seikat: a) tietojenkäsittelyn
oikeudenmukaisuus ja läpinäkyvyys; b) tietojen
kerääminen; c) yleisölle ja
rekisteröidyille tarkoitettu tiedotus; d) rekisteröityjen
pyynnöt, jotka koskevat heille kuuluvien oikeuksien käyttöä; e) lapsille
tarkoitettu tiedotus ja lasten suojelu; f) tietojen
siirtäminen kolmansiin maihin tai kansainvälisille järjestöille; g) mekanismit,
joiden avulla seurataan ja varmistetaan, että rekisterinpitäjät noudattavat
niitä koskevia käytännesääntöjä; h) tuomioistuinten
ulkopuoliset ja muut riidanratkaisumenettelyt henkilötietojen käsittelyä
koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen
välillä, 73–75 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta. 2. Yhdistykset ja muut elimet,
jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri
ryhmiä jossakin jäsenvaltiossa ja jotka aikovat laatia käytännesääntöjä tai
muuttaa tai laajentaa voimassa olevia käytännesääntöjä, voivat esittää ne
kyseisen jäsenvaltion valvontaviranomaiselle lausunnon saamista varten.
Valvontaviranomainen voi antaa lausunnon siitä, onko käytännesääntöjen luonnos
tai muutos tämän asetuksen mukainen. Valvontaviranomaisen on pyydettävä
tällaisista luonnoksista rekisteröityjen tai näiden edustajien näkemyksiä. 3. Yhdistykset ja muut elimet,
jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri
ryhmiä useissa jäsenvaltioissa, voivat esittää käytännesääntöjen luonnokset tai
voimassa olevien käytännesääntöjen tarkistus- tai laajennusehdotukset
komissiolle. 4. Komissio voi antaa
täytäntöönpanosäädöksiä, joissa se toteaa, että sille 3 kohdan nojalla esitetyt
käytännesäännöt tai voimassa olevien käytännesääntöjen tarkistukset tai
laajennukset ovat yleisesti päteviä unionissa. Nämä
täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua
tarkastelumenettelyä noudattaen. 5. Komissio huolehtii niiden
käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut
yleisesti päteviksi 4 kohdan mukaisesti. 39 artikla
Sertifiointi 1. Jäsenvaltiot ja komissio
edistävät tietosuojaa koskevien sertifiointimekanismien sekä
tietosuojasinettien ja ‑merkkien käyttöönottoa erityisesti unionin tasolla,
jotta rekisteröidyt voivat nopeasti arvioida rekisterinpitäjien ja
henkilötietojen käsittelijöiden tarjoaman tietosuojan tasoa. Nämä tietosuojaa
koskevat sertifiointimekanismit edistävät tämän asetuksen asianmukaista
soveltamista, tietojenkäsittelyn eri sektorien ja erilaisten käsittelytoimien
erityispiirteet huomioon ottaen. 2. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdassa tarkoitettuja tietosuojaa koskevia sertifiointimekanismeja
koskevat kriteerit ja vaatimukset, mukaan lukien niiden myöntämistä ja
peruuttamista koskevat edellytykset sekä vaatimukset niiden tunnustamiseksi
unionissa ja kolmansissa maissa. 3. Komissio voi vahvistaa
tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja ‑merkkejä
varten ja menettelyt niiden edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2
kohdassa tarkoitettua tarkastelumenettelyä noudattaen. V LUKU
HENKILÖTIETOJEN SIIRTO KOLMANSIIN MAIHIN TAI KANSAINVÄLISILLE JÄRJESTÖILLE 40 artikla
Siirtoja koskeva yleinen periaate Sellaisten henkilötietojen siirto, joita
käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai
kansainväliselle järjestölle siirtämisen jälkeen, voidaan toteuttaa vain jos
rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa
vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta
johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä
kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan
tai toiselle kansainväliselle järjestölle. 41 artikla
Siirto tietosuojan tason riittävyyttä koskevan päätöksen perusteella 1. Siirto voidaan toteuttaa, jos
komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai
tietojenkäsittelyn sektori tai kyseinen kansainvälinen järjestö tarjoaa
riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erillistä lupaa. 2. Arvioidessaan tietosuojan
riittävyyttä komissio ottaa huomioon seuraavat seikat: a) oikeusvaltioperiaate, voimassa oleva
yleinen ja alakohtainen lainsäädäntö, joka koskee muun muassa yleistä
turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä
ammatillisia sääntöjä ja suojatoimia, joita kyseisessä maassa tai
kansainvälisessä järjestössä noudatetaan, sekä tehokkaat ja
täytäntöönpanokelpoiset oikeudet, kuten tehokkaat hallinnolliset ja
oikeudelliset muutoksenhakukeinot rekisteröityjä ja erityisesti niitä unionin
alueella asuvia rekisteröityjä varten, joiden tietoja siirretään; b) se, onko kyseisessä kolmannessa maassa
tai kansainvälisessä järjestössä vähintään yksi tehokkaasti toimiva riippumaton
valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisesta, tarjoaa
rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tekee yhteistyötä
EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; ja c) kyseisen kolmannen maan tai
kansainvälisen järjestön tekemät kansainväliset sitoumukset. 3. Komissio voi päättää, että
kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai
kansainvälinen järjestö tarjoaa 2 kohdassa tarkoitetun riittävän
tietosuojan tason. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2
kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 4. Täytäntöönpanosäädöksessä
määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja
mahdollisuuksien mukaan nimetään 2 kohdan b alakohdassa tarkoitettu
valvontaviranomainen. 5. Komissio voi päättää, että
kolmas maa tai kolmannen maan alue tai tietojenkäsittelyn sektori tai
kansainvälinen järjestö ei tarjoa tämän artiklan 2 kohdassa tarkoitettua
riittävää tietosuojan tasoa, varsinkin jos kolmannen maan tai kansainvälisen
järjestön yleisessä ja alakohtaisessa lainsäädännössä ei taata rekisteröidyille
ja erityisesti niille unionin alueella asuville rekisteröidyille, joiden
tietoja siirretään, tehokkaita ja täytäntöönpanokelpoisia oikeuksia, tehokkaat
hallinnolliset ja oikeudelliset muutoksenhakukeinot mukaan lukien. Nämä
täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa
tarkoitettua tarkastelumenettelyä noudattaen tai, jos yksilön oikeus
henkilötietojen suojaan sitä kiireellisesti edellyttää, 87 artiklan
3 kohdassa tarkoitettua menettelyä noudattaen. 6. Jos komissio päättää
5 kohdan nojalla kieltää kaikki henkilötietojen siirrot kolmanteen maahan
tai kyseisen kolmannen maan alueelle tai tietojenkäsittelyn sektorille tai
kansainväliselle järjestölle, tämä päätös ei rajoita 42–44 artiklan
soveltamista. Komissio aloittaa sopivalla hetkellä neuvottelut kolmannen maan
tai kansainvälisen järjestön kanssa 5 kohdan mukaisesti tehdystä
päätöksestä aiheutuneen tilanteen korjaamiseksi. 7. Komissio julkaisee Euroopan
unionin virallisessa lehdessä luettelon niistä kolmansista maista,
kolmannen maan alueista ja tietojenkäsittelyn sektoreista sekä kansainvälisistä
järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei
ole riittävä. 8. Päätökset, jotka komissio on
tehnyt direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan
nojalla, pysyvät voimassa, kunnes komissio muuttaa niitä tai korvaa tai kumoaa
ne. 42 artikla
Siirto asianmukaisten takeiden perusteella 1. Jos komissio ei ole tehnyt
päätöstä 41 artiklan nojalla, rekisterinpitäjä tai henkilötietojen käsittelijä
voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle
vain jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on antanut
oikeudellisesti sitovassa välineessä asianmukaiset takeet, joilla varmistetaan
henkilötietojen suoja. 2. Edellä 1 kohdassa
tarkoitettuja asianmukaisia takeita ovat erityisesti seuraavat: a) 43 artiklassa tarkoitetut yritystä
koskevat sitovat säännöt; tai b) komission hyväksymät tietosuojaa koskevat
vakiolausekkeet; nämä täytäntöönpanosäännökset hyväksytään 87 artiklan 2
kohdassa tarkoitettua tarkastelumenettelyä noudattaen; tai c) tietosuojaa koskevat vakiolausekkeet,
jotka tietosuojaviranomainen vahvistaa 57 artiklassa tarkoitetun
yhdenmukaisuusmekanismin mukaisesti, jos komissio toteaa ne 62 artiklan 1 kohdan
b alakohdan nojalla yleisesti päteviksi; tai d) rekisterinpitäjän tai henkilötietojen
käsittelijän ja tietojen vastaanottajan väliset sopimuslausekkeet, jotka
valvontaviranomainen on vahvistanut 4 kohdan mukaisesti. 3. Siirrot, jotka perustuvat
tietosuojaa koskeviin vakiolausekkeisiin tai 2 kohdan a–c alakohdassa
tarkoitettuihin yritystä koskeviin sitoviin sääntöihin, eivät tarvitse muuta
hyväksyntää. 4. Jos siirto perustuu tämän
artiklan 2 kohdan d alakohdassa tarkoitettuihin sopimuslausekkeisiin, rekisterinpitäjän
tai henkilötietojen käsittelijän on saatava sopimuslausekkeille
valvontaviranomaisen ennakkohyväksyntä 34 artiklan 1 kohdan mukaisesti. Jos
siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa jäsenvaltiossa tai
toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos toimet voivat
merkittävästi haitata henkilötietojen vapaata liikkuvuutta unionissa,
valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua
yhdenmukaisuusmekanismia. 5. Jos henkilötietojen suojaa
koskevia asianmukaisia takeita ei anneta oikeudellisesti sitovassa välineessä,
rekisterinpitäjän tai henkilötietojen käsittelijän on saatava ennakkohyväksyntä
siirrolle tai siirtojen sarjalle tai säännöksille, jotka sisällytetään
tällaisen siirron perusteet muodostaviin hallinnollisiin järjestelyihin.
Valvontaviranomainen antaa tämän ennakkohyväksynnän 34 artiklan 1 kohdan
mukaisesti. Jos siirto liittyy käsittelytoimiin, jotka kohdistuvat toisessa
jäsenvaltiossa tai toisissa jäsenvaltioissa asuviin rekisteröityihin, tai jos
toimet voivat merkittävästi haitata henkilötietojen vapaata liikkuvuutta
unionissa, valvontaviranomaisen on sovellettava 57 artiklassa tarkoitettua
yhdenmukaisuusmekanismia. Ennakkohyväksynnät, jotka valvontaviranomainen on
antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa,
kunnes valvontaviranomainen muuttaa niitä tai korvaa tai kumoaa ne. 43 artikla
Siirto yritystä koskevien sitovien sääntöjen perusteella 1. Valvontaviranomainen
vahvistaa yrityksiä koskevat sitovat säännöt 58 artiklassa säädetyn
yhdenmukaisuusmekanismin mukaisesti, jos a) säännöt ovat oikeudellisesti sitovat ja
niitä sovelletaan kaikkiin rekisterinpitäjän tai henkilötietojen käsittelijän
yritysryhmän jäseniin, niiden työntekijät mukaan lukien, ja kaikki nämä yksiköt
myös panevat säännöt täytäntöön; b) säännöissä nimenomaisesti annetaan
rekisteröidyille täytäntöönpanokelpoisia oikeuksia; c) säännöt täyttävät 2 kohdassa säädetyt
vaatimukset. 2. Yritystä koskevissa sitovissa
säännöissä on täsmennettävä vähintään seuraavat seikat: a) yritysryhmän ja sen jäsenten rakenne ja
yhteystiedot; b) tiedonsiirrot tai tiedonsiirtojen sarjat,
henkilötietojen ryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn
tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto
siitä, mistä kolmannesta maasta tai kolmansista maista on kyse; c) sääntöjen oikeudellinen sitovuus sekä
unionin sisällä että sen ulkopuolella; d) yleiset tietosuojaperiaatteet,
erityisesti käsittelytarkoituksen rajoittaminen, tietojen laatu, käsittelyn
oikeusperusta, arkaluonteisten henkilötietojen käsittely; toimenpiteet
tietoturvan varmistamiseksi; ja vaatimukset tietojen siirtämiseksi edelleen
järjestöille, joita nämä menettelyt eivät sido; e) rekisteröityjen oikeudet ja keinot käyttää
niitä, mukaan lukien oikeus olla joutumatta 20 artiklassa tarkoitetun
profilointiin perustuvan toimenpiteen kohteeksi, oikeus tehdä valitus
toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin
jäsenvaltioiden toimivaltaisissa tuomioistuimissa 75 artiklan mukaisesti sekä
oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien
sitovien sääntöjen rikkomisen vuoksi; f) jäsenvaltion alueelle sijoittautuneen
rekisterinpitäjän tai henkilötietojen käsittelijän on sitouduttava kantamaan
vastuu siitä, että jokin yritysryhmän jäsen, joka ei ole sijoittautunut unionin
alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai
henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai
kokonaan vain jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa,
ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta; g) se, miten yritystä koskevista sitovista
säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä
ilmoitetaan rekisteröidyille 11 artiklan mukaisesti; h) edellä olevan
35 artiklan mukaisesti nimitetyn tietosuojavastaavan tehtävät, mukaan lukien
yritystä koskevien sitovien sääntöjen noudattamisen valvonta yritysryhmässä,
sekä koulutuksen ja valitusten käsittelyn seuranta; i) mekanismit, joiden avulla yritysryhmässä
pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen
tarkistetaan; j) mekanismit toimintamenetelmiin
tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä
valvontaviranomaiselle ilmoittamista varten; k) yhteistyömenettely valvontaviranomaisen
kanssa sen varmistamiseksi, että kaikki yritysryhmän jäsenet noudattavat
sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön tämän kohdan
i alakohdassa tarkoitettujen toimenpiteiden tarkistamisen tulokset. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin tässä artiklassa tarkoitettuja yritystä koskevia sitovia sääntöjä koskevat
kriteerit ja vaatimukset, erityisesti kriteerit niiden hyväksymiselle ja 2
kohdan b, d, e ja f alakohdan soveltamiselle henkilötietojen käsittelijöiden
noudattamiin yritystä koskeviin sitoviin sääntöihin sekä muut tarvittavat
vaatimukset asianomaisille rekisteröidyille kuuluvien henkilötietojen suojan
varmistamiseksi. 4. Komissio voi vahvistaa muodon
ja menettelyt rekisterinpitäjien, henkilötietojen käsittelijöiden ja
valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä
koskevista sitovista säännöistä sähköisin keinoin käytävää tietojenvaihtoa
varten. Nämä täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa
tarkoitettua tarkastelumenettelyä noudattaen. 44 artikla
Poikkeukset 1. Jos 41 artiklan nojalla ei
ole tehty tietosuojan tason riittävyyttä koskevaa päätöstä tai 42 artiklassa
tarkoitettuja asianmukaisia takeita ei ole annettu, henkilötietojen siirto tai
siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan
suorittaa vain sillä edellytyksellä, että a) rekisteröity on suostunut ehdotettuun
siirtoon sen jälkeen, kun hänelle on ilmoitettu riskeistä, joita tällaisiin
siirtoihin liittyy tietosuojan tason riittävyyttä koskevan päätöksen ja
asianmukaisten takeiden puuttumisen vuoksi; tai b) siirto on tarpeen rekisteröidyn ja
rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta
edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; tai c) siirto on tarpeen rekisterinpitäjän ja
toisen luonnollisen tai oikeushenkilön välisen sopimuksen tekemiseksi tai
täytäntöönpanemiseksi rekisteröidyn edun mukaisesti; tai d) siirto on tarpeen yleistä etua koskevan
tärkeän syyn vuoksi; tai e) siirto on tarpeen oikeusvaateen
laatimiseksi, esittämiseksi tai puolustamiseksi; tai f) siirto on tarpeen rekisteröidyn tai
toisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on
fyysisesti tai juridisesti estynyt antamasta suostumustaan; tai g) siirto tehdään julkisesta rekisteristä,
joka on unionin tai jäsenvaltion lainsäädännön mukaisesti yleisön käytettävissä
tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää
tiedonsaannille perustellun syyn, siltä osin kuin rekisterin käytettävissä
olemisen edellytykset, joista säädetään unionin tai jäsenvaltion
lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa; tai h) siirto on tarpeen sellaisten
rekisterinpitäjän tai henkilötietojen käsittelijän oikeutettujen etujen
toteuttamiseksi, joita ei voida pitää toistuvina tai laajamittaisina, kun
rekisterinpitäjä tai henkilötietojen käsittelijä on arvioinut kaikkia tiettyyn
tiedonsiirtoon tai siirtojen sarjaan liittyviä olosuhteita ja on tämän
arvioinnin pohjalta tarvittaessa antanut henkilötietojen suojaa koskevat
asianmukaiset takeet. 2. Edellä olevan 1 kohdan g
alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja
kokonaisuudessaan eikä kokonaisia henkilötietojen ryhmiä. Jos rekisteri on
tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu,
siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat
henkilötietojen vastaanottajia. 3. Jos käsittely perustuu 1
kohdan h alakohtaan, rekisterinpitäjän tai henkilötietojen käsittelijän on
kiinnitettävä erityistä huomiota tietojen luonteeseen sekä ehdotetun
käsittelytoimen tai ehdotettujen käsittelytoimien tarkoitukseen ja kestoon sekä
tilanteeseen tietojen alkuperämaassa, kolmannessa maassa ja lopullisessa
kohdemaassa, ja annettava tarvittaessa henkilötietojen suojaa koskevat
asianmukaiset takeet. 4. Edellä olevan 1 kohdan b, c
ja h alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana
julkisen vallan käyttöä. 5. Edellä 1 kohdan d alakohdassa
tarkoitettu yleinen etu on tunnustettava unionin lainsäädännössä tai sen
jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan. 6. Rekisterinpitäjän tai
henkilötietojen käsittelijän on tallennettava sekä arviointi että tämän
artiklan 1 kohdan h alakohdassa tarkoitetut asianmukaiset takeet 28 artiklassa
tarkoitettuihin asiakirjoihin ja ilmoitettava siirrosta valvontaviranomaiselle.
7. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdan d alakohdassa tarkoitetut tärkeät julkista etua koskevat
syyt sekä 1 kohdan h alakohdassa tarkoitettuja asianmukaisia takeita koskevat
kriteerit ja vaatimukset. 45 artikla
Kansainvälinen yhteistyö henkilötietojen suojaamiseksi 1. Komission ja
valvontaviranomaisten on toteutettava kolmansien maiden ja kansainvälisten
järjestöjen suhteen asianmukaiset toimet, joilla: a) kehitetään tehokkaita kansainvälisiä
yhteistyökeinoja, joilla edistetään henkilötietojen suojaamista koskevan
lainsäädännön täytäntöönpanoa; b) tarjotaan keskinäistä kansainvälistä apua
henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi
ilmoittamalla tapauksista, siirtämällä valituksia, antamalla tutkinta-apua ja
vaihtamalla tietoja, edellyttäen että on annettu asianmukaiset takeet, jotka
koskevat henkilötietojen suojaa ja muita perusoikeuksia ja ‑vapauksia; c) saadaan keskeiset sidosryhmät mukaan
keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä
henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa; d) edistetään henkilötietojen suojaa
koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia. 2. Komissio toteuttaa 1 artiklan
soveltamista varten asianmukaiset toimet edistääkseen suhteita kolmansiin
maihin tai kansainvälisiin järjestöihin ja erityisesti niiden
valvontaviranomaisiin, jos komissio on päättänyt, että ne tarjoavat 41 artiklan
3 kohdassa tarkoitetun riittävän tasoisen tietosuojan. VI LUKU
RIIPPUMATTOMAT VALVONTAVIRANOMAISET 1 JAKSO
RIIPPUMATON ASEMA 46 artikla
Valvontaviranomainen 1. Jäsenvaltioiden on
säädettävä, että yhden tai useamman viranomaisen on seurattava tämän asetuksen
soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa
luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojaamiseksi
henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden
varmistamiseksi unionissa. Näitä tarkoituksia varten valvontaviranomaisten
olisi tehtävä yhteistyötä keskenään ja komission kanssa. 2. Jos jäsenvaltiossa on useampi
kuin yksi valvontaviranomainen, jäsenvaltion on nimettävä valvontaviranomainen,
joka toimii yhteyspisteenä viranomaisten osallistuessa Euroopan
tietosuojaneuvostoon, ja perustettava mekanismi sen varmistamiseksi, että muut
valvontaviranomaiset noudattavat 57 artiklassa tarkoitettuun
yhdenmukaisuusmekanismiin liittyviä sääntöjä. 3. Jäsenvaltioiden on
toimitettava tämän luvun perusteella antamansa säännökset tiedoksi komissiolle
viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden
mahdolliset myöhemmät muutokset mahdollisimman pian. 47 artikla
Riippumattomuus 1. Valvontaviranomainen hoitaa
tehtäviään ja käyttää sille annettuja valtuuksia täysin riippumattomasti. 2. Valvontaviranomaisen jäsenet
eivät tehtäviään hoitaessaan pyydä eivätkä ota ohjeita miltään taholta. 3. Valvontaviranomaisen jäsenten
on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä
hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta
palkallista tai palkatonta ammattitoimintaa. 4. Valvontaviranomaisen jäsenten
on toimikautensa päättymisen jälkeen osoitettava kunniallisuutta ja
arvostelukykyä nimitysten ja etujen vastaanottamisessa. 5. Jäsenvaltioiden on
varmistettava, että valvontaviranomaiselle osoitetaan riittävät tekniset,
taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen
tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan
lukien tehtävät, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja
osallistumiseen Euroopan tietosuojaneuvoston toimintaan. 6. Jäsenvaltioiden on
varmistettava, että valvontaviranomaisella on oma henkilöstö, jonka nimittämisestä
ja valvonnasta vastaa valvontaviranomaisen päällikkö. 7. Jäsenvaltioiden on
varmistettava, että valvontaviranomaiseen sovelletaan varainhoidon valvontaa,
joka ei vaikuta sen riippumattomuuteen. Jäsenvaltioiden on varmistettava, että
valvontaviranomaisella on erillinen vuotuinen talousarvio. Talousarvio on
julkistettava. 48 artikla
Valvontaviranomaisen jäseniä koskevat yleiset edellytykset 1. Jäsenvaltioiden on
säädettävä, että valvontaviranomaisen jäsenet nimittää joko jäsenvaltion
parlamentti tai hallitus. 2. Jäsenet valitaan sellaisten
henkilöiden joukosta, joiden riippumattomuudesta ei ole epäilystä ja joilla on
yleisesti tunnustettu kokemus ja pätevyys erityisesti henkilötietojen suojaa
koskevien tehtävien hoitamiseen. 3. Jäsenen tehtävät päättyvät
toimikauden päättyessä tai kun hän eroaa tai kun hänet erotetaan 5 kohdan
mukaisesti. 4. Kansallinen tuomioistuin voi
erottaa jäsenen tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin
etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä
edellyttävät, tai jos hän on syyllistynyt vakavaan virheeseen. 5. Kun toimikausi päättyy tai
jäsen eroaa tehtävästään, hän jatkaa kuitenkin tehtävässään, kunnes uusi jäsen
on nimitetty. 49 artikla
Valvontaviranomaisen perustamista koskevat säännöt Jäsenvaltioiden on säädettävä laissa tässä
asetuksessa asetetuissa rajoissa a) valvontaviranomaisen perustamisesta ja
asemasta; b) valvontaviranomaisen jäsenten tehtävien
hoitamiseen tarvittavasta pätevyydestä, kokemuksesta ja ammattitaidosta; c) valvontaviranomaisen jäsenten
nimittämiseen sovellettavista säännöistä ja menettelyistä sekä tehtävien
hoitamisen kanssa yhteensopimatonta toimintaa tai ammattia koskevista
säännöistä; d) valvontaviranomaisen jäsenten toimikauden
kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä
nimitystä tämän asetuksen voimaantulon jälkeen, jolloin osa jäsenistä voidaan
nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen
riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla; e) siitä, voidaanko valvontaviranomaisen
jäsenet nimetä uudeksi toimikaudeksi; f) valvontaviranomaisen jäsenten ja
henkilöstön tehtäviä koskevista säännöistä ja yhteisistä edellytyksistä; g) valvontaviranomaisen jäsenten tehtävien
päättymistä koskevista säännöistä ja menettelyistä, mukaan lukien tapaukset,
joissa jäsen ei enää täytä tehtävien suorittamiseen tarvittavia edellytyksiä
tai on syyllistynyt vakavaan virheeseen. 50 artikla
Vaitiolovelvollisuus Valvontaviranomaisen jäsenillä ja
henkilöstöllä on sekä toimikautensa aikana että sen jälkeen velvollisuus pitää
salassa kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa
heidän tehtäviensä suorittamisen yhteydessä. 2 JAKSO
TOIMIVALTA JA TEHTÄVÄT 51 artikla
Toimivalta 1. Jokainen valvontaviranomainen
käyttää sille tämän asetuksen mukaisesti annettua toimivaltaa oman
jäsenvaltionsa alueella. 2. Jos henkilötietojen käsittely
suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen
käsittelijän toimipaikassa, ja kyseinen rekisterinpitäjä tai henkilötietojen
käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon,
rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan
valvontaviranomaisella on toimivalta valvoa rekisterinpitäjän tai
henkilötietojen käsittelijän käsittelytoimintaa kaikissa jäsenvaltioissa, tämän
asetuksen VII luvun säännösten soveltamista kuitenkaan rajoittamatta. 3. Valvontaviranomaisella ei ole
toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat
lainkäyttötehtäviensä yhteydessä. 52 artikla
Tehtävät 1. Valvontaviranomainen a) valvoo tämän asetuksen soveltamista ja
varmistaa sen; b) käsittelee rekisteröidyn tai tätä
73 artiklan mukaisesti edustavan yhdistyksen tekemiä valituksia, tutkii
mahdollisuuksien mukaan asiaa ja ilmoittaa rekisteröidylle tai yhdistykselle
asian etenemisestä sekä valitusta koskevasta ratkaisustaan kohtuullisen ajan
kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia
toisen valvontaviranomaisen kanssa; c) jakaa tietoa ja tarjoaa keskinäistä apua
muille valvontaviranomaisille ja varmistaa tämän asetuksen johdonmukaisen
soveltamisen täytäntöönpanon; d) suorittaa tutkimuksia omasta
aloitteestaan tai valituksen perusteella tai toisen valvontaviranomaisen
pyynnöstä ja, jos rekisteröity on tehnyt valituksen tälle
valvontaviranomaiselle, ilmoittaa rekisteröidylle tutkimusten tuloksesta
kohtuullisen ajan kuluessa; e) seuraa erityisesti tieto- ja
viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä, siltä osin
kuin sillä on vaikutusta henkilötietojen suojaan; f) esittää jäsenvaltioiden toimielimille ja
elimille näkemyksiään yksilön oikeuksien ja vapauksien suojelua henkilötietojen
käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista
toimenpiteistä; g) hyväksyy 34 artiklassa tarkoitetut
käsittelytoimet ja antaa niistä lausuntoja; h) antaa lausunnon käytännesääntöjen
luonnoksista 38 artiklan 2 kohdan mukaisesti; i) hyväksyy yritystä koskevat sitovat
säännöt 43 artiklan mukaisesti; j) osallistuu Euroopan tietosuojaneuvoston
toimintaan. 2. Kaikkien
valvontaviranomaisten on edistettävä henkilötietojen käsittelyyn liittyvistä
riskeistä, säännöistä, takeista ja oikeuksista tiedottamista kansalaisille.
Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin. 3. Valvontaviranomaisen on
pyynnöstä autettava rekisteröityä käyttämään tässä asetuksessa vahvistettuja
oikeuksia ja tarvittaessa tehtävä tätä varten yhteistyötä muiden
jäsenvaltioiden valvontaviranomaisten kanssa. 4. Kun on kyse 1 kohdan
b alakohdassa tarkoitetuista valituksista, valvontaviranomaisen on
toimitettava valituslomake, joka voidaan täyttää sähköisesti, muita mahdollisia
viestintäkeinoja pois sulkematta. 5. Valvontaviranomaisen
tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle. 6. Jos pyynnöt ovat ilmeisen
kohtuuttomia erityisesti toistuvuutensa takia, valvontaviranomainen voi periä
maksun pyydetyn toimen suorittamisesta tai jättää pyydetyn toimen
suorittamatta. Valvontaviranomaisen on todistettava pyynnön kohtuuttomuus. 53 artikla
Valtuudet 1. Jokaisella
valvontaviranomaisella on valtuudet: a) ilmoittaa rekisterinpitäjälle tai
henkilötietojen käsittelijälle henkilötietojen käsittelyä koskevien sääntöjen
väitetystä rikkomisesta ja tarvittaessa määrätä rekisterinpitäjä tai
henkilötietojen käsittelijä korjaamaan tämä rikkominen määrätyllä tavalla
rekisteröidyn suojelun parantamiseksi; b) määrätä rekisterinpitäjä tai
henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat
tähän asetukseen perustuvien oikeuksien käyttöä; c) määrätä rekisterinpitäjä ja
henkilötietojen käsittelijä ja tarvittaessa näiden edustaja antamaan
tehtäviensä suorittamiseen liittyvät tarvittavat tiedot; d) varmistaa 34 artiklassa tarkoitetun
ennakkohyväksynnän ja ennakkokuulemisen noudattaminen; e) antaa rekisterinpitäjälle tai
henkilötietojen käsittelijälle varoitus tai huomautus; f) määrätä sellaisten tietojen
oikaisemisesta, poistamisesta tai tuhoamisesta, joita on käsitelty tämän
asetuksen säännösten vastaisesti, sekä näistä toimenpiteistä ilmoittamisesta
niille kolmansille osapuolille, joille tietoja on luovutettu; g) kieltää käsittely väliaikaisesti tai
lopullisesti; h) keskeyttää tiedonsiirrot kolmannessa
maassa olevalle vastaanottajalle tai kansainväliselle järjestölle; i) antaa lausuntoja kaikista
henkilötietojen suojaan liittyvistä kysymyksistä; j) tiedottaa kansalliselle parlamentille,
hallitukselle tai muille poliittisille elimille sekä yleisölle kaikista
henkilötietojen suojaan liittyvistä kysymyksistä. 2. Jokaisella
valvontaviranomaisella on tutkintavaltuudet saada rekisterinpitäjältä tai
henkilötietojen käsittelijältä: a) pääsy kaikkiin henkilötietoihin ja
kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten; b) pääsy kaikkiin sen tiloihin,
tietojenkäsittelylaitteet ja ‑keinot mukaan lukien, jos on kohtuulliset
perusteet olettaa, että siellä suoritetaan tämän asetuksen vastaista toimintaa. Edellä b alakohdassa tarkoitettuja valtuuksia on
käytettävä unionin ja jäsenvaltion lainsäädännön mukaisesti. 3. Jokaisella
valvontaviranomaisella on valtuudet saattaa tämän asetuksen vastaiset toimet
lainkäyttöviranomaisten tietoon ja käynnistää oikeustoimet, erityisesti 74
artiklan 4 kohdan ja 75 artiklan 2 kohdan mukaisesti. 4. Jokaisella
valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia,
erityisesti 79 artiklan 4–6 kohdassa tarkoitettuja seuraamuksia. 54 artikla
Toimintakertomus Jokaisen valvontaviranomaisen on laadittava
vuosittain toimintakertomus. Kertomus esitetään kansalliselle parlamentille ja
toimitetaan yleisön, komission ja Euroopan tietosuojaneuvoston saataville. VII LUKU YHTEISTYÖ JA YHDENMUKAISUUS 1 jakso
Yhteistyö 55 artikla
Keskinäinen avunanto 1. Valvontaviranomaisten on
annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen
johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava
toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on
katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää
ja ‑kuulemista sekä tarkastusten toteuttamista koskevat pyynnöt, sekä nopea
tiedottaminen tutkimusten aloittamisesta ja niiden etenemisestä, jos
käsittelytoimet todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin
rekisteröityihin. 2. Valvontaviranomaisten on
toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen
valvontaviranomaisen esittämään pyyntöön viipymättä ja viimeistään kuukauden
kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voivat kuulua
erityisesti tietojen välittäminen vireillä olevasta tutkimuksesta tai
täytäntöönpanotoimista tämän asetuksen vastaisten käsittelytoimien
keskeyttämistä tai kieltämistä varten. 3. Avunantopyynnössä on
esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja syy
sen esittämiseen. Tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota
varten niitä on pyydetty. 4. Valvontaviranomainen, jolle
avunantopyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain jos a) sillä ei ole pyynnön edellyttämää
toimivaltaa; tai b) pyynnön noudattaminen olisi ristiriidassa
tämän asetuksen säännösten kanssa. 5. Pyynnön vastaanottanut
valvontaviranomainen ilmoittaa pyynnön esittäneelle valvontaviranomaiselle
asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyynnön täyttämiseksi
toteutetuista toimenpiteistä. 6. Valvontaviranomaisten on
toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisessä muodossa
ja mahdollisimman nopeasti, vakiolomaketta käyttäen. 7. Keskinäistä avunantoa
koskevien pyyntöjen perusteella toteutettavista toimista ei peritä maksua. 8. Jos valvontaviranomainen ei
vastaa toisen valvontaviranomaisen esittämään pyyntöön kuukauden kuluessa,
pyynnön esittävällä valvontaviranomaisella on toimivalta toteuttaa väliaikainen
toimenpide oman jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti, ja sen
on esitettävä asia Euroopan tietosuojaneuvostolle 57 artiklassa tarkoitetun
menettelyn mukaisesti. 9. Valvontaviranomaisen on
täsmennettävä tällaisen väliaikaisen toimenpiteen voimassaoloaika. Tämä
voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on
annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä
tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle. 10. Komissio voi vahvistaa tässä
artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt
sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja
Euroopan tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa
varten, erityisesti 6 kohdassa tarkoitetun vakiolomakkeen. Nämä
täytäntöönpanosäädökset hyväksytään 87 artiklan 2 kohdassa tarkoitettua
tarkastelumenettelyä noudattaen. 56 artikla
Valvontaviranomaisten yhteiset operaatiot 1. Yhteistyön ja keskinäisen
avunannon tehostamiseksi valvontaviranomaisten on toteutettava yhteisiä
tutkintatehtäviä, yhteisiä täytäntöönpanotoimenpiteitä ja muita yhteisiä
operaatioita, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten
nimitettyjä jäseniä tai muuta henkilöstöä. 2. Jos käsittelytoimet
todennäköisesti vaikuttavat useissa eri jäsenvaltioissa asuviin
rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on
oikeus osallistua yhteisiin tutkintatehtäviin tai yhteisiin operaatioihin.
Toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion
valvontaviranomaisen osallistumaan yhteisiin tutkintatehtäviin tai yhteisiin
operaatioihin ja vastaa operaatioihin osallistumista koskeviin
valvontaviranomaisten pyyntöihin viipymättä. 3. Jokainen valvontaviranomainen
voi johtavana valvontaviranomaisena toimiessaan oman kansallisen
lainsäädäntönsä mukaisesti ja avustavan valvontaviranomaisen hyväksynnän
perusteella luovuttaa täytäntöönpanovaltuuksia, kuten tutkintatehtäviä,
yhteisiin operaatioihin osallistuvan avustavan valvontaviranomaisen jäsenelle
tai henkilöstölle, tai siltä osin kuin se on mahdollista johtavan
valvontaviranomaisen lainsäädännön puitteissa, sallia avustavan
valvontaviranomaisen jäsenten tai henkilöstön käyttää täytäntöönpanovaltuuksiaan
avustavan valvontaviranomaisen lainsäädännön mukaisesti. Näitä
täytäntöönpanovaltuuksia voidaan käyttää ainoastaan johtavan
valvontaviranomaisen jäsenten tai henkilöstön johdolla ja pääsääntöisesti
heidän läsnä ollessaan. Avustavan valvontaviranomaisen jäseniin tai
henkilöstöön sovelletaan johtavan valvontaviranomaisen kansallista
lainsäädäntöä. Johtava valvontaviranomainen on vastuussa heidän toimistaan. 4. Valvontaviranomaisten on
vahvistettava erityisiä yhteistyötoimia koskevat käytännön järjestelyt. 5. Jos valvontaviranomainen ei
noudata 2 kohdassa säädettyä velvollisuutta kuukauden kuluessa, muilla
valvontaviranomaisilla on toimivalta toteuttaa väliaikainen toimenpide oman
jäsenvaltionsa alueella 51 artiklan 1 kohdan mukaisesti. 6. Valvontaviranomaisen on
täsmennettävä 5 kohdassa tarkoitetun väliaikaisen toimenpiteen voimassaoloaika.
Tämä voimassaoloaika saa olla enintään kolme kuukautta. Valvontaviranomaisen on
annettava tällaiset toimenpiteet ja niiden täydelliset perustelut viipymättä tiedoksi
Euroopan tietosuojaneuvostolle ja komissiolle ja toimitettava asia
käsiteltäväksi 57 artiklassa tarkoitetussa mekanismissa. 2 jakso
Yhdenmukaisuus 57 artikla
Yhdenmukaisuusmekanismi Valvontaviranomaisten on tehtävä yhteistyötä
keskenään ja komission kanssa tässä jaksossa perustettavan
yhdenmukaisuusmekanismin välityksellä 46 artiklan 1 kohdassa esitettyjä
tarkoituksia varten. 58 artikla
Euroopan tietosuojaneuvoston lausunto 1. Ennen kuin
valvontaviranomainen hyväksyy 2 kohdassa tarkoitetun toimenpiteen, sen on
annettava toimenpideluonnos tiedoksi Euroopan tietosuojaneuvostolle ja
komissiolle. 2. Edellä 1 kohdassa säädettyä
velvollisuutta sovelletaan toimenpiteisiin, joiden tarkoituksena on tuottaa
oikeusvaikutuksia ja a) jotka koskevat käsittelytoimia, jotka
liittyvät tavaroiden tai palvelujen tarjoamiseen eri jäsenvaltioissa asuville
rekisteröidyille tai näiden käyttäytymisen seuraamiseen; tai b) jotka saattavat merkittävästi haitata
henkilötietojen vapaata liikkuvuutta unionissa; tai c) joiden tarkoituksena on hyväksyä luettelo
käsittelytoimista, jotka edellyttävät 34 artiklan 5 kohdassa tarkoitettua
ennakkokuulemista; tai d) joiden tarkoituksena on 42 artiklan 2
kohdan c alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden
määrittäminen; tai e) joiden tarkoituksena on 42 artiklan 2
kohdan d alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai f) joiden tarkoituksena on 43 artiklassa
tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen. 3. Jokainen valvontaviranomainen
tai Euroopan tietosuojaneuvosto voi pyytää minkä tahansa asian käsittelyä
yhdenmukaisuusmekanismissa, etenkin jos valvontaviranomainen ei toimita 2
kohdassa tarkoitettua toimenpideluonnosta tai ei noudata keskinäistä avunantoa
koskevia velvollisuuksia 55 artiklan mukaisesti tai yhteisiä operaatioita
koskevia velvollisuuksia 56 artiklan mukaisesti. 4. Komissio voi pyytää minkä
tahansa asian käsittelyä yhdenmukaisuusmekanismissa tämän asetuksen
asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi. 5. Valvontaviranomaisten ja
komission on toimitettava sähköisesti kaikki tarvittavat tiedot, tarpeen
vaatiessa esimerkiksi yhteenveto tosiseikoista, toimenpideluonnos sekä
perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, vakiomuodossa.
6. Euroopan tietosuojaneuvoston
puheenjohtajan on ilmoitettava Euroopan tietosuojaneuvoston jäsenille ja
komissiolle välittömästi sähköisesti kaikista sille toimitetuista asiaa
koskevista tiedoista vakiolomaketta käyttäen. Euroopan tietosuojaneuvoston
puheenjohtaja toimittaa tarvittaessa myös käännöksen näistä tiedoista. 7. Euroopan tietosuojaneuvosto
antaa asiasta lausuntonsa viikon kuluessa siitä, kun asiaa koskevat tiedot on
toimitettu sille 5 kohdan mukaisesti, jos Euroopan tietosuojaneuvosto niin
päättää jäsentensä yksinkertaisella enemmistöllä tai jos joku
valvontaviranomainen tai komissio sitä pyytää. Lausunto on vahvistettava
kuukauden kuluessa Euroopan tietosuojaneuvoston jäsenten yksinkertaisella
enemmistöllä. Euroopan tietosuojaneuvoston puheenjohtaja antaa lausunnon ilman
aiheetonta viivytystä tiedoksi 1 tai 3 kohdassa tarkoitetulle
valvontaviranomaiselle, komissiolle ja 51 artiklan nojalla toimivaltaiselle
valvontaviranomaiselle sekä julkaisee sen. 8. Edellä 1 kohdassa tarkoitettu
valvontaviranomainen ja 51 artiklan nojalla toimivaltainen valvontaviranomainen
ottavat huomioon Euroopan tietosuojaneuvoston lausunnon ja ilmoittavat Euroopan
tietosuojaneuvoston puheenjohtajalle ja komissiolle sähköisesti kahden viikon
kuluessa siitä, kun Euroopan tietosuojaneuvoston puheenjohtaja on antanut
lausunnon tiedoksi, pitäytyvätkö ne toimenpideluonnokseen vai muuttavatko ne
sitä, ja toimittavat näille mahdollisesti muutetun toimenpideluonnoksen
vakiomuodossa. 59 artikla
Komission lausunto 1. Komissio voi antaa tämän
asetuksen asianmukaisen ja yhtenäisen soveltamisen varmistamiseksi lausunnon 58
tai 61 artiklan nojalla esiin nostetuista asioista, kymmenen viikon kuluessa
siitä, kun asia on otettu esiin 58 artiklan mukaisesti, tai kuuden viikon kuluessa
siitä, kun asia on otettu esiin 61 artiklan mukaisesti. 2. Jos komissio on antanut 1
kohdan mukaisen lausunnon, asianomaisen valvontaviranomaisen on otettava
komission lausunto huomioon mahdollisimman suuressa määrin ja ilmoitettava
komissiolle ja Euroopan tietosuojaneuvostolle, aikooko se pitäytyä
toimenpideluonnokseen vai muuttaa sitä. 3. Valvontaviranomainen ei saa
hyväksyä toimenpideluonnosta 1 kohdassa tarkoitetun ajan kuluessa. 4. Jos valvontaviranomainen ei
aio noudattaa komission lausuntoa, sen on ilmoitettava tästä komissiolle ja
Euroopan tietosuojaneuvostolle 1 kohdassa tarkoitetun määräajan kuluessa ja
esitettävä perustelut. Siinä tapauksessa toimenpideluonnoksen hyväksymisestä on
pidättäydyttävä vielä yhden kuukauden ajan. 60 artikla
Toimenpideluonnoksen hyväksymisen keskeyttäminen 1. Jos komissiolla on vakavia
epäilyksiä sen suhteen, takaisiko toimenpideluonnos tämän asetuksen
asianmukaisen soveltamisen vai johtaisiko se päinvastoin asetuksen
epäyhtenäiseen soveltamiseen, se voi kuukauden kuluessa 59 artiklan 4 kohdassa
tarkoitetun ilmoituksen tekemisestä antaa perustellun päätöksen, jossa se
vaatii valvontaviranomaista keskeyttämään toimenpideluonnoksen hyväksymisen,
ottaen huomioon Euroopan tietosuojaneuvoston 58 artiklan 7 kohdan tai 61 artiklan
2 kohdan nojalla antaman lausunnon, jos tämä näyttää olevan tarpeen, jotta
voidaan a) sovittaa yhteen valvontaviranomaisen ja
Euroopan tietosuojaneuvoston eriävät kannat, jos tämä näyttäisi olevan vielä
mahdollista; tai b) hyväksyä toimenpide 62 artiklan 1 kohdan
a alakohdan nojalla. 2. Komissio täsmentää
keskeytyksen keston, joka ei saa olla enempää kuin 12 kuukautta. 3. Valvontaviranomainen ei saa
hyväksyä toimenpideluonnosta 2 kohdassa tarkoitetun ajan kuluessa. 61 artikla
Kiireellinen menettely 1. Poikkeuksellisissa
olosuhteissa, jos valvontaviranomainen katsoo, että on tarpeen toteuttaa
kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi,
valvontaviranomainen voi 58 artiklassa tarkoitetusta menettelystä poiketen
hyväksyä väliaikaisia toimenpiteitä, joiden voimassaoloaika määritetään
erikseen, etenkin jos on olemassa vaara, että jokin vallitsevan tilanteen
muutos voisi merkittävästi haitata jonkin rekisteröidyille kuuluvan oikeuden
täytäntöönpanoa tai huomattavien haittojen ehkäisemiseksi tai muista syistä.
Valvontaviranomaisen on annettava tällaiset toimenpiteet ja niiden täydelliset
perustelut viipymättä tiedoksi Euroopan tietosuojaneuvostolle ja komissiolle. 2. Jos valvontaviranomainen on
toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti
hyväksyttävä lopullisia toimenpiteitä, se voi pyytää Euroopan
tietosuojaneuvostolta kiireellistä lausuntoa esittämällä perustelut tällaisen
lausunnon pyytämiselle ja lopullisten toimenpiteiden kiireellisyydelle. 3. Jokainen valvontaviranomainen
voi pyytää kiireellistä lausuntoa, jos toimivaltainen valvontaviranomainen ei
ole toteuttanut tarvittavia toimenpiteitä tilanteessa, jossa on toteutettava
kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi,
esittämällä perustelut tällaisen lausunnon pyytämiselle ja kiireellisten
toimenpiteiden toteuttamiselle. 4. Tämän artiklan 2 ja 3
kohdassa tarkoitettu kiireellinen lausunto hyväksytään 58 artiklan 7 kohdasta
poiketen kahden viikon kuluessa Euroopan tietosuojaneuvoston jäsenten
yksinkertaisella enemmistöllä. 62 artikla
Täytäntöönpanosäädökset 1. Komissio antaa
täytäntöönpanosäädöksiä, joissa a) säädetään tämän asetuksen asianmukaisesta
soveltamisesta sen tavoitteiden ja vaatimusten mukaisesti ja jotka koskevat
valvontaviranomaisten 58 tai 61 artiklan nojalla ilmoittamia asioita, asiaa
josta on annettu perusteltu päätös 60 artiklan 1 kohdan nojalla, tai asiaa,
jonka osalta valvontaviranomainen ei ole esittänyt toimenpideluonnosta, vaan on
ilmoittanut, ettei aio noudattaa komission 59 artiklan nojalla antamaa
lausuntoa; b) se päättää 59
artiklan 1 kohdassa tarkoitetussa määräajassa 58 artiklan 2 kohdan d
alakohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden yleisestä
pätevyydestä; c) täsmennetään muoto ja menettelyt tässä
jaksossa tarkoitetun yhdenmukaisuusmenettelyn soveltamista varten; d) täsmennetään järjestelyt
valvontaviranomaisten kesken ja valvontaviranomaisten ja Euroopan
tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa
varten ja erityisesti 58 artiklan 5, 6 ja 8 kohdassa tarkoitettu vakiolomake. Nämä täytäntöönpanosäädökset hyväksytään 87
artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. 2. Komissio hyväksyy
asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa, jotka
liittyvät 1 kohdan a alakohdassa tarkoitettuihin toimenpiteisiin, välittömästi
sovellettavia täytäntöönpanosäädöksiä 87 artiklan 3 kohdassa tarkoitettua
menettelyä noudattaen. Näiden toimenpiteiden voimassaoloaika ei saa olla
enempää kuin 12 kuukautta. 3. Se, annetaanko tämän jakson
mukaisesti toimenpiteitä, ei vaikuta muihin toimenpiteisiin, joita komissio
antaa perussopimusten mukaisesti. 63 artikla
Täytäntöönpano 1. Jonkin jäsenvaltion
valvontaviranomaisen hyväksymä täytäntöönpanokelpoinen toimenpide on tämän
asetuksen tarkoitusten toteuttamista varten pantava täytäntöön kaikissa
jäsenvaltioissa, joita asia koskee. 2. Jos valvontaviranomainen ei
esitä toimenpideluonnosta yhdenmukaisuusmekanismissa käsiteltäväksi, mikä on
vastoin 58 artiklan 1–5 kohdan säännöksiä, kyseinen valvontaviranomaisen
toimenpide ei ole oikeudellisesti pätevä eikä täytäntöönpanokelpoinen. 3 jakso
Euroopan tietosuojaneuvosto 64 artikla
Euroopan tietosuojaneuvosto 1. Perustetaan Euroopan
tietosuojaneuvosto. 2. Euroopan tietosuojaneuvoston
muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja
Euroopan tietosuojavaltuutettu. 3. Jos jäsenvaltiossa on
useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten
soveltamisen valvonnasta, näiden valvontaviranomaisten yhteiseksi edustajaksi
nimitetään joku niiden johtajista. 4. Komissiolla on oikeus
osallistua Euroopan tietosuojaneuvoston toimintaan ja kokouksiin ja nimittää
sinne edustaja. Euroopan tietosuojaneuvoston puheenjohtaja ilmoittaa viipymättä
komissiolle kaikesta Euroopan tietosuojaneuvoston toiminnasta. 65 artikla
Riippumattomuus 1. Euroopan tietosuojaneuvosto
hoitaa 66 ja 67 artiklan mukaisia tehtäviään riippumattomasti. 2. Euroopan tietosuojaneuvosto
ei tehtäviään hoitaessaan pyydä eikä ota ohjeita miltään taholta, sanotun
rajoittamatta 66 artiklan 1 ja 2 kohdan b alakohdassa tarkoitettuja komission
pyyntöjä. 66 artikla
Euroopan tietosuojaneuvoston tehtävät 1. Euroopan tietosuojaneuvosto
varmistaa tämän asetuksen yhdenmukaisen soveltamisen. Tätä varten Euroopan
tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai komission pyynnöstä
erityisesti seuraavia tehtäviä: a) antaa komissiolle neuvoja kaikissa
henkilötietojen suojaan unionissa liittyvissä kysymyksissä, myös tämän
asetuksen mahdollisessa muuttamisessa; b) tarkastelee omasta aloitteestaan tai
jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän
asetuksen soveltamista, ja antaa valvontaviranomaisille osoitettuja suuntaviivoja,
suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän
asetuksen johdonmukaista soveltamista; c) tarkastelee b alakohdassa
tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden
soveltamista käytäntöön ja raportoi asiasta komissiolle säännöllisesti; d) antaa lausuntoja valvontaviranomaisten
päätösluonnoksista 57 artiklassa tarkoitetun mekanismin mukaisesti; e) edistää valvontaviranomaisten välistä
yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja käytänteiden
vaihtamista; f) edistää yhteisiä koulutusohjelmia ja
tukee henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien
maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa; g) edistää tietosuojalainsäädäntöä ja käytänteitä
koskevien tietojen ja asiakirjojen vaihtoa tietosuojaviranomaisten kesken
kaikkialla maailmassa. 2. Jos komissio pyytää Euroopan
tietosuojaneuvostolta neuvoja, se voi asettaa määräajan, jonka kuluessa
tietosuojaneuvoston on annettava neuvot, asian kiireellisyys huomioon ottaen. 3. Euroopan tietosuojaneuvoston
on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat
käytänteet komissiolle sekä 87 artiklassa tarkoitetulle komitealle ja
julkaistava ne. 4. Komission on ilmoitettava Euroopan
tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston
antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden
perusteella. 67 artikla
Kertomukset 1. Euroopan tietosuojaneuvoston
on tiedotettava komissiolle toimintansa tuloksista säännöllisesti ja
oikea-aikaisesti. Sen on laadittava vuosittain kertomus luonnollisten
henkilöiden tietosuojan tilanteesta henkilötietojen käsittelyn yhteydessä
unionissa ja kolmansissa maissa. Kertomuksessa on tarkasteltava 66 artiklan 1
kohdan c alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden
käytänteiden käytännön soveltamista. 2. Kertomus julkaistaan ja
toimitetaan Euroopan parlamentille, neuvostolle ja komissiolle. 68 artikla
Menettely 1. Euroopan tietosuojaneuvosto
antaa päätöksensä jäsentensä yksinkertaisella enemmistöllä. 2. Euroopan tietosuojaneuvosto
hyväksyy työjärjestyksensä ja omat operatiiviset järjestelynsä. Se säätää
erityisesti tehtävien hoidon jatkamisesta silloin kun jäsenen toimikausi
päättyy tai jäsen eroaa tehtävistään, alaryhmien perustamisesta
erityiskysymysten käsittelemistä tai erityisaloja varten sekä 57 artiklassa
tarkoitettuun yhdenmukaisuusmekanismiin liittyvistä menettelyistään. 69 artikla
Puheenjohtaja 1. Euroopan tietosuojaneuvosto valitsee
jäsentensä keskuudesta puheenjohtajan ja kaksi varapuheenjohtajaa. Toinen
varapuheenjohtajista on Euroopan tietosuojavaltuutettu, paitsi jos tämä on
valittu puheenjohtajaksi. 2. Puheenjohtajan ja
varapuheenjohtajan toimikausi on viisi vuotta, ja samat henkilöt voidaan valita
tehtäviinsä uudelleen. 70 artikla
Puheenjohtajan tehtävät 1. Puheenjohtajalla on seuraavat
tehtävät: a) kutsua koolle Euroopan
tietosuojaneuvoston kokoukset ja valmistella kokouksen asialista; b) varmistaa, että Euroopan tietosuojaneuvosto
täyttää tehtävänsä oikea-aikaisesti, erityisesti suhteessa 57 artiklassa
tarkoitettuun yhdenmukaisuusmekanismiin. 2. Euroopan tietosuojaneuvoston
on vahvistettava työjärjestyksessään puheenjohtajan ja varapuheenjohtajien
tehtävänjako. 71 artikla
Sihteeristö 1. Euroopan
tietosuojaneuvostolla on oltava sihteeristö. Sihteeristön tehtävistä vastaa
Euroopan tietosuojavaltuutettu. 2. Sihteeristö antaa Euroopan
tietosuojaneuvostolle analyysi-, hallinto- ja logistiikkatukea puheenjohtajan
ohjauksessa. 3. Sihteeristöllä on erityisesti
seuraavat tehtävät: a) hoitaa Euroopan tietosuojaneuvoston
juoksevia asioita; b) hoitaa Euroopan tietosuojaneuvoston, sen
puheenjohtajan ja komission välistä viestintää sekä tiedottamista muille
toimielimille ja yleisölle; c) käyttää sähköisiä viestintävälineitä sekä
sisäisessä että ulkoisessa viestinnässä; d) kääntää tarvittavat tiedot; e) valmistella ja seurata Euroopan
tietosuojaneuvoston kokouksia; f) valmistella, laatia ja julkaista
Euroopan tietosuojaneuvoston lausuntoja ja muita asiakirjoja. 72 artikla
Luottamuksellisuus 1. Euroopan tietosuojaneuvoston
keskustelut ovat luottamuksellisia. 2. Euroopan tietosuojaneuvoston
jäsenille, asiantuntijoille ja kolmansien osapuolten edustajille toimitetut
asiakirjat ovat luottamuksellisia, paitsi jos niihin myönnetään pääsy asetuksen
(EY) N:o 1049/2001 mukaisesti tai Euroopan tietosuojaneuvosto julkistaa ne
muulla tavoin. 3. Euroopan tietosuojaneuvoston
jäsenten, asiantuntijoiden ja kolmansien osapuolten edustajien on noudatettava
tässä artiklassa säädettyjä asiakirjojen luottamuksellisuutta koskevia
velvoitteita. Puheenjohtaja varmistaa, että asiantuntijat ja kolmansien
osapuolten edustajat ovat tietoisia heitä koskevista asiakirjojen
luottamuksellisuutta koskevista vaatimuksista. VIII LUKU OIKEUSSUOJAKEINOT, VASTUU JA SEURAAMUKSET 73 artikla
Oikeus tehdä valitus valvontaviranomaiselle 1. Jokaisella rekisteröidyllä on
oikeus tehdä valitus minkä tahansa jäsenvaltion valvontaviranomaiselle, jos
rekisteröity katsoo, että hänen henkilötietojensa käsittelyssä ei ole
noudatettu tämän asetuksen säännöksiä, sanotun kuitenkaan rajoittamatta muita
hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja. 2. Millä tahansa elimellä,
järjestöllä tai yhdistyksellä, jonka tarkoituksena on suojella rekisteröidyn
henkilötietojen suojaan liittyviä oikeuksia ja etuja ja joka on asianmukaisesti
perustettu jäsenvaltion lainsäädännön mukaisesti, on oikeus tehdä valitus minkä
tahansa jäsenvaltion valvontaviranomaiselle yhden tai useamman rekisteröidyn
puolesta, jos se katsoo, että tähän asetukseen perustuvia rekisteröidyn
oikeuksia on loukattu henkilötietojen käsittelyssä. 3. Edellä 2 kohdassa
tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn
valituksesta riippumatta oikeus tehdä valitus minkä tahansa jäsenvaltion
valvontaviranomaiselle, jos se katsoo, että on tapahtunut henkilötietojen
tietoturvaloukkaus. 74 artikla
Oikeus oikeussuojakeinoihin valvontaviranomaista vastaan 1. Jokaisella luonnollisella tai
oikeushenkilöllä on oikeus oikeussuojakeinoihin itseään koskevia
valvontaviranomaisen päätöksiä vastaan. 2. Jokaisella rekisteröidyllä on
oikeus oikeussuojakeinoihin, joilla valvontaviranomainen voidaan velvoittaa
käsittelemään valitus, ellei valvontaviranomainen ole tehnyt rekisteröidyn
oikeuksien suojaamista koskevaa päätöstä tai ilmoittanut rekisteröidylle kolmen
kuukauden kuluessa valituksen etenemisestä tai ratkaisustaan 52 artiklan
1 kohdan b alakohdan mukaisesti. 3. Kanne valvontaviranomaista
vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon
valvontaviranomainen on sijoittautunut. 4. Rekisteröity, jota koskee
muun kuin hänen asuinjäsenvaltionsa valvontaviranomaisen tekemä päätös, voi
pyytää asuinjäsenvaltionsa valvontaviranomaista aloittamaan puolestaan oikeudelliset
menettelyt toisen jäsenvaltion toimivaltaista valvontaviranomaista vastaan. 5. Jäsenvaltioiden on pantava
täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset
päätökset. 75 artikla
Oikeus oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen
käsittelijää vastaan 1. Jokaisella luonnollisella
henkilöllä on oikeus oikeussuojakeinoihin, jos hän katsoo, että hänen tähän
asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen
henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan
rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen
käyttöä, mukaan lukien 73 artiklassa tarkoitettu oikeus tehdä valitus
valvontaviranomaiselle. 2. Kanne rekisterinpitäjää tai
henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion
tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä
on toimipaikka. Vaihtoehtoisesti tällainen kanne voidaan nostaa sen
jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on,
paitsi jos rekisterinpitäjä on viranomainen, jonka toiminta liittyy sen
julkisen vallan käyttöön. 3. Jos 58 artiklassa
tarkoitetussa yhdenmukaisuusmekanismissa on vireillä menettely, joka koskee
samaa toimenpidettä, päätöstä tai käytännettä, tuomioistuin voi keskeyttää
sille esitetyn kanteen käsittelyn, paitsi jos rekisteröidyn oikeuksien suojelu
edellyttää kiireellistä käsittelyä eikä ole mahdollista odottaa
yhdenmukaisuusmekanismissa vireillä olevan menettelyn tulosta. 4. Jäsenvaltioiden on pantava
täytäntöön tässä artiklassa tarkoitettujen tuomioistuimien lainvoimaiset
päätökset. 76 artikla
Tuomioistuinmenettelyjä koskevat yhteiset säännöt 1. Jokaisella 73 artiklan
2 kohdassa tarkoitetulla elimellä, järjestöllä tai yhdistyksellä on oikeus
käyttää 74 ja 75 artiklassa tarkoitettuja oikeuksia yhden tai useamman
rekisteröidyn puolesta. 2. Jokaisella
valvontaviranomaisella on oikeus panna vireille oikeudellisia menettelyjä ja
nostaa kanne tuomioistuimessa tämän asetuksen säännösten täytäntöönpanon tai
henkilötietojen johdonmukaisen suojan varmistamiseksi unionissa. 3. Jos jäsenvaltion
toimivaltaisella tuomioistuimella on perusteltu syy uskoa, että toisessa
jäsenvaltiossa on vireillä rinnakkainen menettely, sen on otettava yhteyttä
kyseisen jäsenvaltion toimivaltaiseen tuomioistuimeen varmistaakseen tällaisen
rinnakkaisen menettelyn vireilläolon. 4. Jos toisessa jäsenvaltiossa
vireillä oleva rinnakkainen menettely koskee samaa asiaa, päätöstä tai
käytäntöä, tuomioistuin voi keskeyttää oman menettelynsä. 5. Jäsenvaltioiden on
varmistettava, että niiden kansallisen lainsäädännön mukaisesti käytettävissä
olevat oikeussuojakeinot mahdollistavat nopeat toimenpiteet,
turvaamistoimenpiteet mukaan lukien, joilla lopetetaan väitetyt väärinkäytökset
ja estetään suuremman haitan koituminen asianomaisille tahoille. 77 artikla
Vastuu ja oikeus korvauksen saamiseen 1. Jos kenelle tahansa
henkilölle aiheutuu vahinkoa lainvastaisesta käsittelystä tai minkä tahansa
toiminnan yhteensopimattomuudesta tämän asetuksen säännösten kanssa, hänellä on
oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus
aiheutuneesta vahingosta. 2. Jos käsittelyyn on
osallistunut useampi kuin yksi rekisterinpitäjä tai henkilötietojen
käsittelijä, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on
yhteisvastuullisesti vastuussa korvauksen koko määrästä. 3. Rekisterinpitäjä tai
henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai
kokonaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä osoittaa, ettei
ole vastuussa vahingon aiheuttaneesta tapahtumasta. 78 artikla
Seuraamukset 1. Jäsenvaltioiden on
vahvistettava säännöt tämän asetuksen säännösten rikkomisen vuoksi määrättäviä
seuraamuksia varten ja toteutettava kaikki tarvittavat toimenpiteet niiden
täytäntöönpanon varmistamiseksi, myös silloin kun rekisterinpitäjä ei ole
noudattanut velvollisuutta nimittää edustaja. Seuraamusten on oltava
tehokkaita, oikeasuhteisia ja varoittavia. 2. Jos rekisterinpitäjä on
nimittänyt edustajan, seuraamuksia sovelletaan edustajaan, sanotun
rajoittamatta seuraamuksia, joita voidaan määrätä rekisterinpitäjää itseään
vastaan. 3. Jäsenvaltioiden on
toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle
viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden
mahdolliset myöhemmät muutokset mahdollisimman pian. 79 artikla
Hallinnolliset seuraamukset 1. Jokaisella
valvontaviranomaisella on valtuudet määrätä hallinnollisia seuraamuksia tämän
artiklan mukaisesti. 2. Hallinnollisten seuraamusten
on oltava kussakin tapauksessa tehokkaita, oikeasuhteisia ja varoittavia.
Hallinnollisen sakon määrä vahvistetaan ottaen huomioon sääntöjen rikkomisen
luonne, vakavuus ja kesto, tahallisuus tai tuottamuksellisuus, luonnollisen tai
oikeushenkilön vastuun aste ja kyseisen henkilön mahdolliset aiemmat
rikkomiset, 23 artiklan nojalla toteutetut tekniset ja organisatoriset
toimenpiteet ja menettelyt sekä valvontaviranomaisen yhteistyön aste rikkomisen
korjaamiseksi. 3. Kun kyseessä on ensimmäinen
ja tahaton asetuksen rikkominen, voidaan antaa kirjallinen varoitus ja jättää
seuraamus määräämättä, jos a) luonnollinen henkilö käsittelee
henkilötietoja ilman kaupallista intressiä; tai b) yritys tai järjestö, jonka palveluksessa
on alle 250 työntekijää, käsittelee henkilötietoja ainoastaan pääasiallisen
toimintansa aputoimintona. 4. Valvontaviranomaisen on
määrättävä sakkoa enintään 250 000 euroa, tai jos kyseessä on yritys,
enintään 0,5 prosenttia sen vuotuisesta maailmanlaajuisesta liikevaihdosta,
jokaiselle joka tahallaan tai tuottamuksesta: a) ei perusta menettelyjä rekisteröityjen
esittämiä pyyntöjä varten tai ei vastaa viipymättä tai vaaditussa muodossa
rekisteröityjen 12 artiklan 1 ja 2 kohdan nojalla esittämiin pyyntöihin; b) perii 12 artiklan 4 kohdan vastaisesti
maksun tiedoista tai rekisteröityjen pyyntöihin vastaamisesta. 5. Valvontaviranomaisen on
määrättävä sakkoa enintään 500 000 euroa, tai jos kyseessä on yritys,
enintään 1 prosentti sen vuotuisesta maailmanlaajuisesta liikevaihdosta,
jokaiselle joka tahallaan tai tuottamuksesta: a) ei anna rekisteröidylle 11 artiklan, 12
artiklan 3 kohdan ja 14 artiklan nojalla tietoja tai antaa puutteellisia
tietoja tai ei anna tietoja riittävän läpinäkyvästi; b) ei anna rekisteröidylle pääsyä tai ei
oikaise henkilötietoja 15 ja 16 artiklan nojalla tai ei toimita 13 artiklan
mukaisesti tarvittavia tietoja tietojen vastaanottajalle; c) ei noudata oikeutta tulla unohdetuksi tai
poistaa tiedot, tai jättää toteuttamatta mekanismit määräaikojen noudattamisen
varmistamiseksi, tai ei toteuta kaikkia tarvittavia toimenpiteitä, joiden
avulla kolmansille osapuolille ilmoitetaan rekisteröidyn pyynnöstä poistaa 17
artiklan nojalla kaikki linkit henkilötietoihin tai niiden kopiot tai
jäljennökset; d) ei toimita jäljennöstä henkilötiedoista
sähköisessä muodossa tai estää 18 artiklan vastaisesti rekisteröityä
siirtämästä henkilötietonsa toiseen sovellukseen; e) ei määritä 24 artiklassa tarkoitettuja
yhteisten rekisterinpitäjien vastuualueita lainkaan tai ei määritä niitä
riittävästi; f) ei säilytä 28 artiklassa, 31 artiklan 4
kohdassa tai 44 artiklan 3 kohdassa tarkoitettuja asiakirjoja tai ei säilytä
niitä riittävässä määrin; g) ei noudata tapauksissa, joihin ei liity
erityisiä tietoryhmiä, 80, 82 ja 83 artiklan mukaisesti sääntöjä, jotka
koskevat sananvapautta tai työntekijän henkilötietojen käsittelyä tai
historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia
varten suoritettavan käsittelyn edellytyksiä. 6. Valvontaviranomaisen on
määrättävä sakkoa enintään 1 000 000 euroa, tai jos kyseessä on
yritys, enintään 2 prosenttia sen vuotuisesta maailmanlaajuisesta
liikevaihdosta, jokaiselle joka tahallaan tai tuottamuksesta: a) käsittelee henkilötietoja ilman mitään
tai ilman riittävää oikeusperustaa tai ei noudata 6–8 artiklassa säädettyjä
suostumusta koskevia edellytyksiä; b) käsittelee erityisiä tietoryhmiä 9 ja 81
artiklan vastaisesti; c) ei noudata henkilötietojen käsittelyn
vastustamista tai 19 artiklassa säädettyä vaatimusta; d) ei noudata 20 artiklassa säädettyjä,
profilointiin perustuvia toimenpiteitä koskevia edellytyksiä; e) ei vahvista sisäisiä menettelyjä tai ei
toteuta tarvittavia toimenpiteitä sääntöjen noudattamisen varmistamiseksi ja
sen osoittamiseksi 22, 23 ja 30 artiklan mukaisesti; f) ei nimitä edustajaa 25 artiklan
mukaisesti; g) käsittelee henkilötietoja tai antaa
ohjeita henkilötietojen käsittelemiseksi niiden velvoitteiden vastaisesti,
jotka koskevat rekisterinpitäjän lukuun suoritettavaa henkilötietojen
käsittelyä 26 ja 27 artiklan mukaisesti; h) ei anna hälytystä henkilötietojen
tietoturvaloukkauksen vuoksi tai ei ilmoita siitä tai ei ilmoita
tietoturvaloukkauksesta oikea-aikaisesti tai kokonaan valvontaviranomaiselle
tai rekisteröidylle 31 ja 32 artiklan mukaisesti; i) ei laadi tietosuojaa koskevaa
vaikutustenarviointia 33 artiklan mukaisesti tai käsittelee henkilötietoja
ilman 34 artiklassa säädettyä valvontaviranomaisen ennakkohyväksyntää tai ‑kuulemista; j) ei nimitä tietosuojavastaavaa tai
varmista edellytyksiä 35–37 artiklassa säädettyjen tehtävien suorittamiseksi; k) käyttää väärin 39 artiklassa
tarkoitettuja tietosuojasinettejä tai ‑merkkejä; l) toteuttaa tiedonsiirtoja tai antaa
ohjeita sellaisten tiedonsiirtojen toteuttamiseksi kolmanteen maahan tai
kansainväliselle järjestölle, joita varten ei ole tehty tietosuojan
riittävyyttä koskevaa päätöstä tai annettu asianmukaisia takeita tai 40–44
artiklan mukaista poikkeusta; m) ei noudata valvontaviranomaisen 53
artiklan 1 kohdan nojalla antamaa määräystä tai väliaikaista tai lopullista
käsittelykieltoa tai tietovirtojen keskeyttämismääräystä; n) ei noudata velvollisuutta avustaa
valvontaviranomaista tai vastata tai antaa sille tarvittavat tiedot tai sallia
sen pääsy tiloihin 28 artiklan 3 kohdan, 29 artiklan, 34 artiklan 6 kohdan ja
53 artiklan 2 kohdan mukaisesti; o) ei noudata 84 artiklassa säädettyjä
salassapitovelvollisuuden takaamista koskevia sääntöjä. 7. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa päivitetään 4–6
artiklassa tarkoitettujen hallinnollisten sakkojen määrä 2 kohdassa tarkoitetut
kriteerit huomioon ottaen. IX LUKU
TIETOJENKÄSITTELYYN LIITTYVIÄ ERITYISTILANTEITA KOSKEVAT SÄÄNNÖKSET 80 artikla
Henkilötietojen käsittely ja sananvapaus 1. Jäsenvaltioiden
on säädettävä ainoastaan journalistisia tarkoituksia tai taiteellisen tai
kirjallisen ilmaisun tarkoituksia varten toteutettua henkilötietojen käsittelyä
varten poikkeuksista ja vapautuksista II luvussa säädetyistä yleisistä
periaatteista, III luvussa säädetyistä rekisteröidyn oikeuksista, IV luvussa
säädetyistä rekisterinpitäjää ja henkilötietojen käsittelijää koskevista
säännöistä, V luvussa säädetyistä henkilötietojen siirtoa kolmansiin maihin ja
kansainvälisille järjestöille koskevista säännöistä, VI luvussa säädetyistä
riippumattomia valvontaviranomaisia koskevista säännöistä ja VII luvussa
säädetyistä yhteistyötä ja yhdenmukaisuutta koskevista säännöistä, jotta
voidaan sovittaa yhteen oikeus henkilötietojen suojaan ja sananvapautta
koskevat säännöt. 2. Jäsenvaltioiden on
toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle
viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden
mahdolliset myöhemmät muutokset mahdollisimman pian. 81 artikla
Terveyttä koskevien henkilötietojen käsittely 1. Terveyttä koskevia
henkilötietoja voidaan käsitellä tässä asetuksessa asetetuissa rajoissa ja 9
artiklan 2 kohdan h alakohdan mukaisesti unionin tai jäsenvaltion lainsäädännön
nojalla, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn
oikeutettujen etujen suojaamiseksi, jos käsittely on tarpeen a) ennalta ehkäisevää tai
työterveydenhuoltoa tai lääketieteellisiä diagnooseja koskevia tarkoituksia,
hoidon tai käsittelyn suorittamista tai terveydenhuollon palvelujen hallintoa varten
ja jos näitä tietoja käsittelee terveydenhuollon ammattikoulutuksen saanut
henkilö, jota koskee vaitiolovelvollisuus, tai muu henkilö, jota koskee
vastaava velvoite jäsenvaltion lain tai toimivaltaisten kansallisten
viranomaisten vahvistamien sääntöjen nojalla; tai b) kansanterveyteen liittyvän yleisen edun
vuoksi, kuten rajatylittävien vakavien terveysuhkien estämiseksi tai
esimerkiksi lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu-
ja turvallisuusnormien varmistamiseksi; tai c) muista yleistä etua koskevista syistä
esimerkiksi sosiaalisen suojelun alalla, erityisesti laadun ja
kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja
palveluja koskevien vaatimusten käsittelymenettelyssä. 2. Terveyttä koskevien henkilötietojen
käsittelyyn, joka on tarpeen historiantutkimusta taikka tilastollisia tai
tieteellisiä tutkimustarkoituksia varten, esimerkiksi diagnoosien parantamista
varten perustettavia potilasrekistereitä ja samantyyppisten sairauksien
erottamiseksi toisistaan tai selvitysten laatimiseksi hoitoja varten,
sovelletaan 83 artiklassa tarkoitettuja edellytyksiä ja takeita. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin 1 kohdan b alakohdassa tarkoitetut muut yleistä etua kansanterveyden
alalla koskevat syyt sekä kriteerit ja vaatimukset 1 kohdassa tarkoitettuja
tarkoituksia varten suoritettavaa henkilötietojen käsittelyä koskevia takeita
varten. 82 artikla
Henkilötietojen käsittely työsuhteen yhteydessä 1. Jäsenvaltiot voivat antaa
tässä asetuksessa asetetuissa rajoissa erityissäännöksiä työntekijän
terveystietojen käsittelystä työsuhteen yhteydessä, erityisesti
palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien
lakisääteisistä tai työehtosopimukseen perustuvista velvollisuuksista
vapauttaminen, työn johto, suunnittelu ja organisointi, työterveys ja ‑turvallisuus
sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai
kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten. 2. Jäsenvaltioiden
on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle
viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden
mahdolliset myöhemmät muutokset mahdollisimman pian. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin kriteerit ja vaatimukset 1 kohdassa tarkoitettuja tarkoituksia varten
suoritettavaa henkilötietojen käsittelyä koskevia takeita varten. 83 artikla
Henkilötietojen käsittely historiantutkimusta taikka tilastollisia tai
tieteellisiä tutkimustarkoituksia varten 1. Henkilötietoja voidaan
käsitellä historiantutkimusta taikka tilastollisia tai tieteellisiä
tutkimustarkoituksia varten tässä asetuksessa asetetuissa rajoissa vain, jos a) näitä tarkoituksia ei voida muutoin
täyttää käsittelemällä tietoja, joiden perusteella rekisteröityä ei voida
tunnistaa tai ei voida enää tunnistaa; b) tiedot, joiden avulla tiedot voidaan
kohdentaa tunnistettuun tai tunnistettavissa olevaan rekisteröityyn, pidetään
erillään muista tiedoista siltä osin kuin nämä tarkoitukset voidaan täyttää
tällä tavoin. 2. Elimet, jotka suorittavat
historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimuksia, voivat
julkaista tai muulla tavoin julkistaa henkilötietoja vain, jos a) rekisteröity on antanut siihen
suostumuksensa 7 artiklassa säädettyjen edellytysten mukaisesti; b) henkilötietojen julkaiseminen on tarpeen
tutkimustulosten esittämistä varten tai tutkimuksen helpottamiseksi siltä osin
kuin rekisteröidyn edut tai perusoikeudet tai ‑vapaudet eivät syrjäytä näitä
etuja; tai c) rekisteröity on itse julkistanut tiedot. 3. Siirretään komissiolle valta
antaa 86 artiklan mukaisesti delegoituja säädöksiä, joissa määritellään
tarkemmin kriteerit ja vaatimukset henkilötietojen käsittelylle 1 ja 2 kohdassa
tarkoitettuja tarkoituksia varten sekä mahdolliset rekisteröidyn
tiedonsaantioikeutta koskevat rajoitukset ja täsmennetään rekisteröidyn
oikeuksia näissä olosuhteissa koskevat edellytykset ja takeet. 84 artikla
Salassapitovelvollisuus 1. Jäsenvaltiot voivat tässä
asetuksessa asetetuissa rajoissa antaa erityissääntöjä valvontaviranomaisten 53
artiklan 2 kohdassa säädetyistä tutkintavaltuuksista suhteessa
rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee
kansalliseen lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten
asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen
ja oikeasuhteista henkilötietojen suojan ja salassapitovelvollisuuden
yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin
henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on
vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan
toiminnan yhteydessä. 2. Jäsenvaltioiden on
toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle
viimeistään 91 artiklan 2 kohdassa mainittuna päivämääränä ja niiden
mahdolliset myöhemmät muutokset mahdollisimman pian. 85 artikla
Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt 1. Jos jäsenvaltion kirkot ja
uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa
voimaan kattavia sääntöjä, jotka koskevat yksilöiden suojaamista
henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne
saatetaan tämän asetuksen säännösten mukaisiksi. 2. Edellä 1 kohdassa
tarkoitettuja kattavia sääntöjä soveltavien kirkkojen ja uskonnollisten
yhdistysten on säädettävä riippumattoman valvontaviranomaisen perustamisesta
tämän asetuksen VI luvun mukaisesti. X LUKU
DELEGOIDUT SÄÄDÖKSET JA TÄYTÄNTÖÖNPANOSÄÄDÖKSET 86 artikla
Siirretyn säädösvallan käyttäminen 1. Siirretään komissiolle valta
antaa delegoituja säädöksiä tässä artiklassa säädetyin edellytyksin. 2. Siirretään 6 artiklan 5
kohdassa, 8 artiklan 3 kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa,
14 artiklan 7 kohdassa, 15 artiklan 3 kohdassa, 17 artiklan 9 kohdassa, 20
artiklan 6 kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26
artiklan 5 kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31
artiklan 5 kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 6 kohdassa, 34
artiklan 8 kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 39
artiklan 2 kohdassa, 43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79
artiklan 6 kohdassa, 81 artiklan 3 kohdassa, 82 artiklan 3 kohdassa ja 83
artiklan 3 kohdassa tarkoitettu valta antaa delegoituja säädöksiä komissiolle
määräämättömäksi ajaksi tämän asetuksen voimaantulopäivästä alkaen. 3. Euroopan parlamentti tai
neuvosto voi milloin tahansa peruuttaa 6 artiklan 5 kohdassa, 8 artiklan 3
kohdassa, 9 artiklan 3 kohdassa, 12 artiklan 5 kohdassa, 14 artiklan 7
kohdassa, 15 artiklan 3 kohdassa, 17 artiklan 9 kohdassa, 20 artiklan 6
kohdassa, 22 artiklan 4 kohdassa, 23 artiklan 3 kohdassa, 26 artiklan 5
kohdassa, 28 artiklan 5 kohdassa, 30 artiklan 3 kohdassa, 31 artiklan 5
kohdassa, 32 artiklan 5 kohdassa, 33 artiklan 6 kohdassa, 34 artiklan 8
kohdassa, 35 artiklan 11 kohdassa, 37 artiklan 2 kohdassa, 39 artiklan 2 kohdassa,
43 artiklan 3 kohdassa, 44 artiklan 7 kohdassa, 79 artiklan 6 kohdassa, 81
artiklan 3 kohdassa, 82 artiklan 3 kohdassa ja 83 artiklan 3 kohdassa
tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa
päätöksessä mainittu säädösvallan siirto. Päätös tulee voimaan sitä päivää
seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa
lehdessä, tai jonakin myöhempänä, päätöksessä mainittuna päivänä. Päätös ei
vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen. 4. Heti kun komissio on antanut
delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan
parlamentille ja neuvostolle. 5. Edellä olevien 6 artiklan 5
kohdan, 8 artiklan 3 kohdan, 9 artiklan 3 kohdan, 12 artiklan 5 kohdan, 14
artiklan 7 kohdan, 15 artiklan 3 kohdan, 17 artiklan 9 kohdan, 20 artiklan 6
kohdan, 22 artiklan 4 kohdan, 23 artiklan 3 kohdan, 26 artiklan 5 kohdan, 28
artiklan 5 kohdan, 30 artiklan 3 kohdan, 31 artiklan 5 kohdan, 32 artiklan 5
kohdan, 33 artiklan 6 kohdan, 34 artiklan 8 kohdan, 35 artiklan 11 kohdan, 37
artiklan 2 kohdan, 39 artiklan 2 kohdan, 43 artiklan 3 kohdan, 44 artiklan 7
kohdan, 79 artiklan 6 kohdan, 81 artiklan 3 kohdan, 82 artiklan 3 kohdan ja 83
artiklan 3 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan,
jos Euroopan parlamentti tai neuvosto ei ole kahden kuukauden kuluessa siitä,
kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja
neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti
että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet
komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai
neuvoston aloitteesta tätä määräaikaa jatketaan kahdella kuukaudella. 87 artikla
Komiteamenettely 1. Komissiota avustaa komitea.
Kyseinen komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea. 2. Kun viitataan tähän kohtaan,
sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa. 3. Kun viitataan tähän kohtaan,
sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä 5 artiklan
kanssa. XI LUKU LOPPUSÄÄNNÖKSET 88 artikla
Direktiivin 95/46/EY kumoaminen 1. Kumotaan direktiivi 95/46/EY.
2. Viittauksia kumottuun
direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin
95/46/EY 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina
tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon. 89 artikla
Suhde direktiiviin 2002/58/EY ja direktiivin muuttaminen 1. Tällä asetuksella ei aseteta
luonnollisille tai oikeushenkilöille lisävelvoitteita sellaisen henkilötietojen
käsittelyn osalta, joka liittyy yleisesti saatavilla olevien sähköisten
viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa,
suhteessa sellaisiin seikkoihin, joiden osalta niiden on noudatettava
direktiivissä 2002/58/EY säädettyjä erityisiä velvoitteita, joilla on sama
tavoite. 2 Kumotaan direktiivin
2002/58/EY 1 artiklan 2 kohta. 90 artikla
Arviointi Komissio toimittaa Euroopan parlamentille ja
neuvostolle säännöllisesti kertomukset tämän asetuksen arvioinnista ja
uudelleentarkastelusta. Ensimmäinen kertomus annetaan viimeistään neljän vuoden
kuluttua tämän asetuksen voimaantulosta. Sen jälkeen kertomukset annetaan
neljän vuoden välein. Komissio esittää tarvittaessa ehdotuksia tämän asetuksen
muuttamiseksi ja sen yhdenmukaistamiseksi muiden säädösten kanssa, ottaen
erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuvan
kehityksen. Kertomukset julkaistaan. 91 artikla
Voimaantulo ja soveltaminen 1. Tämä asetus tulee voimaan
kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan
unionin virallisessa lehdessä. 2. Sitä sovelletaan [kahden
vuoden kuluttua 1 kohdassa tarkoitetusta päivämäärästä alkaen]. Tämä asetus on kaikilta osiltaan
velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Tehty Brysselissä 25.1.2012. Euroopan parlamentin puolesta Neuvoston
puolesta Puhemies Puheenjohtaja SÄÄDÖKSEEN LIITTYVÄ RAHOITUSSELVITYS 1. PERUSTIEDOT EHDOTUKSESTA/ALOITTEESTA 1.1. Ehdotuksen/aloitteen nimi 1.2. Toimintalohko(t)
toimintoperusteisessa johtamis- ja budjetointijärjestelmässä (ABM/ABB) 1.3. Ehdotuksen/aloitteen
luonne 1.4. Tavoitteet
1.5. Ehdotuksen/aloitteen
perustelut 1.6. Toiminnan
ja sen rahoitusvaikutusten kesto 1.7. Hallinnointitapa
(hallinnointitavat) 2. HALLINNOINTI 2.1. Seuranta-
ja raportointisäännöt 2.2. Hallinnointi-
ja valvontajärjestelmä 2.3. Toimenpiteet
petosten ja sääntöjenvastaisuuksien ehkäisemiseksi 3. EHDOTUKSEN/ALOITTEEN ARVIOIDUT
RAHOITUSVAIKUTUKSET 3.1. Kyseeseen
tulevat monivuotisen rahoituskehyksen otsakkeet ja menopuolen budjettikohdat 3.2. Arvioidut
vaikutukset menoihin 3.2.1. Yhteenveto
arvioiduista vaikutuksista menoihin 3.2.2. Arvioidut
vaikutukset toimintamäärärahoihin 3.2.3. Arvioidut
vaikutukset hallintomäärärahoihin 3.2.4. Yhteensopivuus
nykyisen monivuotisen rahoituskehyksen kanssa 3.2.5. Ulkopuolisten
tahojen osallistuminen rahoitukseen 3.3. Arvioidut vaikutukset tuloihin SÄÄDÖKSEEN
LIITTYVÄ RAHOITUSSELVITYS
1.
PERUSTIEDOT EHDOTUKSESTA/ALOITTEESTA
Tässä rahoitusselvityksessä selvitetään
yksityiskohtaisesti vaikutustenarvioinnissa esiteltyjä tietosuojauudistuksen
vaikutuksia hallintomenoihin. Uudistus käsittää kaksi säädösehdotusta: yleisen
tietosuoja-asetuksen ja direktiivin yksilöiden suojelusta toimivaltaisten
viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten torjumista,
tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten
seuraamusten täytäntöönpanoa varten. Tämä rahoitusselvitys kattaa molempien
säädösten talousarviovaikutukset. Tehtävänjaon perusteella resursseja tarvitsevat
sekä komissio että Euroopan tietosuojavaltuutettu. Komission osalta tarvittavat resurssit sisältyvät
jo vuosien 2014–2020 rahoitusnäkymiä koskevaan ehdotukseen. Tietosuoja on yksi
perusoikeus- ja kansalaisuusohjelman tavoitteista, ja ohjelmasta tuetaan myös
säädöskehyksen täytäntöönpanoon liittyviä toimenpiteitä. Hallintomäärärahat ja
tarvittava henkilöstö sisältyvät oikeusasioiden pääosaston (PO JUST)
hallintobudjettiin. Euroopan tietosuojavaltuutetun tarvitsemat
resurssit on sisällytettävä tietosuojavaltuutetun vuotuisiin talousarvioihin.
Nämä resurssit esitellään yksityiskohtaisesti tämän rahoitusselvityksen
liitteessä. Euroopan tietosuojavaltuutetun on myös määrä huolehtia Euroopan
tietosuojaneuvoston sihteeristön tehtävistä. Näiden uusien tehtävien
hoitamiseen tarvittavat resurssit edellyttävät vuosien 2014–2020
rahoitusnäkymien otsakkeen 5 rahoitussuunnitelman muuttamista.
1.1.
Ehdotuksen/aloitteen nimi
Ehdotus
Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta
henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta
(yleinen tietosuoja-asetus). Ehdotus
Euroopan parlamentin ja neuvoston direktiiviksi yksilöiden suojelusta
toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä
rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai
rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen
vapaasta liikkuvuudesta.
1.2.
Toimintalohko(t) toimintoperusteisessa johtamis- ja
budjetointijärjestelmässä (ABM/ABB)[49]
Oikeusasiat
– Henkilötietojen suoja Talousarviovaikutukset
koskevat komissiota ja Euroopan tietosuojavaltuutettua. Vaikutusta komission
talousarvioon selvitetään tarkemmin tämän rahoitusselvityksen taulukoissa.
Toimintamenot sisältyvät perusoikeus- ja kansalaisuusohjelmaan, ja ne on jo
otettu huomioon ohjelman rahoitusselvityksessä, kun taas hallintomenot
sisältyvät oikeusasioiden pääosaston kokonaismäärärahoihin. Euroopan
tietosuojavaltuutettua koskevat tiedot esitetään liitteessä.
1.3.
Ehdotuksen/aloitteen luonne
¨ Ehdotus/aloite
liittyy uuteen toimeen. ¨ Ehdotus/aloite
liittyy uuteen toimeen, joka perustuu pilottihankkeeseen tai
valmistelutoimeen[50].
þ Ehdotus/aloite liittyy käynnissä olevan
toimen jatkamiseen. ¨ Ehdotus/aloite
liittyy toimeen, joka on suunnattu uudelleen.
1.4.
Tavoitteet
1.4.1.
Komission monivuotinen strateginen tavoite
(monivuotiset strategiset tavoitteet), jonka (joiden) saavuttamista
ehdotus/aloite tukee
Uudistuksen
tarkoituksena on saattaa päätökseen alkuperäisten tavoitteiden toteuttaminen
uusien kehityssuuntausten ja haasteiden valossa, eli - parantaa tietosuojaa
koskevan perusoikeuden vaikuttavuutta ja antaa yksilöille mahdollisuus valvoa
henkilötietojensa käyttöä erityisesti teknologian kehityksen ja etenevän globalisoitumisen
yhteydessä; - vahvistaa tietosuojan sisämarkkinaulottuvuutta vähentämällä
lainsäädännön hajanaisuutta, lisäämällä yhdenmukaisuutta ja yksinkertaistamalla
sääntely-ympäristöä ja poistamalla siten tarpeettomia kustannuksia ja
keventämällä hallinnollista rasitusta. Lisäksi Lissabonin
sopimuksen voimaantulo ja erityisesti uuden oikeusperustan (SEUT-sopimuksen 16
artikla) käyttöönotto tarjoavat tilaisuuden toteuttaa uusi tavoite, eli - luoda kattava
tietosuojakehys, jota voidaan soveltaa kaikilla unionin toiminta-aloilla.
1.4.2.
Erityistavoite (erityistavoitteet) sekä toiminto
(toiminnot) toimintoperusteisessa johtamis- ja budjetointijärjestelmässä
Erityistavoite nro 1 Varmistaa tietosuojasääntöjen yhdenmukainen
täytäntöönpano Erityistavoite nro 2 Järkeistää nykyistä hallintojärjestelmää, jotta
voidaan helpottaa yhdenmukaisen täytäntöönpanon varmistamista Toiminto (toiminnot) toimintoperusteisessa
johtamis- ja budjetointijärjestelmässä […]
1.4.3.
Odotettavissa olevat tulokset ja vaikutukset
Selvitys siitä, miten
ehdotuksella/aloitteella on tarkoitus vaikuttaa edunsaajien/kohderyhmän
tilanteeseen Sekä
julkisille että yksityisille rekisterinpitäjille on hyötyä siitä, että
oikeusvarmuus paranee, kun otetaan käyttöön yhdenmukaiset ja selkeämmät EU:n
tietosuojasäännöt ja ‑menettelyt, joiden avulla luodaan tasavertaiset
toimintaedellytykset ja varmistetaan tietosuojasääntöjen yhdenmukainen
täytäntöönpano. Tämä myös keventää merkittävästi hallinnollista rasitusta. Yksilöt
voivat valvoa henkilötietojensa käyttöä paremmin, mikä lisää luottamusta
verkkoympäristössä toimimiseen. Yksilöiden tietosuojan taso on turvattu myös
silloin, kun heidän henkilötietojaan käsitellään EU:n ulkopuolella. Lisäksi
henkilötietojen käsittelyyn liittyvää tilivelvollisuutta tiukennetaan. Kattavaa
tietosuojajärjestelmää sovelletaan myös poliisiyhteistyön ja oikeudellisen
yhteistyön alalla, entisen kolmannen pilarin puitteissa ja laajemminkin.
1.4.4.
Tulos- ja vaikutusindikaattorit
Selvitys siitä,
millaisin indikaattorein ehdotuksen/aloitteen toteuttamista seurataan (Ks.
vaikutustenarvioinnin kohta 8.) Indikaattoreita
arvioidaan säännöllisesti. Niihin kuuluvat mm. seuraavat seikat: • muiden
jäsenvaltioiden lainsäädännön noudattamisesta rekisterinpitäjille aiheutuvat
kustannukset ja toimintaan kuluva aika • tietosuojaviranomaisille
osoitetut resurssit • julkisissa ja
yksityisissä organisaatioissa nimitetyt tietosuojavastaavat • tietosuojaa
koskevien vaikutustenarviointien käyttö • rekisteröityjen
tekemien valitusten määrä ja heille maksetut korvaukset • niiden
tapausten määrä, jotka johtavat rekisterinpitäjiin kohdistuviin syytetoimiin • tietoturvaloukkauksista
vastuussa oleville rekisterinpitäjille määrätyt sakot.
1.5.
Ehdotuksen/aloitteen perustelut
1.5.1.
Tarpeet, joihin ehdotuksella/aloitteella vastataan
lyhyellä tai pitkällä aikavälillä
Voimassa
olevan tietosuojadirektiivin saattamisessa osaksi kansallista lainsäädäntöä
sekä sen tulkinnassa ja täytäntöönpanossa on jäsenvaltioiden välillä
eroavuuksia, jotka haittaavat sisämarkkinoiden toimintaa ja EU:n politiikkoihin
liittyvää viranomaisten yhteistyötä. Tämä
on vastoin direktiivin perustavoitetta, joka on henkilötietojen vapaan
liikkuvuuden helpottaminen sisämarkkinoilla. Teknologian
nopea kehitys ja globalisoituminen ovat vain pahentaneet tätä ongelmaa. Yksilöiden
tietosuojaoikeudet poikkeavat toisistaan, mikä johtuu lainsäädännön
hajanaisuudesta ja epäyhtenäisestä soveltamisesta ja täytäntöönpanosta eri
jäsenvaltioissa. Lisäksi yksilöt eivät
aina tiedä, mitä heidän henkilötiedoillaan tehdään, eivätkä pysty valvomaan
henkilötietojensa käyttöä, minkä vuoksi he eivät voi käyttää
oikeuksiaan tehokkaasti.
1.5.2.
EU:n osallistumisesta saatava lisäarvo
Jäsenvaltiot
eivät nykytilanteessa voi korjata näitä puutteita yksinään. Tämä koskee
erityisesti puutteita, jotka johtuvat EU:n tietosuojakehyksen täytäntöönpanoa
koskevien kansallisten lainsäädäntöjen hajanaisuudesta. Siksi on vahvat
perusteet laatia tietosuojaa koskeva lainsäädäntökehys EU:n tasolla. On tarpeen
luoda yhtenäinen ja johdonmukainen kehys, jonka perusteella henkilötietoja
voidaan siirtää sujuvasti yli rajojen EU:n sisällä ja varmistaa samalla
kaikkien yksilöiden tehokas suojelu kaikkialla EU:ssa.
1.5.3.
Vastaavista toimista saadut kokemukset
Nämä
ehdotukset perustuvat direktiivistä 95/46/EY saatuun kokemukseen ja sen saattamisessa
osaksi kansallista lainsäädäntöä ja sen täytäntöönpanossa esiin tulleisiin
ongelmiin, joiden vuoksi direktiivin tavoitteita eli korkeatasoista tietosuojaa
ja tietosuojan sisämarkkinoita ei ole voitu toteuttaa.
1.5.4.
Yhteensopivuus muiden kyseeseen tulevien välineiden
kanssa ja mahdolliset synergiaedut
Tietosuojan uudistamista
koskevan lainsäädäntöpaketin tarkoituksena on luoda vahva, yhtenäinen ja
ajanmukainen EU:n tietosuojakehys, joka on teknologianeutraali ja vastaa
tulevien vuosikymmenten tarpeisiin. Uudistuksesta on hyötyä yksilöille, koska
se lujittaa heidän tietosuojaoikeuksiaan erityisesti verkkoympäristössä.
Lisäksi uudistus yksinkertaistaa yritysten ja julkisen sektorin oikeudellista
toimintaympäristöä, mikä tukee digitaalisen talouden kehitystä EU:n
sisämarkkinoilla ja muuallakin Eurooppa 2020 ‑strategian tavoitteiden
mukaisesti. Tietosuojalainsäädännön
uudistamista koskevan paketin keskeiset osat ovat – asetus, jolla
korvataan direktiivi 95/46/EY, ja – direktiivi
yksilöiden suojelusta toimivaltaisten viranomaisten suorittamassa
henkilötietojen käsittelyssä rikosten torjumista, tutkimista, selvittämistä ja
syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten
sekä näiden tietojen vapaasta liikkuvuudesta. Näiden säädösehdotusten
lisäksi pakettiin kuuluu kertomus puitepäätöksen 2008/977/YOS täytäntöönpanosta
jäsenvaltioissa. Puitepäätös on tällä hetkellä EU:n tärkein tietosuojasäädös
poliisiyhteistyön ja rikosasioissa tehtävän oikeudellisen yhteistyön alalla.
1.6.
Toiminnan ja sen rahoitusvaikutusten kesto
¨ Ehdotuksen/aloitteen mukaisen toiminnan
kesto on rajattu. ¨ Ehdotuksen/aloitteen mukainen toiminta alkaa [PP/KK]VVVV ja päättyy
[PP/KK]VVVV. ¨ Rahoitusvaikutukset alkavat vuonna VVVV ja päättyvät vuonna VVVV. þ Ehdotuksen/aloitteen mukaisen toiminnan
kestoa ei ole rajattu. Käynnistysvaihe alkaa vuonna 2014 ja päättyy
vuonna 2016, minkä jälkeen toteutus täydessä laajuudessa.
1.7.
Hallinnointitapa (hallinnointitavat)[51]
þ komissio hallinnoi suoraan keskitetysti
¨ välillinen keskitetty hallinnointi, jossa täytäntöönpanotehtäviä on siirretty ¨ toimeenpanovirastoille ¨ yhteisöjen perustamille elimille[52]
¨ kansallisille julkisoikeudellisille elimille
tai julkisen palvelun tehtäviä hoitaville elimille ¨ henkilöille, joille on annettu tehtäväksi toteuttaa Euroopan unionista
tehdyn sopimuksen V osaston mukaisia erityistoimia ja jotka nimetään
varainhoitoasetuksen 49 artiklan mukaisessa perussäädöksessä ¨ hallinnointi yhteistyössä jäsenvaltioiden
kanssa ¨ hajautettu hallinnointi yhteistyössä kolmansien maiden kanssa ¨ hallinnointi yhteistyössä kansainvälisten
järjestöjen kanssa (tarkennettava) Jos
käytetään useampaa kuin yhtä hallinnointitapaa, huomautuksille varatussa
kohdassa olisi annettava lisätietoja. Huomautukset: //
2.
HALLINNOINTI
2.1.
Seuranta- ja raportointisäännöt
Ilmoitetaan
sovellettavat aikavälit ja edellytykset Ensimmäinen
arviointi tehdään neljän vuoden kuluttua säädösten voimaantulosta. Säädöksiin
sisältyy uudelleentarkastelua koskeva lauseke, jonka nojalla komissio arvioi
niiden täytäntöönpanoa. Komissio laatii arvioinnista kertomuksen Euroopan
parlamentille ja neuvostolle. Seuraavat arvioinnit suoritetaan neljän vuoden
välein. Komissio soveltaa omaa arviointimenettelyään. Arvioinnit perustuvat
säädösten täytäntöönpanoa koskeviin selvityksiin, kansallisille
tietosuojaviranomaisille osoitettaviin kyselyihin, asiantuntijakeskusteluihin,
työpajoihin, eurobarometritutkimuksiin jne.
2.2.
Hallinnointi- ja valvontajärjestelmä
2.2.1.
Todetut riskit
EU:n tietosuojakehyksen
uudistuksesta on laadittu vaikutustenarviointi, joka esitetään asetus- ja
direktiiviehdotusten liitteenä. Uudessa säädöksessä
otetaan käyttöön yhdenmukaisuusmekanismi, jonka avulla varmistetaan, että
jäsenvaltioiden riippumattomat valvontaviranomaiset soveltavat säädöskehystä
yhdenmukaisesti ja yhtenäisesti. Mekanismi toimii Euroopan tietosuojaneuvoston
kautta, jonka muodostavat kansallisten valvontaviranomaisten päälliköt ja
Euroopan tietosuojavaltuutettu. Tietosuojaneuvosto korvaa nykyisen
tietosuojatyöryhmän. Euroopan tietosuojavaltuutettu hoitaa tietosuojaneuvoston
sihteeristön tehtävät. Jos jäsenvaltioiden
tietosuojaviranomaiset tekevät keskenään ristiriitaisia päätöksiä, Euroopan
tietosuojaneuvostolta pyydetään asiasta lausunto. Jos asiaa ei saada ratkaistua
tällä tavoin tai jos joku valvontaviranomaisista kieltäytyy noudattamasta
tietosuojaneuvoston lausuntoa, komissio voi tämän asetuksen asianmukaisen ja
yhdenmukaisen soveltamisen varmistamiseksi antaa asiasta oman lausuntonsa tai
tarvittaessa antaa päätöksen, jos sillä on vakavia epäilyksiä sen suhteen,
takaisiko valvontaviranomaisen toimenpideluonnos tämän asetuksen asianmukaisen
soveltamisen vai johtaisiko se päinvastoin sen epäyhtenäiseen soveltamiseen. Yhdenmukaisuusmekanismin
vuoksi on lisättävä sekä Euroopan tietosuojavaltuutetun resursseja sihteeristön
tehtävien hoitamista varten (12 kokoaikaista työntekijää ja tarvittavat
hallinto- ja toimintamäärärahat esim. tietojärjestelmiä ja operaatioita varten)
että komission resursseja yhdenmukaisuutta koskevien tapausten käsittelyä
varten (5 kokoaikaista työntekijää ja tarvittavat hallinto- ja
toimintamäärärahat).
2.2.2.
Valvontamenetelmä(t)
Euroopan
tietosuojavaltuutetun ja komission nykyisiä valvontamenetelmiä voidaan soveltaa
myös lisämäärärahoihin.
2.3.
Toimenpiteet petosten ja sääntöjenvastaisuuksien
ehkäisemiseksi
Ilmoitetaan käytössä olevat ja suunnitellut torjunta- ja
suojatoimenpiteet Euroopan
tietosuojavaltuutetun ja komission nykyisiä petostentorjuntatoimenpiteitä
voidaan soveltaa myös lisämäärärahoihin.
3.
EHDOTUKSEN/ALOITTEEN ARVIOIDUT RAHOITUSVAIKUTUKSET
3.1.
Kyseeseen tulevat monivuotisen rahoituskehyksen
otsakkeet ja menopuolen budjettikohdat
Talousarviossa jo olevat budjettikohdat Monivuotisen rahoituskehyksen otsakkeiden ja
budjettikohtien mukaisessa järjestyksessä Moniv. rahoituskehyksen otsake || Budjettikohta || Määrärahalaji || Rahoitusosuudet Numero [Nimi………………………...……….] || JM/EI-JM ([53]) || EFTA-mailta[54] || ehdokasmailta[55] || kolmansilta mailta || varainhoitoasetuksen 18 artiklan 1 kohdan aa alakohdassa tarkoitetut rahoitusosuudet || || || || || ||
3.2.
Arvioidut vaikutukset menoihin
3.2.1.
Yhteenveto arvioiduista vaikutuksista menoihin
milj. euroa (kolmen desimaalin tarkkuudella) Monivuotisen rahoituskehyksen otsake: || Numero || || || || vuosi n[56] = 2014 || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ Toimintamäärärahat || || || || || || || || Budjettikohdan numero || Sitoumukset || (1) || || || || || || || || Maksut || (2) || || || || || || || || Budjettikohdan numero || Sitoumukset || (1a) || || || || || || || || Maksut || (2a) || || || || || || || || Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat[57] || || || || || || || || Budjettikohdan numero || || (3) || || || || || || || || <…….> PO:n määrärahat YHTEENSÄ || Sitoumukset || =1+1a +3 || || || || || || || || Maksut || =2+2a+3 || || || || || || || || Toimintamäärärahat YHTEENSÄ || Sitoumukset || (4) || || || || || || || || Maksut || (5) || || || || || || || || Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat YHTEENSÄ || (6) || || || || || || || || Monivuotisen rahoituskehyksen OTSAKKEESEEN 3 kuuluvat määrärahat YHTEENSÄ || Sitoumukset || =4+ 6 || || || || || || || || Maksut || =5+ 6 || || || || || || || || Jos ehdotuksella/aloitteella on vaikutuksia useampaan
otsakkeeseen: Toimintamäärärahat YHTEENSÄ || Sitoumukset || (4) || || || || || || || || Maksut || (5) || || || || || || || || Tiettyjen ohjelmien määrärahoista katettavat hallintomäärärahat YHTEENSÄ || (6) || || || || || || || || Monivuotisen rahoituskehyksen OTSAKKEISIIN 1–4 kuuluvat määrärahat YHTEENSÄ (viitemäärä) || Sitoumukset || =4+ 6 || || || || || || || || Maksut || =5+ 6 || || || || || || || || Monivuotisen rahoituskehyksen otsake: || 5 || ”Hallintomenot” milj. euroa (kolmen desimaalin tarkkuudella) || || || vuosi n 2014 || vuosi 2015 || vuosi 2016 || vuosi 2017 || vuosi 2018 || vuosi 2019 || vuosi 2020 || YHTEENSÄ PO: JUST || Henkilöresurssit || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454 Muut hallintomenot || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885 PO JUST YHTEENSÄ || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 kuuluvat määrärahat YHTEENSÄ || (Sitoumukset yhteensä = = maksut yhteensä) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 milj. euroa (kolmen desimaalin tarkkuudella) || || || vuosi n[58] || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ Monivuotisen rahoituskehyksen OTSAKKEISIIN 1–5 kuuluvat määrärahat YHTEENSÄ || Sitoumukset || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Maksut || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339
3.2.2.
Arvioidut vaikutukset toimintamäärärahoihin
þ Ehdotus/aloite ei edellytä toimintamäärärahoja. Henkilötietojen korkeatasoinen suoja kuuluu
myös perusoikeus- ja kansalaisuusohjelman tavoitteisiin. ¨ Ehdotus/aloite edellyttää toimintamäärärahoja seuraavasti: Maksusitoumusmäärärahat, milj. euroa (kolmen
desimaalin tarkkuudella) Tavoitteet ja tuotokset ò || || || vuosi n=2014 || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ TUOTOKSET Tyyppi[59] || Keskimäär. kustannukset || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä yhteensä || Kustannukset yhteensä ERITYISTAVOITE 1 || - tuotos || asiat[60] || || || || || || || || || || || || || || || || || Välisumma erityistavoite 1 || || || || || || || || || || || || || || || || ERITYISTAVOITE 2 || - tuotos || tapaukset[61] || || || || || || || || || || || || || || || || || Välisumma erityistavoite 2 || || || || || || || || || || || || || || || || KUSTANNUKSET YHTEENSÄ || || || || || || || || || || || || || || || ||
3.2.3.
Arvioidut vaikutukset hallintomäärärahoihin
3.2.3.1.
Yhteenveto
¨ Ehdotus/aloite ei edellytä hallintomäärärahoja. þ Ehdotus/aloite edellyttää hallintomäärärahoja seuraavasti: milj. euroa (kolmen
desimaalin tarkkuudella) || vuosi n[62] 2014 || vuosi 2015 || vuosi 2016 || vuosi 2017 || vuosi 2018 || vuosi 2019 || vuosi 2020 || YHTEENSÄ Monivuotisen rahoituskehyksen OTSAKE 5 || || || || || || || || Henkilöresurssit || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454 Muut hallintomenot || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885 Monivuotisen rahoituskehyksen OTSAKE 5, välisumma || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät[63] || || || || || || || || Henkilöresurssit || || || || || || || || Muut hallintomenot || || || || || || || || Monivuotisen rahoituskehyksen OTSAKKEESEEN 5 sisältymättömät, välisumma || || || || || || || || YHTEENSÄ || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339
3.2.3.2.
Henkilöresurssien
arvioitu tarve
¨ Ehdotus/aloite ei edellytä henkilöresursseja. þ Ehdotus/aloite edellyttää henkilöresursseja seuraavasti: Arvio kokoaikaiseksi muutettuna (tai enintään
yhden desimaalin tarkkuudella) || vuosi 2014 || vuosi 2015 || vuosi 2016 || vuosi 2017 || vuosi 2018 || vuosi 2019 || vuosi 2020 Henkilöstötaulukkoon sisältyvät virat/toimet (virkamiehet ja väliaikaiset toimihenkilöt) XX 01 01 01 (päätoimipaikka ja komission edustustot EU:ssa) || 22 || 22 || 22 || 22 || 22 || 22 || 22 XX 01 01 02 (edustustot EU:n ulkopuolella) || || || || || || || Ulkopuolinen henkilöstö (kokoaikaiseksi muutettuna)[64] XX 01 02 01 (kokonaismäärärahoista katettavat sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || 2 || 2 || 2 || 2 || 2 || 2 || 2 XX 01 02 02 (sopimussuhteiset ja paikalliset toimihenkilöt, vuokrahenkilöstö, nuoremmat asiantuntijat ja kansalliset asiantuntijat EU:n ulkopuolisissa edustustoissa) || || || || || || || XX 01 04 yy[65] || - päätoimipaikassa[66] || || || || || || || - EU:n ulkop. edustustoissa || || || || || || || XX 01 05 02 (epäsuora tutkimustoiminta: sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || || || || || || || 10 01 05 02 (suora tutkimustoiminta: sopimussuhteiset toimihenkilöt, vuokrahenkilöstö ja kansalliset asiantuntijat) || || || || || || || Muu budjettikohta (mikä?) || || || || || || || YHTEENSÄ || 24 || 24 || 24 || 24 || 24 || 24 || 24 XX viittaa
kyseessä olevaan toimintalohkoon eli talousarvion osastoon. Uudistuksen myötä komissio saa hoitaakseen
uusia tehtäviä yksilöiden suojelemiseksi henkilötietojen käsittelyssä. Uudet tehtävät muodostuvat lähinnä uuden
yhdenmukaisuusmekanismin täytäntöönpanosta, jonka tarkoituksena on varmistaa
yhdenmukaisen tietosuojalainsäädännön yhtenäinen soveltaminen, kolmansien
maiden tietosuojan riittävyyden arviointi, mikä on yksinomaan komission
vastuulla, sekä täytäntöönpanosäädösten ja delegoitujen säädösten valmistelu. Komissio jatkaa nykyisten tehtäviensä hoitamista
(esim. politiikan suunnittelu, täytäntöönpanon seuranta, tietoisuuden
lisääminen, valitusten käsittely). Henkilöresurssien tarve katetaan toimen
hallinnointiin jo osoitetulla pääosaston henkilöstöllä ja/tai pääosastossa
toteutettujen henkilöstön uudelleenjärjestelyjen tuloksena saadulla
henkilöstöllä sekä tarvittaessa sellaisilla lisäresursseilla, jotka toimea
hallinnoiva pääosasto voi saada käyttöönsä vuotuisessa määrärahojen
jakomenettelyssä talousarvion puitteissa. Kuvaus henkilöstön
tehtävistä: Virkamiehet ja väliaikaiset toimihenkilöt || Tietosuojaa koskevasta yhdenmukaisuusmekanismista vastaavien työntekijöiden tehtävänä on varmistaa EU:n tietosuojasääntöjen yhdenmukainen soveltaminen. Tehtäviin kuuluu jäsenvaltioiden viranomaisten ratkaistavaksi toimittamien tapausten tutkiminen, jäsenvaltioiden kanssa neuvotteleminen ja komission päätösten valmisteleminen. Viimeaikaisten kokemusten perusteella odotetaan, että yhdenmukaisuusmekanismin puitteissa käsitellään 5–10 tapausta vuodessa. Tietosuojan riittävyyttä koskevien pyyntöjen käsittely kattaa suorat yhteydenotot asianomaiseen maahan, maassa vallitsevista edellytyksistä mahdollisesti laadittavien asiantuntijaselvitysten hallinnoinnin, edellytysten arvioinnin, asiaa koskevien komission päätösten ja menettelyn valmistelun, mukaan lukien komissiota avustavan komitean ja mahdollisten asiantuntijaelinten työn hallinnointi. Kokemusten perusteella vuosittain laaditaan enintään 4 tietosuojan riittävyyden arviointia. Täytäntöönpanosäädösten antamiseen sisältyy valmistelutoimien, kuten keskusteluasiakirjojen ja tutkimusten laatiminen ja julkisten kuulemisten järjestäminen sekä varsinaisen säädösluonnoksen laatiminen ja neuvotteluprosessin hallinnointi asiaa käsittelevissä komiteoissa ja muissa työryhmissä ja yleensäkin yhteyksien hoitaminen sidosryhmiin. Tiukempaa ohjausta vaativilla aloilla voidaan käsitellä vuodessa enintään kolme täytäntöönpanotoimenpidettä, koska menettely voi kestää neuvottelutiheydestä riippuen jopa 24 kuukautta. Ulkopuolinen henkilöstö || Hallinnollinen ja sihteeristön tarjoama tuki
3.2.4.
Yhteensopivuus nykyisen monivuotisen
rahoituskehyksen kanssa
¨ Ehdotus/aloite on seuraavan monivuotisen rahoituskehyksen
mukainen. þ Ehdotus/aloite edellyttää rahoituskehyksen asianomaisen otsakkeen
rahoitussuunnitelman muuttamista. Seuraavassa
taulukossa esitetään vuotuiset määrärahat, jotka Euroopan tietosuojavaltuutettu
tarvitsee nykyisten suunnitelmien lisäksi voidakseen hoitaa Euroopan
tietosuojaneuvoston sihteeristön tehtäviin liittyvät uudet tehtävänsä ja tähän
liittyvät menettelyt ja työvälineet seuraavien rahoitusnäkymien aikana. Vuosi || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Yhteensä Henkilöstö ym. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823 Toiminta || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250 Yhteensä || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073 ¨ Ehdotus/aloite edellyttää joustovälineen varojen käyttöön ottamista
tai monivuotisen rahoituskehyksen tarkistamista.[67]
3.2.5.
Ulkopuolisten tahojen osallistuminen rahoitukseen
þEhdotuksen/aloitteen rahoittamiseen ei osallistu ulkopuolisia tahoja. ¨Ehdotuksen/aloitteen rahoittamiseen osallistuu ulkopuolisia tahoja
seuraavasti (arvio): määrärahat, milj. euroa (kolmen desimaalin
tarkkuudella) || vuosi n || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || Yhteensä Rahoitukseen osallistuva taho || || || || || || || || Yhteisrahoituksella katettavat määrärahat YHTEENSÄ || || || || || || || ||
3.3.
Arvioidut vaikutukset tuloihin
þ Ehdotuksella/aloitteella ei ole vaikutuksia tuloihin. ¨ Ehdotuksella/aloitteella on vaikutuksia tuloihin seuraavasti: ·
¨ vaikutukset omiin varoihin ·
¨ vaikutukset sekalaisiin tuloihin milj. euroa (kolmen desimaalin tarkkuudella) Tulopuolen budjettikohta || Käytettävissä olevat määrärahat kuluvana varainhoitovuonna || Ehdotuksen/aloitteen vaikutus[68] vuosi n || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || || || || || || || || Vastaava(t)
menopuolen budjettikohta (budjettikohdat) käyttötarkoitukseensa sidottujen
sekalaisten tulojen tapauksessa: Selvitys
tuloihin kohdistuvan vaikutuksen laskentamenetelmästä Liite
rahoitusselvitykseen, joka koskee ehdotusta Euroopan parlamentin ja neuvoston
asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä. Sovellettu menetelmä ja keskeiset
perusoletukset Kustannukset, jotka liittyvät
säädösehdotuksista Euroopan tietosuojavaltuutetulle aiheutuviin uusiin
tehtäviin, on arvioitu vastaaviin tehtäviin liittyvien komission
henkilöstömenojen perusteella. Euroopan tietosuojavaltuutettu huolehtii
tietosuojatyöryhmän korvaavan Euroopan tietosuojaneuvoston sihteeristön
tehtävistä. Komission tähän tehtävään
käyttämän nykyisen työmäärän perusteella näihin tehtäviin tarvitaan kolme
kokoaikaista työntekijää sekä vastaavat hallinto- ja toimintamäärärahat. Työtehtävät alkavat asetuksen voimaantulosta. Lisäksi Euroopan tietosuojavaltuutetulla on
yhdenmukaisuusmekanismiin liittyviä tehtäviä, joihin odotetaan tarvittavan
viisi kokoaikaista työntekijää. Lisäksi kansallisten tietosuojaviranomaisten
yhteisen tietojärjestelmän kehittämiseen ja käyttöön tarvitaan kaksi
henkilöstön jäsentä lisää. Seuraavassa taulukossa esitetään tarkemmin
ensimmäisten seitsemän vuoden aikana tarvittavien määrärahojen lisäystarpeen
laskutapa. Toisessa taulukossa esitetään
tarvittavat toimintamäärärahat. Tämä on
otettava huomioon Euroopan tietosuojavaltuutettua koskevassa EU:n yleisen
talousarvion pääluokassa 9. Kustannuslaji || Laskutapa || Määrä (tuhansia euroja) 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Yht. Palkka ja korvaukset || || || || || || || || || tietosuojaneuvoston puheenjohtaja || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100 virkamiehiä ja väliaikaisia toimihenkilöitä || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223 kansallisia asiantuntijoita || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511 sopimussuhteisia toimihenkilöitä || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896 Palvelukseenoton kustannukset || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113 Virkamatkakulut || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630 Muut menot, koulutus || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350 Hallintomenot yhteensä || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823 Kuvaus henkilöstön tehtävistä: Virkamiehet ja väliaikaiset toimihenkilöt || Tietosuojaneuvoston sihteeristön tehtävistä vastaavat työntekijät. Työtehtäviin kuuluu logistiikkatuen, kuten talousarvioon ja sopimuksentekoon liittyvien kysymysten, ohella kokousten asialistojen valmistelu, asiantuntijoiden kutsuminen, työryhmän asialistalla olevia kysymyksiä koskevat selvitykset, työryhmän työskentelyyn liittyvien asiakirjojen hallinnointi, mukaan lukien siihen liittyvät tietosuojaa, luottamuksellisuutta ja yleisön tiedonsaantia koskevat vaatimukset. Kaikki alatyöryhmät ja asiantuntijatyöryhmät mukaan lukien kokouksia ja päätöksentekomenettelyjä on vuosittain jopa 50. Tietosuojaa koskevasta yhdenmukaisuusmekanismista vastaavien työntekijöiden tehtävänä on varmistaa EU:n tietosuojasääntöjen yhdenmukainen soveltaminen. Tehtäviin kuuluu jäsenvaltioiden viranomaisten ratkaistavaksi toimittamien tapausten tutkiminen, jäsenvaltioiden kanssa neuvotteleminen ja komission päätösten valmisteleminen. Viimeaikaisten kokemusten perusteella yhdenmukaisuusmekanismin puitteissa käsitellään 5–10 tapausta vuodessa. Tietojärjestelmä helpottaa operatiivista yhteydenpitoa kansallisten tietosuojaviranomaisten kesken ja niiden rekisterinpitäjien välillä, joiden on jaettava tietoja viranomaisten kanssa. Tietojärjestelmästä vastaavan henkilön tai henkilöiden tehtävänä on varmistaa järjestelmään liittyvien vaatimusten suunnittelua, täytäntöönpanoa ja toimintaa koskevien prosessien laadunvalvonta, projektihallinta ja talousarvion täytäntöönpanon seuranta. Ulkopuolinen henkilöstö || Hallinnollinen ja sihteeristön tarjoama tuki Euroopan tietosuojavaltuutetun
erityistehtäviin liittyvät menot Tavoitteet ja tuotokset ò || || || vuosi n=2014 || vuosi n + 1 || vuosi n + 2 || vuosi n + 3 || …ja näitä seuraavat vuodet (ilmoitetaan kaikki vuodet, joille ehdotuksen/aloitteen vaikutukset ulottuvat, ks. kohta 1.6) || YHTEENSÄ TUOTOKSET Tyyppi[69] || Keskimäär. kustannukset || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä || Kustannus || Lukumäärä yhteensä || Kustannukset yhteensä ERITYISTAVOITE 1[70] || Tietosuojaneuvoston sihteeristön tehtävät - tuotos || tapaukset[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3.200 Välisumma erityistavoite 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200 ERITYISTAVOITE 2 || Yhdenmukaisuusmekanismi - tuotos || asiat[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2.950 Välisumma erityistavoite 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950 ERITYISTAVOITE 3 || Tietosuojavastaavien yhteinen tietojärjestelmä (Euroopan tietosuojavaltuutettu) - tuotos || tapaukset[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4.100 Välisumma erityistavoite 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100 KUSTANNUKSET YHTEENSÄ || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250 [1] Yksityisyydensuoja verkottuvassa maailmassa – Uusi
eurooppalainen tietosuojakehys, COM(2012) 9 final. [2] KOM(2012) 10 final. [3] Euroopan parlamentin ja neuvoston direktiivi 95/46/EY,
annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen
käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, EYVL L 281,
23.11.1995, s. 31. [4] Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä
marraskuuta 2008, rikosasioissa tehtävässä poliisi- ja oikeudellisessa
yhteistyössä käsiteltävien henkilötietojen suojaamisesta, EUVL L 350,
30.12.2008, s. 60, jäljempänä ’puitepäätös’. [5] KOM(2010) 245 lopullinen. [6] KOM(2010) 2020 lopullinen. [7] Tukholman ohjelma – Avoin ja turvallinen Eurooppa
kansalaisia ja heidän suojeluaan varten, EUVL C 115, 4.5.2010,
s. 1. [8] Euroopan parlamentin päätöslauselma komission
tiedonannosta Euroopan parlamentille ja neuvostolle Vapauden, turvallisuuden
ja oikeuden alue kansalaisia varten – Tukholman ohjelma, annettu
25.11.2009, (P7_TA(2009)0090). [9] KOM(2010) 171 lopullinen. [10] KOM(2010) 609 lopullinen. [11] Erityiseurobarometritutkimus (EB) 359 Data Protection
and Electronic Identity in the EU (2011), http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm. [13] Kaikki kannanotot, jotka eivät ole luottamuksellisia, ovat
nähtävissä komission verkkosivustolla osoitteessa http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [14] Kaikki kannanotot, jotka eivät ole luottamuksellisia, ovat
nähtävissä komission verkkosivustolla osoitteessa http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [15] http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm. [16] http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp. [17] Euroopan verkko- ja tietoturvavirasto, joka käsittelee
viestintäverkkojen ja tietojärjestelmien turvallisuuteen liittyviä asioita. [18] Ks. http://www.enisa.europa.eu/act/it/data-breach-notification. [19] Erityiseurobarometritutkimus (EB) 359 Data Protection
and Electronic Identity in the EU (2011), http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [20] Ks. Study on the economic benefits of privacy enhancing
technologies tai Comparative study on different approaches to new
privacy challenges, in particular in the light of technological developments,
tammikuu 2010. (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[21] Tietosuojatyöryhmä on perustettu vuonna 1996
tietosuojadirektiivin (95/46/EY) 29 artiklan nojalla. Se on neuvoa-antava
ryhmä, jossa ovat edustettuina kansalliset tietosuojaviranomaiset, Euroopan
tietosuojavaltuutettu ja komissio. Lisätietoja työryhmän toiminnasta, ks. http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [22] Ks. erityisesti seuraavat lausunnot: aiheesta
”yksityisyydensuoja tulevaisuudessa” (2009, WP 168); rekisterinpitäjän ja
henkilötietojen käsittelijän käsitteistä (1/2010, WP 169); käyttötottumuksia
seuraavasta internetmainonnasta (2/2010, WP 171); tilivelvollisuuden
periaatteesta (3/2010, WP 173); sovellettavasta lainsäädännöstä (8/2010, WP
179); ja suostumuksen määritelmästä (15/2011, WP 187). Komission pyynnöstä
työryhmä esitti myös kolme neuvoa-antavaa asiakirjaa ilmoituksista,
arkaluonteisista tiedoista ja tietosuojadirektiivin 28 artiklan
6 kohdan käytännön täytäntöönpanosta. Nämä asiakirjat ovat saatavilla
osoitteessa
http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [23] Saatavilla Euroopan tietosuojavaltuutetun verkkosivustolla
osoitteessa http://www.edps.europa.eu/EDPSWEB. [24] Euroopan parlamentin päätöslauselma, 6.7.2011, kattavasta
lähestymistavasta henkilötietojen suojaan Euroopan unionissa (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(esittelijä: Euroopan parlamentin jäsen Axel Voss (EPP/DE)). [25] SEC(2012) 72. [26] CESE 999/2011. [27] Yhteisöjen tuomioistuimen yhdistetyt asiat C-92/09 ja
C-93/09, Volker und Markus Schecke ja Eifert, tuomio 9.11.2010 (Kok., s.
I-0000). [28] Perusoikeuskirjan 52 artiklan 1 kohdan mukaan tietosuojaoikeuden
käyttämistä voidaan rajoittaa, jos näistä rajoituksista säädetään lailla, jos
niissä kunnioitetaan kyseisten oikeuksien ja vapauksien olennaista sisältöä ja
jos ne suhteellisuusperiaatteen mukaisesti ovat välttämättömiä ja vastaavat
tosiasiallisesti Euroopan unionin tunnustamia yleisen edun mukaisia tavoitteita
tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. [29] Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY,
annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja
yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän
tietosuojadirektiivi), EYVL L 201, 31.7.2002, s. 37. [30] Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY,
annettu 25 päivänä marraskuuta 2009, yleispalvelusta ja käyttäjien oikeuksista
sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin
2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen
viestinnän alalla annetun direktiivin 2002/58/EY ja
kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten
viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta
(ETA:n kannalta merkityksellinen teksti), EUVL L 337, 18.12.2009, s. 11. [31] YK:n yleiskokous hyväksyi yleissopimuksen ja avasi sen
allekirjoittamista, ratifiointia ja liittymistä varten 20.11.1989 antamallaan
päätöslauselmalla 44/25. [32] Päätöslauselman on antanut tietosuojavaltuutettujen
kansainvälinen konferenssi 5. marraskuuta 2009. Ks. yhteistä eurooppalaista
kauppalakia koskevan asetusehdotuksen 13 artiklan 3 kohta, KOM(2011) 635
lopullinen. [33] CM/Rec (2010)13. [34] Yhteisöjen tuomioistuimen asia C-518/07, komissio v.
Saksa, tuomio 9.3.2010 (Kok., s. I-1885). [35] Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001,
annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen
toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden
tietojen vapaasta liikkuvuudesta, EYVL L 8, 12.1.2001, s. 1. [36] Ks. alaviite 34. [37] Neuvoston päätös 2008/615/YOS, tehty 23 päivänä kesäkuuta
2008, rajatylittävän yhteistyön tehostamisesta erityisesti terrorismin ja
rajatylittävän rikollisuuden torjumiseksi, EUVL L 210, 6.8.2008, s. 1. [38] Säännös perustuu rikosoikeudellisia menettelyjä koskevien
toimivaltaristiriitojen ehkäisemisestä ja ratkaisemisesta 30 päivänä
marraskuuta 2009 tehdyn neuvoston puitepäätöksen 2009/948/YOS 5 artiklan 1
kohtaan, EUVL L 328, 15.12.2009, s. 42; ja perustamissopimuksen 81 ja 82
artiklassa vahvistettujen kilpailusääntöjen täytäntöönpanosta 16 päivänä
joulukuuta 2002 annetun neuvoston asetuksen (EY) N:o 1/2003 13 artiklan 1
kohtaan, EYVL L 1, 4.1.2003, s. 1. [39] Säännös perustuu tietoyhteiskunnan palveluja, erityisesti
sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista
näkökohdista 8 päivänä kesäkuuta 2000 annetun Euroopan parlamentin ja neuvoston
direktiivin 2000/31/EY (”direktiivi sähköisestä kaupankäynnistä”) 18 artiklan 1
kohtaan, EYVL L 178, 17.7.2000, s. 1. [40] Tulkinnan osalta ks. yhteisöjen tuomioistuimen asia
C-73/07, Satakunnan Markkinapörssi ja Satamedia, tuomio 16.12.2008 (Kok., s.
I-9831). [41] EUVL C , s.. [42] EUVL C , s.. [43] EYVL L 281, 23.11.1995, s. 31. [44] EYVL L 8, 12.1.2001, s. 1. [45] Euroopan parlamentin ja neuvoston asetus (EU) N:o
182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja
periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission
täytäntöönpanovallan käyttöä, EUVL L 55, 28.2.2011, s. 13. [46] EYVL L 176, 10.7.1999, s. 36. [47] EUVL L 53, 27.2.2008, s. 52. [48] EUVL L 160, 18.6.2011, s. 19. [49] ABM: toimintoperusteinen johtaminen; ABB:
toimintoperusteinen budjetointi. [50] Sellaisina kuin nämä on määritelty varainhoitoasetuksen
49 artiklan 6 kohdan a ja b alakohdassa. [51] Kuvaukset eri hallinnointitavoista ja viittaukset
varainhoitoasetukseen ovat saatavilla budjettipääosaston verkkosivuilla
osoitteessa http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html. [52] Sellaisina kuin nämä on määritelty varainhoitoasetuksen
185 artiklassa. [53] JM = jaksotetut määrärahat; EI-JM = jaksottamattomat
määrärahat. [54] EFTA: Euroopan vapaakauppaliitto. [55] Ehdokasmaat ja soveltuvin osin Länsi-Balkanin mahdolliset
ehdokasmaat. [56] Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi. [57] Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien
ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat),
epäsuora ja suora tutkimustoiminta. [58] Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi. [59] Tuotokset ovat tuloksena olevia tuotteita ja palveluita
(esim. rahoitettujen opiskelijavaihtojen määrä tai rakennetut tiekilometrit). [60] Tietosuojaneuvoston lausunnot, päätökset, menettelyt ja
kokoukset. [61] Yhdenmukaisuusmekanismin puitteissa käsitellyt tapaukset. [62] Vuosi n on ehdotuksen/aloitteen toteutuksen aloitusvuosi. [63] Tekninen ja/tai hallinnollinen apu sekä EU:n ohjelmien
ja/tai toimien toteuttamiseen liittyvät tukimenot (entiset BA-budjettikohdat),
epäsuora ja suora tutkimustoiminta. [64] Sopimussuhteiset toimihenkilöt, vuokrahenkilöstö,
nuoremmat asiantuntijat EU:n ulkopuolisissa edustustoissa, paikalliset
toimihenkilöt ja kansalliset asiantuntijat. [65] Toimintamäärärahoista katettavan ulkopuolisen henkilöstön
enimmäismäärä (entiset BA-budjettikohdat). [66] Etenkin rakennerahastot, Euroopan maaseudun kehittämisen
maatalousrahasto (maaseuturahasto) ja Euroopan kalatalousrahasto. [67] Katso toimielinten sopimuksen 19 ja 24 kohta. [68] Perinteiset omat varat (tulli- ja sokerimaksut) on
ilmoitettava nettomääräisinä eli bruttomäärästä on vähennettävä kantokuluja
vastaava 25 prosentin osuus. [69] Tuotokset ovat tuloksena olevia tuotteita ja palveluita
(esim. rahoitettujen opiskelijavaihtojen määrä tai rakennetut tiekilometrit). [70] Kuten kuvattu kohdassa 1.4.2 ”Erityistavoitteet”. [71] Yhdenmukaisuusmekanismin puitteissa käsitellyt tapaukset. [72] Tietosuojaneuvoston lausunnot, päätökset, menettelyt ja
kokoukset. [73] Tietojärjestelmien kehittämistä ja käyttöä koskevien
vuosiarvioiden kokonaismäärät.