Šiame reglamente:

1)   asmens duomenys– bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius;

2)   duomenų tvarkymas– bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;

3)   duomenų tvarkymo apribojimas– saugomų asmens duomenų žymėjimas siekiant apriboti jų tvarkymą ateityje;

4)   profiliavimas– bet kokios formos automatizuotas asmens duomenų tvarkymas, kai asmens duomenys naudojami siekiant įvertinti tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus, visų pirma siekiant išanalizuoti ar numatyti aspektus, susijusius su to fizinio asmens darbo rezultatais, ekonomine situacija, sveikatos būkle, asmeniniais pomėgiais, interesais, patikimumu, elgesiu, buvimo vieta arba judėjimu;

5)   pseudonimų suteikimas– asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti;

6)   susistemintas rinkinys– bet kuris susistemintas pagal specialius kriterijus prieinamų asmens duomenų rinkinys, kuris gali būti centralizuotas, decentralizuotas arba suskirstytas funkciniu ar geografiniu pagrindu;

7)   duomenų valdytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuris vienas ar drauge su kitais nustato duomenų tvarkymo tikslus ir priemones; kai tokio duomenų tvarkymo tikslai ir priemonės nustatyti Sąjungos arba valstybės narės teisės, duomenų valdytojas arba konkretūs jo skyrimo kriterijai gali būti nustatyti Sąjungos arba valstybės narės teise;

8)   duomenų tvarkytojas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis;

9)   duomenų gavėjas– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne. Tačiau valdžios institucijos, kurios pagal Sąjungos arba valstybės narės teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą, nelaikomos duomenų gavėjais; tvarkydamos tuos duomenis, tos valdžios institucijos laikosi taikomų duomenų tvarkymo tikslus atitinkančių duomenų apsaugos taisyklių;

10)   trečioji šalis– fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis;

11)   duomenų subjekto sutikimas– bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys;

12)   asmens duomenų saugumo pažeidimas– saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga;

13)   genetiniai duomenys– asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;

14)   biometriniai duomenys– po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys;

15)   sveikatos duomenys– asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;

16)   pagrindinė buveinė–

a)

duomenų valdytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, išskyrus atvejus, kai sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje Sąjungoje ir ta buveinė turi įgaliojimus nurodyti, kad tokie sprendimai būtų įgyvendinti; tokiu atveju tokius sprendimus priėmusi buveinė laikoma pagrindine buveine;

b)

duomenų tvarkytojo, turinčio buveinių daugiau kaip vienoje valstybėje narėje, atveju – jo centrinės administracijos vieta Sąjungoje, arba jeigu duomenų tvarkytojas neturi centrinės administracijos Sąjungoje – duomenų tvarkytojo buveinė Sąjungoje, kurioje vykdoma pagrindinė duomenų tvarkymo veikla, kai duomenų tvarkytojo buveinė vykdydama savo veiklą tvarko duomenis tiek, kiek duomenų tvarkytojui taikomos konkrečios prievolės pagal šį reglamentą;

17)   atstovas– Sąjungoje įsisteigęs, duomenų valdytojo arba duomenų tvarkytojo raštu pagal 27 straipsnį paskirtas fizinis arba juridinis asmuo, kuris, kiek tai susiję su jų atitinkamomis prievolėmis pagal šį reglamentą, atstovauja duomenų valdytojui arba duomenų tvarkytojui;

18)   įmonė– bet kokios teisinės formos ekonomine veikla užsiimantis fizinis arba juridinis asmuo, įskaitant reguliaria ekonomine veikla užsiimančias ūkines bendrijas arba susivienijimus;

19)   įmonių grupė– kontroliuojančioji įmonė ir jos kontroliuojamos įmonės;

20)   įmonei privalomos taisyklės– asmens duomenų apsaugos politikos nuostatos, kurių valstybės narės teritorijoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas laikosi, perduodamas asmens duomenis arba atlikdamas perdavimų seką vienos ar daugiau trečiųjų valstybių duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei;

21)   priežiūros institucija– valstybės narės pagal 51 straipsnį įsteigta nepriklausoma valdžios institucija;

22)   susijusi priežiūros institucija– priežiūros institucija, kuri yra susijusi su asmens duomenų tvarkymu dėl to, kad:

a)	duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs tos priežiūros institucijos valstybės narės teritorijoje,

b)	duomenų tvarkymas daro arba gali padaryti didelį poveikį tos priežiūros institucijos valstybėje narėje gyvenantiems duomenų subjektams; arba

c)	skundas buvo pateiktas tai priežiūros institucijai;

23)   tarpvalstybinis duomenų tvarkymas– vienas iš toliau nurodytų:

a)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

b)	asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje;

24)   tinkamas ir pagrįstas prieštaravimas– prieštaravimas sprendimo projektui dėl to, ar buvo padarytas šio reglamento pažeidimas, arba, ar numatomas veiksmas, susijęs su duomenų valdytoju arba duomenų tvarkytoju, atitinka šį reglamentą, kuris aiškiai parodo sprendimo projekto keliamų pavojų duomenų subjektų pagrindinėms teisėms ir laisvėms ir, kai taikoma, laisvam asmens duomenų judėjimui Sąjungoje, reikšmingumą;

25)   informacinės visuomenės paslauga– paslauga, kaip apibrėžta Europos Parlamento ir Tarybos direktyvos (ES) 2015/1535 (19) 1 straipsnio 1 dalies b punkte;

26)   tarptautinė organizacija– organizacija ir jai pavaldžios įstaigos, kurių veiklą reglamentuoja tarptautinė viešoji teisė, ar bet kuri kita įstaiga, įsteigta dviejų ar daugiau valstybių susitarimu arba remiantis tokiu susitarimu.

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)   „isikuandmed“– igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)   „isikuandmete töötlemine“– isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)   „isikuandmete töötlemise piiramine“– säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

4)   „profiilianalüüs“– igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

5)   „pseudonümiseerimine“– isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)   „andmete kogum“– isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

7)   „vastutav töötleja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)   „volitatud töötleja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

9)   „vastuvõtja“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

10)   „kolmas isik“– füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

11)   andmesubjekti „nõusolek“– vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

12)   „isikuandmetega seotud rikkumine“– turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

13)   „geneetilised andmed“– isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

14)   „biomeetrilised andmed“– konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

15)   „terviseandmed“– füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

16)   „peamine tegevuskoht“–

a)

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

b)

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

17)   „esindaja“– liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja või volitatud töötleja on kirjalikult artikli 27 kohaselt määranud ja kes esindab vastutavat töötlejat või volitatud töötlejat seoses nende käesolevast määrusest tulenevate vastavate kohustustega;

18)   „ettevõtja“– majandustegevusega tegelev füüsiline või juriidiline isik, olenemata selle õiguslikust vormist, sealhulgas partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

19)   „kontsern“– kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

20)   „siduvad kontsernisisesed eeskirjad“– isikuandmete kaitse põhimõtted, millest vastutav töötleja või volitatud töötleja, kelle asukoht on liikmesriigi territooriumil, lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus või ühise majandustegevusega tegelevate ettevõtjate rühmas tegutsevale vastutavale töötajale või volitatud töötlejale;

21)   „järelevalveasutus“– liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

22)   „asjaomane järelevalveasutus“– järelevalveasutus, kes on isikuandmete töötlemisega seotud, kuna

a)	vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)	asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)	kõnealusele järelevalveasutusele on esitatud kaebus;

23)   „isikuandmete piiriülene töötlemine“– kas

a)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

24)   „asjakohane ja põhjendatud vastuväide“– vastuväide kavandatavale otsusele seoses sellega, kas käesolevat määrust on rikutud või kas seoses vastutava töötleja või volitatud töötlejaga kavandatud meede on määrusega kooskõlas, mis näitab selgelt, kui suurt ohtu kujutab endast kavandatav otsus seoses andmesubjektide põhiõiguste ja -vabadustega ning, kui see on asjakohane, isikuandmete vaba liikumisega liidus;

25)   „infoühiskonna teenus“– teenus, mis vastab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (19) artikli 1 lõike 1 punktile b;

26)   „rahvusvaheline organisatsioon“– organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või mis tahes muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.