interactive GDPR 2016/0679 ET

1.   Kui vastutav töötleja töötleb isikuandmeid eesmärkidel, mille puhul ei nõuta või enam ei nõuta andmesubjekti tuvastamist vastutava töötleja poolt, ei ole vastutav töötleja kohustatud säilitama, hankima ega töötlema lisateavet, et tuvastada andmesubjekt ainult käesoleva määruse järgimiseks.

2.   Kui vastutav töötleja on käesolevas artikli lõikes 1 osutatud juhtudel võimeline tõendama, et ta ei suuda andmesubjekti tuvastada, teavitab ta vastavalt andmesubjekti, kui see on võimalik. Sellistel juhtudel ei kohaldata artikleid 15–20, välja arvatud juhul, kui andmesubjekt esitab enda tuvastamist võimaldavat lisateavet, et kasutada nende artiklite kohaseid õigusi.

1.   Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.

2.   Vastutav töötleja aitab kaasa artiklite 15–22 kohaste andmesubjekti õiguste kasutamisele. Artikli 11 lõikes 2 osutatud juhtudel ei keeldu vastutav töötleja meetmete võtmisest andmesubjekti taotlusel tema artiklite 15–22 kohaste õiguste kasutamiseks, välja arvatud juhul, kui vastutav töötleja tõendab, et ta ei suuda andmesubjekti tuvastada.

3.   Vastutav töötleja esitab andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe artiklite 15–22 kohase taotluse alusel võetud meetmete kohta. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, võttes arvesse taotluse keerukust ja hulka. Vastutav töötleja teavitab andmesubjekti igast taolisest pikendamisest ja viivituse põhjustest ühe kuu jooksul alates taotluse saamisest. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.

4.   Kui vastutav töötleja ei võta meetmeid vastavalt andmesubjekti taotlusele, teatab ta andmesubjektile viivituseta ja hiljemalt ühe kuu jooksul alates taotluse saamisest meetmete võtmata jätmise põhjused ning selgitab talle võimalust esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

5.   artiklite 13 ja 14 kohase teabe esitamine ning artiklite 15–22 ja 34 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja kas:

a)	küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või

b)	keelduda taotletud meetmete võtmisest.

Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

6.   Kui vastutaval töötlejal on põhjendatud kahtlused artiklites 15–21 osutatud taotlust esitava füüsilise isiku identiteedi suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist, piiramata seejuures artikli 11 kohaldamist.

7.   Andmesubjektidele artiklite 13 ja 14 kohaselt edastatava teabe võib anda koos standardsete ikoonide esitamisega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, on need masinloetavad.

8.   Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks ikoonidega esitatav teave ja standardsete ikoonide esitamise kord.

1.   Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada

a)	riigi julgeolek;

b)	riigikaitse;

c)	avalik julgeolek;

d)	süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

e)	liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;

f)	kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;

g)	reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

h)	jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a – e ja g osutatud juhtudel;

i)	andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

j)	tsiviilõiguslike nõuete täitmise tagamine.

2.   Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:

a)	töötlemise või selle kategooriate eesmärgid;

b)	isikuandmete liigid;

c)	kehtestatud piirangute ulatus;

d)	kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)	vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)	säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;

g)	andmesubjektide õigusi ja vabadusi ähvardavad ohud ning

h)	andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.

1.   Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2.   Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi vastutava töötleja suhtes ja vastu.

1.   Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2.   Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3.   Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

a)

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)	tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)	võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)	järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)	võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)	aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)	pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)	teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4.   Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5.   Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6.   Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7.   Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8.   Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9.   Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10.   Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

1.   Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2.   Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

a)	isikuandmete õiglane ja läbipaistev töötlemine;

b)	vastutava töötleja õigustatud huvid teatud kontekstis;

c)	isikuandmete kogumine;

d)	isikuandmete pseudonümiseerimine;

e)	üldsuse ja andmesubjektide teavitamine;

f)	andmesubjektide õiguste kasutamine;

g)	laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)	artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)	isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)	isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)	vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

3.   Peale selle, et käesoleva artikli lõike 5 kohaselt heaks kiidetud ja käesoleva artikli lõike 9 kohaselt terves liidus kehtivaks tunnistatud toimimisjuhendeid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võivad neid järgida ka vastutavad töötlejad ja volitatud töötlejad, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, et tagada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus artikli 46 lõike 2 punktis e osutatud tingimustel asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

4.   Käesoleva artikli lõike 2 kohane toimimisjuhend peab sisaldama mehhanisme, mis võimaldavad artikli 41 lõikes 1 osutatud asutusel teha kohustuslikku järelevalvet selle üle, et toimimisjuhendit täitma kohustunud vastutav töötleja või volitatud töötleja järgib seda, ilma et see piiraks artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5.   Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

6.   Kui toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend kiidetakse vastavalt lõikele 5 heaks ning kui asjaomane toimimisjuhend ei ole seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, registreerib ja avaldab järelevalveasutus toimimisjuhendi.

7.   Kui toimimisjuhendi kavand on seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, siis esitab artikli 55 kohaselt pädev järelevalveasutus toimimisjuhendi enne selle heakskiitmist artiklis 63 osutatud menetluse kohaselt andmekaitsenõukogule, kes esitab arvamuse selle kohta, kas toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab käesoleva artikli lõikes 3 osutatud olukorras asjakohased kaitsemeetmed.

8.   Kui lõikes 7 osutatud arvamuses kinnitatakse, et toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab lõikes 3 osutatud olukorras asjakohased kaitsemeetmed, siis esitab andmekaitsenõukogu oma arvamuse komisjonile.

9.   Komisjon võib rakendusaktidega otsustada, et talle vastavalt käesoleva artikli lõikele 8 esitatud heakskiidetud toimimisjuhendid, muudatused ja laiendused kehtivad terves liidus. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

10.   Komisjon tagab asjakohase teavituse lõike 9 kohase otsusega terves liidus kehtivaks tunnistatud heakskiidetud toimimisjuhenditest.

11.   Andmekaitsenõukogu koondab kõik heakskiidetud toimimisjuhendid, muudatused ja laiendused registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

1.   Ilma et see mõjutaks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, võib artikli 40 kohase toimimisjuhendi järgimise üle järelevalvet teostada asutus, kellel on toimimisjuhendi sisu osas asjakohased ekspertteadmised ja kes on selleks pädeva järelevalveasutuse poolt akrediteeritud.

2.   Lõikes 1 osutatud asutust võib akrediteerida teostama toimimisjuhendi järgimise üle järelevalvet, kui nimetatud asutus:

a)	on pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi toimimisjuhendi sisu osas;

b)	on kehtestanud menetlused, mis võimaldavad tal hinnata vastutavate töötlejate ja volitatud töötlejate sobivust toimimisjuhendi kohaldamiseks, teostada järelevalvet selle sätete järgimise üle ja vaadata korrapäraselt üle selle toimimist;

c)

on kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt toimimisjuhendi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

d)	tõendab pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3.   Pädev järelevalveasutus esitab käesoleva artikli lõikes 1 osutatud asutuse akrediteerimise kriteeriumide kavandi andmekaitsenõukogule vastavalt artiklis 63 osutatud järjepidevuse mehhanismile.

4.   Ilma et see mõjutaks pädeva järelevalveasutuse ülesandeid ja volitusi ning VIII peatüki sätete kohaldamist, võtab käesoleva artikli lõikes 1 osutatud asutus toimimisjuhendi rikkumise korral vastutava töötleja või volitatud töötleja poolt piisavaid kaitsemeetmeid kasutades asjakohased meetmed, sealhulgas vastutava töötleja või volitatud töötleja toimimisjuhendis osalemise peatamine või välistamine. Asutus teavitab pädevat järelevalveasutust sellistest meetmetest ja nende võtmise põhjustest.

5.   Pädev järelevalveasutus tühistab lõikes 1 osutatud asutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed ei vasta käesolevale määrusele.

6.   Käesolevat artiklit ei kohaldata isikuandmete töötlemisele avaliku sektori asutuste ja organite poolt.

1.   Ilma et see piiraks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, väljastab sertifikaadi ja pikendab seda sertifitseerimisasutus, millel on andmekaitse vallas asjakohased ekspertteadmised, olles enne järelevalveasutust teavitanud, et see saaks vajaduse korral kasutada oma volitusi vastavalt artikli 58 lõike 2 punktile h. Liikmesriik kehtestab, kas need sertifitseerimisasutused akrediteerib üks või mõlemad järgmistest:

a)	artikli 55 või 56 kohaselt pädev järelevalveasutus;

b)	Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (20) kohaselt, kooskõlas standardiga EN-ISO/IEC 17065/2012 ning artiklite 55 või 56 kohaselt pädeva järelevalveasutuse kehtestatud täiendavate nõuete kohaselt nimetatud riiklik akrediteerimisasutus.

2.   Lõikes 1 osutatud sertifitseerimisasutusi võib kooskõlas nimetatud lõikega akrediteerida üksnes juhul, kui need on

a)	pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi sertifitseerimise sisu osas;

b)	võtnud endale kohustuse järgida artikli 42 lõikes 5 osutatud kriteeriume, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu;

c)	kehtestanud andmekaitsesertifikaatide, -pitserite ja -märgiste väljastamise, korrapärase läbivaatamise ja tagasivõtmise menetlused;

d)

kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt sertifikaadi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

e)	tõendanud pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3.   Käesoleva artikli lõigetes 1 ja 2 osutatud sertifitseerimisasutuste akrediteerimine toimub kriteeriumide alusel, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu. Kui akrediteerimine toimub käesoleva artikli lõike 1 punkti c kohaselt, täiendavad need nõuded määruses (EÜ) nr 765/2008 sätestatud nõudeid ja tehnilisi eeskirju, mis kirjeldavad sertifitseerimisasutuste kasutatavaid meetodeid ja menetlusi.

4.   Lõikes 1 osutatud sertifitseerimisasutused vastutavad sertifikaadi väljastamiseks või sellise sertifikaadi tagasivõtmiseks kasutatava asjakohase hindamise eest, ilma et see mõjutaks vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest. Akrediteering antakse maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni sertifitseerimisasutus vastab käesolevas artiklis sätestatud nõuetele.

5.   Lõikes 1 osutatud sertifitseerimisasutus esitab pädevale järelevalveasutusele taotletud sertifikaadi väljastamise või sertifikaadi tagasivõtmise põhjused.

6.   Järelevalveasutus avaldab kergesti kättesaadaval kujul käesoleva artikli lõikes 3 osutatud nõuded ja artikli 42 lõikes 5 osutatud kriteeriumid. Järelevalveasutus edastab need nõuded ja kriteeriumid ka andmekaitsenõukogule. Euroopa Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

7.   Ilma et see piiraks VIII peatüki kohaldamist, tühistab pädev järelevalveasutus või riiklik akrediteerimisasutus käesoleva artikli lõikes 1 osutatud sertifitseerimisasutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

8.   Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks nõuded, mida tuleb arvesse võtta artikli 42 lõikes 1 osutatud andmekaitse sertifitseerimise mehhanismide puhul.

9.   Komisjon võib võtta vastu rakendusakte sertifitseerimismehhanismide ning pitserite ja -märgiste tehniliste standardite ning kasutuselevõtu edendamise ja tunnustamise mehhanismide kohta. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

1.   Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.

2.   Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:

a)

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ning andmesubjektide tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

b)

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja nende täitmise tagamise eest, sealhulgas piisavate täitmise tagamise volituste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

c)

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

3.   Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Kõnealune rakendusakt võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

4.   Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada käesoleva artikli lõike 3 kohaselt vastu võetud otsuste ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsuste toimimist.

5.   Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon vastu otsuse, et kolmas riik, territoorium või nimetatud riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab rakendusaktidega käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.

6.   Komisjon alustab asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.

7.   Käesoleva artikli lõike 5 kohane otsus ei mõjuta artiklite 46–49 kohaseid isikuandmete edastamisi kõnealusele kolmandale riigile, territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.

8.   Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil kolmandate riikide, territooriumide, kolmanda riigi kindlaksmääratud sektorite ja rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.

9.   Otsused, mille komisjon on vastu võtnud direktiivi 95/46/EÜ artikli 25 lõike 6 alusel, jäävad jõusse, kuni neid käesoleva artikli lõike 3 või 5 kohaselt vastu võetud komisjoni otsusega muudetakse, need asendatakse või kehtetuks tunnistatakse.

1.   Pädev järelevalveasutus kiidab kooskõlas artiklis 63 sätestatud järjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et

a)	need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist;

b)	nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning

c)	need vastavad lõikes 2 sätestatud nõuetele.

2.   Lõikes 1 osutatud siduvates kontsernisisestes eeskirjades määratakse kindlaks vähemalt järgmised elemendid:

a)	kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed;

b)	isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed;

c)	nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

d)

üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;

e)

andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni;

f)

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav;

g)	kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta;

h)

kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle;

i)	kaebuse esitamise menetlused;

j)

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad;

k)	mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi;

l)	mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused;

m)

mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning

n)	asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs.

3.   Komisjon võib määratleda vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

1.   Artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult ühel järgmistest tingimustest:

a)	andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

b)	edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

c)	edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

d)	edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

e)	edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

f)	edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

g)

edastamine tehakse registrist, mis liidu või liikmesriigi õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, nagu konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu või liikmesriigi õigusega ette nähtud.

Kui edastamise aluseks ei saa olla artikli 45 või 46 sätted, sealhulgas siduvaid kontsernisiseseid eeskirju käsitlevad sätted, ning kui ükski käesoleva lõike esimese lõigu kohane konkreetseks olukorraks ette nähtud erand ei ole kohaldatav, võib kolmandale riigile või rahvusvahelisele organisatsioonile andmeid edastada üksnes juhul, kui edastamine ei ole korduv, puudutab ainult piiratud arvu andmesubjekte, on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks. Vastutav töötleja teatab edastamisest järelevalveasutusele. Lisaks artiklites 13 ja 14 osutatud teabele teavitab vastutav töötleja andmesubjekte edastamisest ja vastutava töötleja poolt kaitstavatest õigustatud huvidest.

2.   Lõike 1 esimese lõigu punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid ega kõiki isikuandmete liike. Kui register on ette nähtud tutvumiseks õigustatud huviga isikutele, toimub edastamine vaid nende isikute taotlusel või juhul, kui nemad on vastuvõtjad.

3.   Lõike 1 esimese lõigu punkte a, b ja c ning lõike 1 teist lõiku ei kohaldata avalikku võimu teostavate riigiasutuste toimingute suhtes.

4.   Lõike 1 esimese lõigu punktis d osutatud avalik huvi on tunnustatud liidu õiguses või selle liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

5.   Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piirangud eri liiki isikuandmete edastamiseks kolmandale riigile või rahvusvahelisele organisatsioonile. Liikmesriigid teatavad sellistest sätetest komisjonile.

6.   Vastutav töötleja või volitatud töötleja kannab artiklis 30 osutatud registrisse hindamise ja käesoleva artikli lõike 1 teises lõigus osutatud sobivad kaitsemeetmed.

1.   Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.

2.   Erandina lõikest 1 on järelevalveasutus pädev menetlema talle esitatud kaebust või käesoleva määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte.

3.   Käesoleva artikli lõikes 2 osutatud juhtudel teavitab järelevalveasutus sellest küsimusest viivitamatult juhtivat järelevalveasutust. Kolme nädala jooksul pärast teavitamist otsustab juhtiv järelevalveasutus, kas ta asub juhtumit kooskõlas artiklis 60 sätestatuga menetlema, võttes arvesse seda, kas vastutava töötleja või volitatud töötleja tegevuskoht on teda teavitanud järelevalveasutuse liikmesriigis.

4.   Kui juhtiv järelevalveasutus otsustab juhtumit käsitleda, kohaldatakse artiklis 60 sätestatud menetlust. Juhtivat järelevalveasutust teavitanud järelevalveasutus võib juhtivale järelevalveasutusele esitada otsuse eelnõu. Juhtiv järelevalveasutus võtab seda eelnõu täiel määral arvesse artikli 60 lõikes 3 osutatud otsuse eelnõu ettevalmistamisel.

5.   Kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda, käsitleb seda juhtumit kooskõlas artiklitega 61 ja 62 see järelevalveasutus, kes juhtivat järelevalveasutust teavitas.

6.   Piiriülese isikuandmete töötlemise toimingu puhul on vastutava töötleja või volitatud töötleja ainus partner juhtiv järelevalveasutus.

1.   Järelevalveasutusel on järgmised uurimisvolitused:

a)	anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

b)	viia läbi uurimisi andmekaitseauditi kujul;

c)	vaadata läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

d)	teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

e)	saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, ning

f)	saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja mis tahes ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2.   Järelevalveasutusel on järgmised parandusvolitused:

a)	hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)	teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)	anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)	anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

e)	anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

f)	kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

g)	anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

h)	võtta sertifikaat tagasi või anda sertifitseerimisasutusele korraldus võtta tagasi artiklite 42 ja 43 alusel väljastatud sertifikaat või anda sertifitseerimisasutusele korraldus jätta sertifikaat väljastamata, kui sertifitseerimise nõuded ei ole täidetud või ei ole enam täidetud;

i)	määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

j)	anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3.   Järelevalveasutusel on järgmised lubavad ja nõuandvad volitused:

a)	nõustada vastutavat töötlejat kooskõlas artiklis 36 osutatud eelneva konsulteerimise menetlusega;

b)	esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele;

c)	anda luba artikli 36 lõikes 5 osutatud töötlemiseks, kui liikmesriigi õigus sellist eelnevat luba nõuab;

d)	esitada arvamus ja kiita heaks toimimisjuhendite kavandid vastavalt artikli 40 lõikele 5;

e)	akrediteerida sertifitseerimisasutused vastavalt artiklile 43;

f)	väljastada sertifikaate ja kiita heaks sertifitseerimise kriteeriumid kooskõlas artikli 42 lõikega 5;

g)	võtta vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud andmekaitse tüüpklauslid;

h)	kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused;

i)	kinnitada artikli 46 lõike 3 punktis b osutatud halduskokkulepped;

j)	kiita heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad.

4.   Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

5.   Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.

6.   Liikmesriik võib seadusega ette näha, et tema järelevalveasutusel on täiendavad volitused lisaks lõigetes 1, 1b ja 1c osutatud volitustele. Volituste kasutamine ei tohi kahjustada VII peatüki tõhusat toimimist.

1.   Erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, võib ta erandina artiklites 63, 64 ja 65 osutatud järjepidevuse mehhanismist või artiklis 60 osutatud menetlusest võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud. Järelevalveasutus edastab kõnealused meetmed ja nende vastuvõtmise põhjendused viivitamata teistele asjaomastele järelevalveasutustele, andmekaitsenõukogule ja komisjonile.

2.   Kui järelevalveasutus on võtnud lõike 1 kohase meetme ja leiab, et lõplikud meetmed tuleb kiiresti vastu võtta, võib ta andmekaitsenõukogult taotleda kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, põhjendades sellise arvamuse või otsuse taotlemist.

3.   Järelevalveasutus võib andmekaitsenõukogult taotleda vastavalt olukorrale kas kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, kui pädev järelevalveasutus ei ole võtnud asjakohast meedet olukorras, kus andmesubjektide õiguste ja vabaduste kaitseks tuleb kiiresti tegutseda, esitades sellise arvamuse või otsuse taotlemise ja kiire tegutsemise vajaduse põhjused.

4.   Erandina artikli 64 lõikest 3 ja artikli 65 lõikest 2 võetakse käesoleva artikli lõigetes 2 ja 3 osutatud kiireloomuline arvamus või kiireloomuline siduv otsus vastu kahe nädala jooksul andmekaitsenõukogu liikmete lihthäälteenamusega.

1.   Andmekaitsenõukogu tegutseb artiklites 70 ja 71 sätestatud ülesannete täitmisel ja volituste kasutamisel sõltumatult.

2.   Ilma et see piiraks komisjoni taotlusi, millele osutatakse artikli 70 lõike 1 punktis b ja artikli 70 lõikes 2, ei küsi ega võta andmekaitsenõukogu oma ülesannete täitmisel või volituste kasutamisel vastu juhiseid mitte kelleltki.

1.   Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)	jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)	nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)	nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)	annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)	vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

g)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

i)

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)	koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)	jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)	ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

o)

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)	täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)	esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)	esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

s)

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)	esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)	edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)	edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)	edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)	esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)	peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2.   Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3.   Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4.   Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

1.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

2.   Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artiklite 55 ja 56 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 77 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.

3.   Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.

4.   Kui menetlus algatatakse järelevalveasutuse otsuse vastu, millele eelnes järjepidevuse mehhanismi kohane andmekaitsenõukogu arvamus või otsus, edastab järelevalveasutus selle arvamuse või otsuse kohtule.

1.   Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

2.   Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.

1.   Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2.   Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)	rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)	kas rikkumine pandi toime tahtlikult või hooletusest;

c)	vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)	vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)	vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)	järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)	rikkumisest mõjutatud isikuandmete liigid;

h)	millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)	kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)	artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)	juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3.   Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)	sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)	järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

5.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)	andmesubjektide õigused artiklite 12–22 alusel;

c)	isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)	mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)	järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

6.   Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7.   Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8.   Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

9.   Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja järelevalveasutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul on määratavad trahvid tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni oma käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

1.   Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

2.   Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

3.   Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18, 19, 20 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4.   Kui lõigetes 2 ja 3 osutatud töötlemist kasutatakse samal ajal muudel eesmärkidel, võib tehtavaid erandeid kohaldada üksnes nendes lõigetes osutatud eesmärgil tehtavale töötlemisele.