interactive GDPR 2016/0679 ET

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 ET jump to: cercato: 'asjaomaste' . Output generated live by software developed by IusOnDemand srl

index asjaomaste:

1 Artikkel 14 Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1 Artikkel 15 Andmesubjekti õigus tutvuda andmetega

2 Artikkel 33 Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1 Artikkel 35 Andmekaitsealane mõjuhinnang

1 Artikkel 47 Siduvad kontsernisisesed eeskirjad

1 Artikkel 49 Erandid konkreetsetes olukordades

7 Artikkel 60 Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö

1 Artikkel 62 Järelevalveasutuste ühisoperatsioonid

1 Artikkel 64 Andmekaitsenõukogu arvamus

1 Artikkel 65 Vaidluste lahendamine andmekaitsenõukogu poolt

1 Artikkel 66 Kiirmenetlus

1 Artikkel 70 Andmekaitsenõukogu ülesanded

1 Artikkel 97 Komisjoni aruanded

whereas asjaomaste:

definitions:

cloud tag:

and the number of total unique words without stopwords is: 1440

Artikkel 14

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1. Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)	vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	asjaomaste isikuandmete liigid;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)	teave õiguse kohta esitada kaebus järelevalveasutusele;

f)	teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3. Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)	mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)	kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)	kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5. Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

a)	andmesubjektil on see teave juba olemas;

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)	isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)	isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

Artikkel 15

Andmesubjekti õigus tutvuda andmetega

1. Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete ja järgmise teabega:

a)	töötlemise eesmärk;

b)	asjaomaste isikuandmete liigid;

c)	vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;

d)	kui võimalik, siis kavandatav isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

e)	teave õiguse kohta taotleda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist, kustutamist või töötlemise piiramist või esitada vastuväide sellisele isikuandmete töötlemisele;

f)	teave õiguse kohta esitada kaebus järelevalveasutusele;

g)	kui isikuandmeid ei koguta andmesubjektilt, siis olemasolev teave nende allika kohta;

h)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

2. Kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, on andmesubjektil õigus olla teavitatud edastamisega seoses artikli 46 kohaselt kehtestatavatest asjakohastest kaitsemeetmetest.

3. Vastutav töötleja esitab töödeldavate isikuandmete koopia. Kui andmesubjekt taotleb lisakoopiaid, võib vastutav töötleja küsida mõistlikku tasu halduskulude katmiseks. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti.

4. Lõikes 3 osutatud koopia saamise õigus ei kahjusta teiste isikute õigusi ja vabadusi.

3. jagu

Parandamine ja kustutamine

Artikkel 33

Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1. Isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest artikli 55 kohasele pädevale järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.

2. Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.

3. Lõikes 1 osutatud teates esitatakse vähemalt järgmine teave:

a)	kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;

b)	teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)	kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)	kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

4. Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.

5. Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle mõju ja võetud parandusmeetmed. Dokumendid võimaldavad järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist.

Artikkel 35

Andmekaitsealane mõjuhinnang

1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2. Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.

3. Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:

a)	füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)	artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)	avalike alade ulatuslik süstemaatiline jälgimine.

4. Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.

5. Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.

6. Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.

7. Mõjuhinnang peab hõlmama vähemalt järgmist:

a)	kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)	isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)	lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)	ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8. Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.

9. Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10. Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.

11. Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 47

Siduvad kontsernisisesed eeskirjad

1. Pädev järelevalveasutus kiidab kooskõlas artiklis 63 sätestatud järjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et

a)	need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist;

b)	nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning

c)	need vastavad lõikes 2 sätestatud nõuetele.

2. Lõikes 1 osutatud siduvates kontsernisisestes eeskirjades määratakse kindlaks vähemalt järgmised elemendid:

a)	kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed;

b)	isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed;

c)	nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;

andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni;

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav;

g)	kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta;

kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle;

i)	kaebuse esitamise menetlused;

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad;

k)	mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi;

l)	mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused;

mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning

n)	asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs.

3. Komisjon võib määratleda vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

Artikkel 49

Erandid konkreetsetes olukordades

1. Artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult ühel järgmistest tingimustest:

a)	andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

b)	edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

c)	edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

d)	edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

e)	edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

f)	edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

edastamine tehakse registrist, mis liidu või liikmesriigi õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, nagu konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu või liikmesriigi õigusega ette nähtud.

Kui edastamise aluseks ei saa olla artikli 45 või 46 sätted, sealhulgas siduvaid kontsernisiseseid eeskirju käsitlevad sätted, ning kui ükski käesoleva lõike esimese lõigu kohane konkreetseks olukorraks ette nähtud erand ei ole kohaldatav, võib kolmandale riigile või rahvusvahelisele organisatsioonile andmeid edastada üksnes juhul, kui edastamine ei ole korduv, puudutab ainult piiratud arvu andmesubjekte, on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks. Vastutav töötleja teatab edastamisest järelevalveasutusele. Lisaks artiklites 13 ja 14 osutatud teabele teavitab vastutav töötleja andmesubjekte edastamisest ja vastutava töötleja poolt kaitstavatest õigustatud huvidest.

2. Lõike 1 esimese lõigu punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid ega kõiki isikuandmete liike. Kui register on ette nähtud tutvumiseks õigustatud huviga isikutele, toimub edastamine vaid nende isikute taotlusel või juhul, kui nemad on vastuvõtjad.

3. Lõike 1 esimese lõigu punkte a, b ja c ning lõike 1 teist lõiku ei kohaldata avalikku võimu teostavate riigiasutuste toimingute suhtes.

4. Lõike 1 esimese lõigu punktis d osutatud avalik huvi on tunnustatud liidu õiguses või selle liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

5. Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piirangud eri liiki isikuandmete edastamiseks kolmandale riigile või rahvusvahelisele organisatsioonile. Liikmesriigid teatavad sellistest sätetest komisjonile.

6. Vastutav töötleja või volitatud töötleja kannab artiklis 30 osutatud registrisse hindamise ja käesoleva artikli lõike 1 teises lõigus osutatud sobivad kaitsemeetmed.

Artikkel 60

Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö

1. Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.

2. Juhtiv järelevalveasutus võib teistelt asjaomastelt järelevalveasutustelt igal ajal nõuda artikli 61 kohase vastastikuse abi osutamist ning läbi viia artikli 62 kohaseid ühisoperatsioone, eelkõige uurimiste läbiviimiseks või teises liikmesriigis asuva vastutava töötleja või volitatud töötleja suhtes võetud meetme rakendamise järelevalveks.

3. Juhtiv järelevalveasutus edastab küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele. Ta esitab otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võtab asjakohaselt arvesse nende seisukohti.

4. Kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on käesoleva artikli lõike 3 kohaselt otsuse eelnõu osas konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks artiklis 63 osutatud järjepidevuse mehhanismi raames.

5. Kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse lõikes 4 osutatud menetlust kahe nädala jooksul.

6. Juhul kui ükski teine asjaomane järelevalveasutus ei ole juhtiva järelevalveasutuse esitatud otsuse eelnõule lõigetes 4 ja 5 osutatud tähtaja jooksul vastuväidet esitanud, loetakse, et juhtiv järelevalveasutus ja asjaomased järelevalveasutused on otsuse eelnõus kokkuleppele jõudnud ja see on nende jaoks siduv.

7. Juhtiv järelevalveasutus võtab otsuse vastu ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitab teisi asjaomaseid järelevalveasutusi ja andmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjustest. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.

8. Erandina lõikest 7, juhul kui kaebus jäetakse rahuldamata või lükatakse tagasi, võtab järelevalveasutus, kellele kaebus esitati, otsuse vastu ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat.

9. Kui juhtiv järelevalveasutus ja asjaomased järelevalveasutused nõustuvad, et osa kaebusest jäetakse rahuldamata või lükatakse tagasi ja asjaomase kaebuse teine osa võetakse menetlusse, siis võetakse vastu otsus kaebuse menetletava osa kohta. Juhtiv järelevalveasutus võtab vastu otsuse vastutavat töötlejat puudutavate menetlustega seotud osa kohta ja teeb selle teatavaks oma liikmesriigis asuva vastutava töötleja või volitatud töötleja peamisele või ainsale tegevuskohale ning teavitab sellest kaebuse esitajat, samas kui kaebuse esitaja liikmesriigi järelevalveasutus võtab vastu otsuse asjaomase kaebuse rahuldamata jäetud või tagasi lükatud osa kohta ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat või volitatud töötlejat.

10. Pärast seda, kui juhtiva järelevalveasutuse otsus on lõigete 7 ja 9 kohaselt vastutavale töötlejale või volitatud töötlejale teatavaks tehtud, võtab vastutav töötleja või volitatud töötleja vajalikud meetmed isikuandmete töötlemise toimingute osas tehtud otsuse täitmise tagamiseks kõigis liidus asuvates tegevuskohtades. Vastutav töötleja või volitatud töötleja teavitab otsuse täitmiseks võetud meetmetest juhtivat järelevalveasutust, kes teavitab teisi asjaomaseid järelevalveasutusi.

11. Kui asjaomasel järelevalveasutusel on erandlike asjaolude korral põhjust arvata, et andmesubjektide huvide kaitsmiseks tuleb tegutseda kiiresti, kohaldatakse artiklis 66 osutatud kiirmenetlust.

12. Juhtiv järelevalveasutus ja teised asjaomased järelevalveasutused esitavad kõnealuse artikli alusel nõutava teabe üksteisele elektroonilisel teel, kasutades selleks tüüpvormi.

Artikkel 62

Järelevalveasutuste ühisoperatsioonid

1. Järelevalveasutused viivad asjakohasel juhul läbi ühisoperatsioone, sealhulgas ühiseid uurimisi ja ühiseid täitmise tagamise meetmeid, milles osalevad teiste liikmesriikide järelevalveasutuste liikmed või töötajad.

2. Juhul kui vastutaval töötlejal või volitatud töötlejal on tegevuskoht mitmes liikmesriigis või kui isikuandmete töötlemise toimingud tõenäoliselt võivad oluliselt mõjutada märkimisväärset arvu andmesubjekte rohkem kui ühes liikmesriigis, on kõnealuse liikmesriigi järelevalveasutusel õigus ühisoperatsioonides osaleda. Artikli 56 lõike 1 või 4 kohaselt pädev järelevalveasutus esitab kõnealuse liikmesriigi järelevalveasutusele kutse asjaomastes ühisoperatsioonides osalemiseks ja vastab viivitamata järelevalveasutuse osalemistaotlusele.

3. Järelevalveasutus võib kooskõlas liikmesriigi õigusega ning lähetava järelevalveasutuse loal anda volitusi, sealhulgas uurimisvolitusi lähetava järelevalveasutuse liikmetele või töötajatele, kes on kaasatud ühisoperatsioonidesse, või, vastuvõtva järelevalveasutuse liikmesriigi õiguses lubatud ulatuses, lubada lähetava järelevalveasutuse liikmetel või töötajatel kasutada oma uurimisvolitusi kooskõlas lähetava järelevalveasutuse liikmesriigi õigusega. Selliseid uurimisvolitusi võib kasutada ainult vastuvõtva järelevalveasutuse juhendamisel ning selle asutuse liikmete või töötajate juuresolekul. Lähetava järelevalveasutuse liikmete või töötajate suhtes kohaldatakse vastuvõtva järelevalveasutuse liikmesriigi õigust.

4. Kui lähetava järelevalveasutuse töötajad tegutsevad kooskõlas lõikega 1 teises liikmesriigis, on vastuvõtva järelevalveasutuse liikmesriik vastutav nende tegevuse eest, sealhulgas nende poolt läbi viidud operatsioonide käigus põhjustatud mis tahes kahju eest kooskõlas selle liikmesriigi õigusega, kelle territooriumil nad tegutsevad.

5. Liikmesriik, kelle territooriumil kahju tekitati, hüvitab sellise kahju nendel tingimustel, mida kohaldatakse tema enda töötajate tekitatud kahju puhul. Lähetava järelevalveasutuse liikmesriik, kelle töötajad on tekitanud kahju teise liikmesriigi territooriumil viibivale isikule, hüvitab nimetatud teisele liikmesriigile täielikult kõik summad, mida see on sellistele isikutele tasunud.

6. Ilma et see piiraks liikmesriikide õiguste kasutamist kolmandate isikute suhtes ja välja arvatud lõike 5 puhul, hoiduvad kõik liikmesriigid nõudmast lõikes 1 sätestatud juhtudel hüvitust teiselt liikmesriigilt seoses lõikes 4 osutatud kahjuga.

7. Kui kavandatakse ühisoperatsiooni ja järelevalveasutus ei täida ühe kuu jooksul käesoleva artikli lõike 2 teises lauses sätestatud kohustust, võib teine järelevalveasutus võtta vastu ajutise meetme oma liikmesriigi territooriumil vastavalt artiklile 55. Sellisel juhul loetakse, et täidetud on artikli 66 lõike 1 kohane kiireloomulise tegutsemise vajadus ning Euroopa Andmekaitsenõukogu peab artikli 66 lõike 2 kohaselt kiiresti esitama arvamuse või vastu võtma siduva otsuse.

2. jagu

Järjepidevus

Artikkel 64

Andmekaitsenõukogu arvamus

1. Andmekaitsenõukogu esitab arvamuse alati, kui pädev järelevalveasutus kavatseb vastu võtta mis tahes järgmise meetme. Sellega seoses edastab pädev järelevalveasutus andmekaitsenõukogule otsuse eelnõu, kui

a)	selle eesmärk on võtta vastu selline isikuandmete töötlemise toimingute loetelu, mille puhul kohaldatakse artikli 35 lõike 4 kohast andmekaitsealase mõjuhinnangu nõuet;

b)	see on seotud artikli 40 lõike 7 kohase küsimusega selle kohta, kas toimimisjuhendi kavand või selle muudatused või laiendused on vastavuses käesoleva määrusega;

c)	selle eesmärk on heaks kiita kriteeriumid artikli 41 lõike 3 kohaseks asutuse või artikli 43 lõike 3 kohaseks sertifitseerimisasutuse akrediteerimiseks;

d)	selle eesmärk on määrata kindlaks artikli 46 lõike 2 punktis d ja artikli 28 lõikes 8 osutatud andmekaitse standardklauslid;

e)	selle eesmärk on kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused või

f)	selle eesmärk on kiita heaks siduvad kontsernisisesed eeskirjad artikli 47 tähenduses.

2. Pädev järelevalveasutus, andmekaitsenõukogu eesistuja või komisjon võib taotleda mis tahes üldkohaldatava või rohkem kui ühes liikmesriigis mõju avaldava küsimuse puhul, et seda käsitleks arvamuse esitamiseks andmekaitsenõukogu, eelkõige juhul, kui pädev järelevalveasutus ei täida vastastikuse abi kohustust vastavalt artiklile 61 või ühisoperatsioonide kohustust vastavalt artiklile 62.

3. Lõigetes 1 ja 2 osutatud juhtudel esitab andmekaitsenõukogu arvamuse temale edastatud küsimuse kohta, tingimusel et ta ei ole samas küsimuses juba arvamust esitanud. Kõnealune arvamus võetakse vastu kaheksa nädala jooksul andmekaitsenõukogu liikmete lihthäälteenamuse alusel. Seda ajavahemikku võib pikendada kuue nädala võrra, võttes arvesse küsimuse keerukust. Kui lõikes 1 osutatud otsuse eelnõu on andmekaitsenõukogu liikmetele edastatud lõike 5 kohaselt, loetakse, et liige, kes ei ole eesistuja määratud mõistlikuks tähtajaks otsuse eelnõule vastuseisu esitanud, on sellega nõus.

4. Järelevalveasutused ja komisjon edastavad põhjendamatu viivituseta andmekaitsenõukogule elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas vastavalt vajadusele asjaolude kokkuvõtte, otsuse eelnõu, nimetatud meetme võtmise põhjused ja muude asjaomaste järelevalveasutuste seisukohad.

5. Andmekaitsenõukogu eesistuja teavitab põhjendamatu viivituseta elektrooniliselt

a)	Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud mis tahes asjakohasest teabest, kasutades selleks tüüpvormi. Andmekaitsenõukogu sekretariaat korraldab vajaduse korral asjaomase teabe tõlkimise, ning

b)	vastavalt vajadusele lõigetes 1 ja 2 osutatud järelevalveasutust ja komisjoni kõnealusest arvamusest ning avalikustab selle.

6. Pädev järelevalveasutus ei võta lõikes 3 osutatud ajavahemiku jooksul vastu lõikes 1 osutatud otsuse eelnõu.

7. Lõikes 1 osutatud järelevalveasutus arvestab igakülgselt andmekaitsenõukogu arvamusega ja annab elektroonilisel teel kahe nädala jooksul pärast arvamuse saamist tüüpvormi kasutades andmekaitsenõukogu eesistujale teada, kas ta jääb otsuse eelnõu juurde või muudab seda, ning edastab vajaduse korral muudetud otsuse eelnõu.

8. Kui asjaomane järelevalveasutus teavitab andmekaitsenõukogu eesistujat käesoleva artikli lõikes 7 osutatud ajavahemiku jooksul, et ta ei kavatse andmekaitsenõukogu arvamust kas tervikuna või osaliselt järgida, ning esitab asjakohased põhjendused, siis kohaldatakse artikli 65 lõiget 1.

Artikkel 65

Vaidluste lahendamine andmekaitsenõukogu poolt

1. Selleks et tagada käesoleva määruse nõuetekohane ja järjepidev kohaldamine üksikjuhtudel, võtab andmekaitsenõukogu vastu siduva otsuse järgmistel juhtudel:

kui asjaomane järelevalveasutus on artikli 60 lõikes 4 osutatud juhul tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta või kui juhtiv järelevalveasutus on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud. Siduv otsus puudutab kõiki asjakohases ja põhjendatud vastuväites käsitletud küsimusi, eelkõige küsimust, kas on toimunud käesoleva määruse rikkumine;

b)	kui esineb lahkarvamusi selles osas, milline on peamise tegevuskoha jaoks pädev asjaomane järelevalveasutus, ning

c)	kui pädev järelevalveasutus ei taotle andmekaitsenõukogu arvamust käesoleva artikli 64 lõikes 1 osutatud juhtudel või ei järgi andmekaitsenõukogu artikli 64 kohaselt esitatud arvamust. Sellisel juhul võib asjaomane järelevalveasutus või komisjon edastada küsimuse andmekaitsenõukogule.

2. Lõikes 1 osutatud otsus võetakse vastu ühe kuu jooksul alates sisulise küsimuse esitamisest andmekaitsenõukogu liikmete kahekolmandikulise häälteenamusega. Seda ajavahemikku võib pikendada ühe kuu võrra, võttes arvesse küsimuse keerukust. Lõikes 1 osutatud otsus on põhjendatud, see edastatakse juhtivale järelevalveasutusele ja kõigile asjaomastele järelevalveasutustele ning on neile siduv.

3. Juhul kui andmekaitsenõukogu ei ole suutnud lõikes 2 osutatud aja jooksul otsust vastu võtta, võtab ta kahe nädala jooksul pärast lõikes 2 osutatud teise kuu möödumist otsuse vastu andmekaitsenõukogu liikmete lihthäälteenamusega. Kui andmekaitsenõukogu liikmete hääled jagunevad võrdselt, on otsuse vastuvõtmisel määrav eesistuja hääl.

4. Asjaomased järelevalveasutused ei võta lõigetes 2 ja 3 osutatud ajavahemike jooksul vastu otsust andmekaitsenõukogule lõike 1 kohaselt esitatud sisulises küsimuses.

5. Andmekaitsenõukogu eesistuja teavitab lõikes 1 osutatud otsusest põhjendamatu viivituseta asjaomaseid järelevalveasutusi. Ta teatab sellest komisjonile. Otsus avaldatakse andmekaitsenõukogu veebisaidil viivituseta pärast seda, kui järelevalveasutus on teavitanud lõikes 6 osutatud lõplikust otsusest.

6. Vastavalt olukorrale kas juhtiv järelevalveasutus või see järelevalveasutus, kellele kaebus esitati, võtab käesoleva artikli lõikes 1 osutatud otsuse alusel vastu oma lõpliku otsuse, tehes seda põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul alates sellest, kui andmekaitsenõukogu on oma otsusest teavitanud. Vastavalt olukorrale kas juhtiv järelevalveasutus või see järelevalveasutus, kellele kaebus esitati, teavitab andmekaitsenõukogu, millisel kuupäeval tehakse tema lõplik otsus teatavaks vastutavale töötlejale või volitatud töötlejale ja andmesubjektile. asjaomaste järelevalveasutuste lõplik otsus võetakse vastu artikli 60 lõigete 7, 8 ja 9 tingimuste kohaselt. Lõplikus otsuses viidatakse käesoleva artikli lõikes 1 osutatud otsusele ja märgitakse, et lõikes 1 osutatud otsus avaldatakse kooskõlas käesoleva artikli lõikega 5 andmekaitsenõukogu veebisaidil. Lõplikule otsusele lisatakse käesoleva artikli lõikes 1 osutatud otsus.

Artikkel 66

Kiirmenetlus

1. Erandlike asjaolude korral, kui asjaomane järelevalveasutus leiab, et andmesubjektide õiguste ja vabaduste kaitsmiseks tuleb kiiresti tegutseda, võib ta erandina artiklites 63, 64 ja 65 osutatud järjepidevuse mehhanismist või artiklis 60 osutatud menetlusest võtta viivitamata ajutisi meetmeid, mille eesmärk on tekitada tema liikmesriigi territooriumil õiguslikke tagajärgi konkreetse kehtivusajaga, mis ei või olla pikem kui kolm kuud. Järelevalveasutus edastab kõnealused meetmed ja nende vastuvõtmise põhjendused viivitamata teistele asjaomastele järelevalveasutustele, andmekaitsenõukogule ja komisjonile.

2. Kui järelevalveasutus on võtnud lõike 1 kohase meetme ja leiab, et lõplikud meetmed tuleb kiiresti vastu võtta, võib ta andmekaitsenõukogult taotleda kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, põhjendades sellise arvamuse või otsuse taotlemist.

3. Järelevalveasutus võib andmekaitsenõukogult taotleda vastavalt olukorrale kas kiireloomulise arvamuse või kiireloomulise siduva otsuse esitamist, kui pädev järelevalveasutus ei ole võtnud asjakohast meedet olukorras, kus andmesubjektide õiguste ja vabaduste kaitseks tuleb kiiresti tegutseda, esitades sellise arvamuse või otsuse taotlemise ja kiire tegutsemise vajaduse põhjused.

4. Erandina artikli 64 lõikest 3 ja artikli 65 lõikest 2 võetakse käesoleva artikli lõigetes 2 ja 3 osutatud kiireloomuline arvamus või kiireloomuline siduv otsus vastu kahe nädala jooksul andmekaitsenõukogu liikmete lihthäälteenamusega.

Artikkel 70

Andmekaitsenõukogu ülesanded

1. Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)	jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)	nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)	nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)	annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)	vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)	koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)	jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)	ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)	täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)	esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)	esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)	esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)	edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)	edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)	edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)	esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)	peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2. Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3. Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4. Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

Artikkel 97

Komisjoni aruanded

1. Komisjon esitab Euroopa Parlamendile ja nõukogule hiljemalt 25. maiks 2020 ning seejärel iga nelja aasta järel aruande käesoleva määruse hindamise ja läbivaatamise kohta. Aruanded avalikustatakse.

2. Lõikes 1 osutatud hindamiste ja läbivaatamiste raames kontrollib komisjon eelkõige järgmise kohaldamist ja toimimist:

a)	isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist käsitlev V peatükk, eelkõige seoses käesoleva määruse artikli 45 lõike 3 kohaselt vastu võetud otsustega ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsustega;

b)	koostööd ja järjepidevust käsitlev VII peatükk.

3. Lõike1 kohaldamisel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt.

4. Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste organite ja allikate seisukohti ja tähelepanekuid.

5. Komisjon esitab vajaduse korral asjakohased ettepanekud käesoleva määruse muutmiseks, eelkõige võttes arvesse infotehnoloogia ja infoühiskonna arengut.

whereas

(28) Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud välistama mis tahes muid andmekaitsemeetmeid.

- = -

(36) Vastutava töötleja peamine tegevuskoht liidus peaks olema tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja mujal liidus asuvas tegevuskohas.
Sellisel juhul tuleks nimetatud muud tegevuskohta pidada peamiseks tegevuskohaks.
Vastutava töötleja peamine tegevuskoht liidus tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama püsiva korra alusel läbi viidavat tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärki ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel.
See kriteerium ei tohiks sõltuda sellest, kas isikuandmeid töödeldakse kõnealuses kohas.
Isikuandmete töötlemise või isikuandmete töötlemise toimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseenesest ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid.
Volitatud töötleja peamine tegevuskoht peaks olema tema juhatuse asukoht liidus või, kui tal ei ole liidus juhatuse asukohta, see koht, kus sooritatakse peamised isikuandmete töötlemise toimingud liidus.
Juhul kui kaasatud on nii vastutav töötleja kui ka volitatud töötleja, peaks pädevaks juhtivaks järelevalveasutuseks jääma selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja peamine tegevuskoht, kuid volitatud töötleja järelevalveasutust tuleks käsitada asjaomase järelevalveasutusena ja nimetatud järelevalveasutus peaks osalema käesolevas määruses sätestatud koostöömenetluses.
Kui otsuse eelnõu puudutab ainult vastutavat töötlejat, ei tuleks selle liikmesriigi või nende liikmesriikide järelevalveasutusi, kus asub volitatud töötleja üks või mitu tegevuskohta, käsitada ühelgi juhul asjaomaste järelevalveasutustena.
Kui andmeid töötleb kontsern, siis tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamist tegevuskohta, välja arvatud juhul, kui töötlemise eesmärgi ja vahendid määrab kindlaks teine ettevõtja.

- = -

(38) Laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega.
Niisugune eriline kaitse peaks eelkõige rakenduma laste isikuandmete kasutamisel turunduse eesmärgil või isiku või kasutajaprofiili loomiseks ja laste isikuandmete kogumisel otse lastele pakutavate teenuste kasutamise puhul.
Vanemliku vastutuse kandja nõusolekut ei peaks olema vaja seoses lapsele otse pakutavate ennetavate või nõustamisteenustega.

- = -

(39) Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane.
Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev.
Läbipaistvuse põhimõte eeldab, et nende isikuandmete töötlemisega seotud teave ja sõnumid on lihtsalt kättesaadavad, arusaadavad ning selgelt ja lihtsalt sõnastatud.
Kõnealune põhimõte puudutab eelkõige andmesubjektide teavitamist vastutava töötleja identiteedist ning töötlemise eesmärgist ja täiendavast teabest, et tagada asjaomaste füüsiliste isikute suhtes õiglane ja läbipaistev töötlemine ning nende õigus saada neid puudutavate isikuandmete töötlemise kohta kinnitust ja sõnumeid.
Füüsilisi isikuid tuleks teavitada isikuandmete töötlemisega seotud ohtudest, normidest, kaitsemeetmetest ja õigustest ning sellest, kuidas nad saavad sellise andmete töötlemisega seoses oma õigusi kasutada.
Eelkõige peaksid olema selged ja õiguspärased isikuandmete töötlemise konkreetsed eesmärgid, mis tuleks kindlaks määrata andmete kogumise ajal.
Isikuandmed peaksid olema asjakohased, piisavad ja piirduma sellega, mis on nende töötlemise otstarbe seisukohalt vajalik.
See eeldab eelkõige, et tagatakse andmete säilitamise aja piirdumine rangelt minimaalsega.
Isikuandmeid tuleks töödelda vaid juhul, kui nende töötlemise eesmärki ei ole mõistlikult võimalik saavutada muude vahendite abil.
Selle tagamiseks, et isikuandmeid ei säilitataks vajalikust kauem, peaks vastutav töötleja kindlaks määrama tähtajad andmete kustutamiseks või perioodiliseks läbivaatamiseks.
Selle tagamiseks, et ebaõiged isikuandmed parandatakse või kustutatakse, tuleks võtta kõik mõistlikud meetmed.
Isikuandmeid tuleks töödelda viisil, mis tagab isikuandmete asjakohase turvalisuse ja konfidentsiaalsuse, sealhulgas isikuandmetele ning nende töötlemiseks kasutatavatele seadmetele loata juurdepääsu või nende loata kasutamise tõkestamise.

- = -

(83) Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist.
Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile.
Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

- = -

(107) Komisjon võib tunnistada, et kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis ei tagata enam piisaval tasemel andmekaitset.
Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva määruse nõudeid, mis on seotud edastamisega asjaomaste kaitsemeetmete abil, sealhulgas siduvad kontsernisisesed eeskirjad ja erandid konkreetsetes olukordades.
Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid.
Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada.

- = -

(124) Kui isikuandmeid töödeldakse toimub vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames liidus ning vastutaval töötlejal või volitatud töötlejal on tegevuskoht enamas kui ühes liikmesriigis või kui liidus asuva vastutava töötleja või volitatud töötleja ainsa tegevuskoha tegevuse raames toimuv töötlemine mõjutab oluliselt või võib oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis, peaks juhtiva asutuse rolli täitma vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus või vastutava töötleja või volitatud töötleja ainsa tegevuskoha järelevalveasutus.
See asutus peaks tegema koostööd muude asjaomaste asutustega, kuna vastutava töötleja või volitatud töötleja tegevuskoht asub nende liikmesriigi territooriumil, kuna see mõjutab oluliselt nende territooriumil elavaid andmesubjekte või kuna neile on esitatud kaebus.
Juhul kui kõnealuses liikmesriigis mitte elav andmesubjekt on esitanud kaebuse, peaks järelevalveasutus, kellele selline kaebus esitati, olema samuti asjaomane järelevalveasutus.
Seoses oma ülesannetega anda suuniseid kõikides käesoleva määruse kohaldamist puudutavates küsimustes, peaks andmekaitsenõukogul olema võimalik välja anda suuniseid eelkõige kriteeriumide kohta, mida tuleb arvesse võtta, et teha kindlaks, kas kõnealusel töötlemisel on andmesubjektidele oluline mõju rohkem kui ühes liikmesriigis, ning mida saab pidada asjakohaseks ja põhjendatud vastuväiteks.

- = -

(127) Järelevalveasutus, kes ei tegutse juhtiva järelevalveasutusena, peaks olema pädev käsitlema kohalikke juhtumeid, kui vastutava töötleja või volitatud töötleja tegevuskoht asub rohkem kui ühes liikmesriigis, kuid konkreetne töötlemine puudutab ainult ühes liikmesriigis toimuvat töötlemist ja hõlmab ainult selles ühes liikmesriigis asuvaid andmesubjekte, näiteks kui tegemist on töötajate isikuandmete töötlemisega asjaomase liikmesriigi konkreetses töösuhete kontekstis.
Sellistel juhtudel peaks järelevalveasutus teavitama juhtivat järelevalveasutust viivitamata sellest küsimusest.
Pärast teavituse saamist peaks juhtiv järelevalveasutus otsustama, kas ta tegeleb juhtumiga vastavalt juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vahelist koostööd käsitlevatele sätetele („ühtse kontaktpunkti mehhanism“) või peaks juhtumiga tegelema teda teavitanud järelevalveasutus kohalikul tasandil.
Selle üle otsustamisel, kas ta tegeleb juhtumiga, peaks juhtiv järelevalveasutus arvesse võtma seda, kas teda teavitanud järelevalveasutuse liikmesriigis on vastutava töötleja või volitatud töötleja tegevuskoht, et tagada vastutava töötleja või volitatud töötleja suhtes tehtud otsuse tõhus täitmine.
Kui juhtiv järelevalveasutus otsustab juhtumiga tegeleda, peaks teda teavitanud järelevalveasutusel olema võimalik esitada otsuse eelnõu, mida juhtiv järelevalveasutus peaks oma ühtse kontaktpunkti mehhanismi raames tehtava otsuse ettevalmistamisel täiel määral arvesse võtma.

- = -

(129) Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja tõhusad volitused, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning ilma et see piiraks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ja volitused osaleda kohtumenetlustes.
Need volitused peaksid hõlmama ka õigust kehtestada ajutine või alaline töötlemispiirang, sealhulgas töötlemiskeeld.
Liikmesriigid võivad kindlaks määrata muud käesoleva määruse kohased isikuandmete kaitsega seotud ülesanded.
Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriikide õiguses sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul.
Eelkõige peaks meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid; austama isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele.
Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi menetlusõiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue.
Järelevalveasutuse õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitanud järelevalveasutus ja meetme esitamise kuupäev ning järelevalveasutuse juhi või tema poolt volitatud liikme allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile.
See ei tohiks välistada liikmesriigi menetlusnormidest tulenevaid täiendavaid nõudeid.
Selliste õiguslikult siduvate otsuste vastuvõtmine viitab võimalusele, et see võib otsuse vastu võtnud järelevalveasutuse liikmesriigis tuua kaasa kohtuliku kontrolli.

- = -

(136) Järjepidevuse mehhanismi kohaldamise korral peaks andmekaitsenõukogu esitama kindlaksmääratud ajavahemiku jooksul oma arvamuse, kui nii otsustatakse liikmete häälteenamusega või kui seda taotleb mis tahes asjaomane järelevalveasutus või komisjon.
Andmekaitsenõukogul peaks olema samuti volitused võtta vastu õiguslikult siduvaid otsuseid järelevalveasutuste vaheliste vaidluste puhul.
Sel eesmärgil peaks ta põhimõtteliselt välja andma õiguslikult siduvaid otsuseid, millel on kahe kolmandiku tema liikmete toetus, selgelt kindlaks määratud juhtudel, kui järelevalveasutustel esineb lahkarvamusi, eelkõige juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelise koostöökorra raames seoses juhtumi sisuga, nimelt küsimuses, kas käesolevat määrust on rikutud.

- = -

(138) Sellise mehhanismi kohaldamine peaks olema järelevalveasutuse sellise meetme seaduslikkuse tingimuseks, mille eesmärk on tekitada õiguslikke tagajärgi, kui selle rakendamine on kohustuslik.
Muudel piiriülese tähtsusega juhtudel tuleks kohaldada juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelist koostöökorda ning asjaomaste järelevalveasutuste vahel võiks pakkuda vastastikust abi ja teostada ühisoperatsioone kahe- või mitmepoolsel alusel, ilma järjepidevuse mehhanismi kasutamata.

- = -

(143) Igal füüsilisel või juriidilisel isikul on õigus esitada Euroopa Kohtule andmekaitsenõukogu otsuste tühistamiseks hagi ELi toimimise lepingu artiklis 263 sätestatud tingimustel.
Kui selliste otsuste adressaadiks olevad asjaomased järelevalveasutused soovivad esitada hagi otsuste tühistamiseks, peavad nad tegema seda kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates sellest, kui otsused neile teatavaks tehti.
Kui andmekaitsenõukogu otsused puudutavad otseselt ja isiklikult vastutavat töötlejat, volitatud töötlejat või kaebuse esitajat, võivad nad esitada hagi selliste otsuste tühistamiseks kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates asjaomaste otsuste avaldamisest andmekaitsenõukogu veebisaidil.
Ilma et see piiraks seda ELi toimimise lepingu artiklist 263 tulenevat õigust, peaks igal füüsilisel või juriidilisel isikul olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on selle isiku suhtes õiguslikud tagajärjed.
Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Õigus tõhusale õiguskaitsevahendile ei hõlma siiski järelevalveasutuste õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid.
Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi menetlusõigusega.
Nendel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

- = -

(150) Selleks et tugevdada ja ühtlustada väärteokaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused määrata trahve.
Käesolevas määruses tuleks loetleda rikkumised, sätestada asjaomaste trahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev järelevalveasutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks.
Kui trahv on määratud ettevõtjale, tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 toodud määratlusest.
Kui trahvid määratakse isikule, kes ei ole ettevõtja, peaks järelevalveasutus sobiva trahvisumma määramisel arvesse võtma üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku olukorda.
Trahvide ühesuguse kohaldamise parandamiseks võib kasutada ka järjepidevuse mehhanismi.
See, kas ja kui palju tuleks avaliku sektori asutustele määrata trahve, peaks olema liikmesriikide otsustada.
Trahvi määramine või hoiatuse tegemine ei mõjuta järelevalveasutuse muude volituste rakendamist ega muude määruse kohaste karistuste määramist.

- = -

dal 2004 diritto e informatica