interactive GDPR 2016/0679 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- isikuandmete 31
- või 31
- töötleja 29
- töötlemise 28
- osutatud 17
- juhul 13
- ning 10
- toimingute 10
- vastutava 10
- artikli 9
- volitatud 8
- suhtes 8
- sealhulgas 7
- asjakohasel 7
- korral 6
- isikuandmeid 6
- vastuväiteid 6
- eesmärgil 6
- vastutav 5
- lõikes 5
- esindaja 5
- andmesubjektide 5
- töötlemine 5
- lõike 5
- esitada 5
- kohta 5
- siis 5
- seotud 4
- kirjeldus 4
- mõjuhinnang 4
- andmekaitsealane 4
- mõjuhinnangu 4
- kui 4
- andmesubjekti 4
- arvatud 4
- puudutavate 4
- õigus 4
- välja 4
- asjaomase 3
- arvesse 3
- koos 3
- vastutav 3
- toimingud 3
- töödeldakse 3
- tegemist 3
- võib 3
- andmete 3
- artikkel 3
- teda 3
- artiklis 3
Artikkel 21
Õigus esitada vastuväiteid
1. Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.
2. Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sealhulgas profiilianalüüsi suhtes sel määral mil see on seotud kõnealuse otseturundusega.
3. Kui andmesubjekt esitab vastuväiteid otseturunduse eesmärgil toimuva andmete töötlemise suhtes, ei tohi isikuandmeid sellisel eesmärgil enam töödelda.
4. Hiljemalt andmesubjekti esmakordsel teavitamisel juhitakse andmesubjekti tähelepanu selgesõnaliselt lõigetes 1 ja 2 osutatud õigusele ning vastav teave esitatakse selgelt ja eraldi igasugusest muust teabest.
5. Infoühiskonna teenuste kasutamisega seoses ja direktiivi 2002/58/EÜ sätetest olenemata võib andmesubjekt kasutada oma õigust esitada vastuväiteid, tehes seda automatiseeritud vahendite teel, mis põhinevad tehnilistel kirjeldustel.
6. Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks.
Artikkel 30
Isikuandmete töötlemise toimingute registreerimine
1. Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:
| a) | vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed; |
| b) | töötlemise eesmärgid; |
| c) | andmesubjektide kategooriate ja isikuandmete liikide kirjeldus; |
| d) | vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid; |
| e) | kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid; |
| f) | võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad; |
| g) | võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus. |
2. Volitatud töötleja või asjakohasel juhul volitatud töötleja esindaja peab kõigi vastutava töötleja nimel tehtavate isikuandmete isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:
| a) | volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed; |
| b) | vastutava töötleja nimel tehtava töötlemise kategooriad; |
| c) | kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid; |
| d) | võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus. |
3. Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.
4. Taotluse korral teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja registri kättesaadavaks järelevalveasutusele.
5. Lõigetes 1 ja 2 osutatud kohustusi ei kohaldata vähem kui 250 töötajaga ettevõtjale või organisatsioonile, välja arvatud juhul, kui tema teostatav töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, töötlemine ei ole juhtumipõhine või töödeldakse artikli 9 lõikes 1 osutatud isikuandmete eriliike või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.
Artikkel 35
Andmekaitsealane mõjuhinnang
1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.
2. Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.
3. Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:
| a) | füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut; |
| b) | artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või |
| c) | avalike alade ulatuslik süstemaatiline jälgimine. |
4. Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.
5. Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.
6. Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.
7. Mõjuhinnang peab hõlmama vähemalt järgmist:
| a) | kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus; |
| b) | isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes; |
| c) | lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning |
| d) | ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve. |
8. Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.
9. Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.
10. Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.
11. Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.
whereas
dal 2004 diritto e informatica