interactive GDPR 2016/0679 ET

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)	„isikuandmete töötlemise piiramine“ – säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)	„andmete kogum“ – isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)	„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

10)	„kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

11)	andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

12)	„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

13)

„geneetilised andmed“ – isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

14)

„biomeetrilised andmed“ – konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

15)	„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

16)

„peamine tegevuskoht“ –

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

17)	„esindaja“ – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja või volitatud töötleja on kirjalikult artikli 27 kohaselt määranud ja kes esindab vastutavat töötlejat või volitatud töötlejat seoses nende käesolevast määrusest tulenevate vastavate kohustustega;

18)	„ettevõtja“ – majandustegevusega tegelev füüsiline või juriidiline isik, olenemata selle õiguslikust vormist, sealhulgas partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

19)	„kontsern“ – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

20)

„siduvad kontsernisisesed eeskirjad“ – isikuandmete kaitse põhimõtted, millest vastutav töötleja või volitatud töötleja, kelle asukoht on liikmesriigi territooriumil, lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus või ühise majandustegevusega tegelevate ettevõtjate rühmas tegutsevale vastutavale töötajale või volitatud töötlejale;

21)	„järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

22)

„asjaomane järelevalveasutus“ – järelevalveasutus, kes on isikuandmete töötlemisega seotud, kuna

a)	vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)	asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)	kõnealusele järelevalveasutusele on esitatud kaebus;

23)

„isikuandmete piiriülene töötlemine“ –

kas

a)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

24)

„asjakohane ja põhjendatud vastuväide“ – vastuväide kavandatavale otsusele seoses sellega, kas käesolevat määrust on rikutud või kas seoses vastutava töötleja või volitatud töötlejaga kavandatud meede on määrusega kooskõlas, mis näitab selgelt, kui suurt ohtu kujutab endast kavandatav otsus seoses andmesubjektide põhiõiguste ja -vabadustega ning, kui see on asjakohane, isikuandmete vaba liikumisega liidus;

25)	„infoühiskonna teenus“ – teenus, mis vastab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (19) artikli 1 lõike 1 punktile b;

26)	„rahvusvaheline organisatsioon“ – organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või mis tahes muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.

II PEATÜKK

Põhimõtted

Artikkel 13

Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt

1. Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

a)	vastutava töötleja ning kui kohaldatav, siis vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta,

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

c)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

d)	teave õiguse kohta esitada kaebus järelevalveasutusele;

e)	teave selle kohta, kas isikuandmete esitamine on õigusaktist või lepingust tulenev kohustus või lepingu sõlmimiseks vajalik nõue, samuti selle kohta, kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama, ning selliste andmete esitamata jätmise võimalike tagajärgede kohta, ning

f)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne andmete edasist isikuandmete töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

4. Lõikeid 1, 2 ja 3 ei kohaldata, kui ja sel määral mil andmesubjektil on see teave juba olemas.

Artikkel 14

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1. Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)	vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	asjaomaste isikuandmete liigid;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)	teave õiguse kohta esitada kaebus järelevalveasutusele;

f)	teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3. Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)	mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)	kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)	kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5. Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

a)	andmesubjektil on see teave juba olemas;

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)	isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)	isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

Artikkel 25

Lõimitud andmekaitse ja vaikimisi andmekaitse

1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

2. Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

3. Käesoleva artikli lõigetes 1 ja 2 sätestatud nõuete järgimise tõendamise elemendina võib kasutada artikli 42 kohast heakskiidetud sertifitseerimismehhanismi.

Artikkel 28

Volitatud töötleja

1. Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2. Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)	tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)	võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)	järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)	võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)	aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)	pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)	teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5. Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6. Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7. Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8. Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9. Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10. Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

Artikkel 30

Isikuandmete töötlemise toimingute registreerimine

1. Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:

a)	vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)	töötlemise eesmärgid;

c)	andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

d)	vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid;

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid;

f)	võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

g)	võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

2. Volitatud töötleja või asjakohasel juhul volitatud töötleja esindaja peab kõigi vastutava töötleja nimel tehtavate isikuandmete isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:

a)	volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)	vastutava töötleja nimel tehtava töötlemise kategooriad;

d)	võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

3. Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.

4. Taotluse korral teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja registri kättesaadavaks järelevalveasutusele.

5. Lõigetes 1 ja 2 osutatud kohustusi ei kohaldata vähem kui 250 töötajaga ettevõtjale või organisatsioonile, välja arvatud juhul, kui tema teostatav töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, töötlemine ei ole juhtumipõhine või töödeldakse artikli 9 lõikes 1 osutatud isikuandmete eriliike või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.

Artikkel 40

Toimimisjuhendid

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

a)	isikuandmete õiglane ja läbipaistev töötlemine;

b)	vastutava töötleja õigustatud huvid teatud kontekstis;

c)	isikuandmete kogumine;

d)	isikuandmete pseudonümiseerimine;

e)	üldsuse ja andmesubjektide teavitamine;

f)	andmesubjektide õiguste kasutamine;

g)	laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)	artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)	isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)	isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)	vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

3. Peale selle, et käesoleva artikli lõike 5 kohaselt heaks kiidetud ja käesoleva artikli lõike 9 kohaselt terves liidus kehtivaks tunnistatud toimimisjuhendeid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võivad neid järgida ka vastutavad töötlejad ja volitatud töötlejad, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, et tagada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus artikli 46 lõike 2 punktis e osutatud tingimustel asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

4. Käesoleva artikli lõike 2 kohane toimimisjuhend peab sisaldama mehhanisme, mis võimaldavad artikli 41 lõikes 1 osutatud asutusel teha kohustuslikku järelevalvet selle üle, et toimimisjuhendit täitma kohustunud vastutav töötleja või volitatud töötleja järgib seda, ilma et see piiraks artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

6. Kui toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend kiidetakse vastavalt lõikele 5 heaks ning kui asjaomane toimimisjuhend ei ole seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, registreerib ja avaldab järelevalveasutus toimimisjuhendi.

7. Kui toimimisjuhendi kavand on seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, siis esitab artikli 55 kohaselt pädev järelevalveasutus toimimisjuhendi enne selle heakskiitmist artiklis 63 osutatud menetluse kohaselt andmekaitsenõukogule, kes esitab arvamuse selle kohta, kas toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab käesoleva artikli lõikes 3 osutatud olukorras asjakohased kaitsemeetmed.

8. Kui lõikes 7 osutatud arvamuses kinnitatakse, et toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab lõikes 3 osutatud olukorras asjakohased kaitsemeetmed, siis esitab andmekaitsenõukogu oma arvamuse komisjonile.

9. Komisjon võib rakendusaktidega otsustada, et talle vastavalt käesoleva artikli lõikele 8 esitatud heakskiidetud toimimisjuhendid, muudatused ja laiendused kehtivad terves liidus. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

10. Komisjon tagab asjakohase teavituse lõike 9 kohase otsusega terves liidus kehtivaks tunnistatud heakskiidetud toimimisjuhenditest.

11. Andmekaitsenõukogu koondab kõik heakskiidetud toimimisjuhendid, muudatused ja laiendused registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 42

Sertifitseerimine

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3. Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4. Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6. Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7. Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8. Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 43

Sertifitseerimisasutused

1. Ilma et see piiraks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, väljastab sertifikaadi ja pikendab seda sertifitseerimisasutus, millel on andmekaitse vallas asjakohased ekspertteadmised, olles enne järelevalveasutust teavitanud, et see saaks vajaduse korral kasutada oma volitusi vastavalt artikli 58 lõike 2 punktile h. Liikmesriik kehtestab, kas need sertifitseerimisasutused akrediteerib üks või mõlemad järgmistest:

a)	artikli 55 või 56 kohaselt pädev järelevalveasutus;

b)	Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (20) kohaselt, kooskõlas standardiga EN-ISO/IEC 17065/2012 ning artiklite 55 või 56 kohaselt pädeva järelevalveasutuse kehtestatud täiendavate nõuete kohaselt nimetatud riiklik akrediteerimisasutus.

2. Lõikes 1 osutatud sertifitseerimisasutusi võib kooskõlas nimetatud lõikega akrediteerida üksnes juhul, kui need on

a)	pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi sertifitseerimise sisu osas;

b)	võtnud endale kohustuse järgida artikli 42 lõikes 5 osutatud kriteeriume, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu;

c)	kehtestanud andmekaitsesertifikaatide, -pitserite ja -märgiste väljastamise, korrapärase läbivaatamise ja tagasivõtmise menetlused;

kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt sertifikaadi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

e)	tõendanud pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3. Käesoleva artikli lõigetes 1 ja 2 osutatud sertifitseerimisasutuste akrediteerimine toimub kriteeriumide alusel, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu. Kui akrediteerimine toimub käesoleva artikli lõike 1 punkti c kohaselt, täiendavad need nõuded määruses (EÜ) nr 765/2008 sätestatud nõudeid ja tehnilisi eeskirju, mis kirjeldavad sertifitseerimisasutuste kasutatavaid meetodeid ja menetlusi.

4. Lõikes 1 osutatud sertifitseerimisasutused vastutavad sertifikaadi väljastamiseks või sellise sertifikaadi tagasivõtmiseks kasutatava asjakohase hindamise eest, ilma et see mõjutaks vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest. Akrediteering antakse maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni sertifitseerimisasutus vastab käesolevas artiklis sätestatud nõuetele.

5. Lõikes 1 osutatud sertifitseerimisasutus esitab pädevale järelevalveasutusele taotletud sertifikaadi väljastamise või sertifikaadi tagasivõtmise põhjused.

6. Järelevalveasutus avaldab kergesti kättesaadaval kujul käesoleva artikli lõikes 3 osutatud nõuded ja artikli 42 lõikes 5 osutatud kriteeriumid. Järelevalveasutus edastab need nõuded ja kriteeriumid ka andmekaitsenõukogule. Euroopa Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

7. Ilma et see piiraks VIII peatüki kohaldamist, tühistab pädev järelevalveasutus või riiklik akrediteerimisasutus käesoleva artikli lõikes 1 osutatud sertifitseerimisasutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

8. Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks nõuded, mida tuleb arvesse võtta artikli 42 lõikes 1 osutatud andmekaitse sertifitseerimise mehhanismide puhul.

9. Komisjon võib võtta vastu rakendusakte sertifitseerimismehhanismide ning pitserite ja -märgiste tehniliste standardite ning kasutuselevõtu edendamise ja tunnustamise mehhanismide kohta. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

V PEATÜKK

Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele

Artikkel 47

Siduvad kontsernisisesed eeskirjad

1. Pädev järelevalveasutus kiidab kooskõlas artiklis 63 sätestatud järjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et

a)	need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist;

b)	nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning

c)	need vastavad lõikes 2 sätestatud nõuetele.

2. Lõikes 1 osutatud siduvates kontsernisisestes eeskirjades määratakse kindlaks vähemalt järgmised elemendid:

a)	kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed;

b)	isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed;

c)	nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;

andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni;

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav;

g)	kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta;

kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle;

i)	kaebuse esitamise menetlused;

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad;

k)	mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi;

l)	mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused;

mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning

n)	asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs.

3. Komisjon võib määratleda vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

Artikkel 59

Tegevusaruanne

Järelevalveasutus koostab oma tegevuse kohta aastaaruande, mis võib sisaldada teavitatud rikkumiste ja artikli 58 lõike 2 kohaselt võetud meetmete loetelu. Aruanne edastatakse riigi parlamendile, valitsusele ja muudele liikmesriigi õigusega kindlaks määratud asutustele. Aruanne tehakse kättesaadavaks avalikkusele, Euroopa Komisjonile ja andmekaitsenõukogule.

VII PEATÜKK

Koostöö ja järjepidevus

1. jagu

Koostöö

Artikkel 70

Andmekaitsenõukogu ülesanded

1. Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)	jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)	nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)	nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)	annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)	vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)	koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)	jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)	ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)	täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)	esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)	esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)	esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)	edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)	edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)	edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)	esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)	peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2. Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3. Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4. Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

whereas

(59) Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid.
Vastutav töötleja peaks samuti kättesaadavaks tegema vahendid, millega taotluse saab esitada elektrooniliselt, eriti kui isikuandmeid töödeldakse elektrooniliste vahenditega.
Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul ning kui vastutav töötleja ei kavatse andmesubjekti taotlust rahuldada, siis seda põhjendama.

- = -

(82) Käesoleva määruse täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja säilitama andmeid tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta.
Vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema need salvestatud andmed taotluse korral järelevalveasutusele kättesaadavaks, et neid saaks kasutada nimetatud isikuandmete töötlemise toimingute kontrollimiseks.

- = -

dal 2004 diritto e informatica