interactive GDPR 2016/0679 ET

1.   Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)	vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	asjaomaste isikuandmete liigid;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

f)

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2.   Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)	teave õiguse kohta esitada kaebus järelevalveasutusele;

f)	teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3.   Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)	mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)	kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)	kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4.   Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5.   Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

a)	andmesubjektil on see teave juba olemas;

b)

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)	isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)	isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

1.   Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2.   Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3.   Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi vastutava töötleja suhtes ja vastu.

1.   Ilma et see mõjutaks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, võib artikli 40 kohase toimimisjuhendi järgimise üle järelevalvet teostada asutus, kellel on toimimisjuhendi sisu osas asjakohased ekspertteadmised ja kes on selleks pädeva järelevalveasutuse poolt akrediteeritud.

2.   Lõikes 1 osutatud asutust võib akrediteerida teostama toimimisjuhendi järgimise üle järelevalvet, kui nimetatud asutus:

a)	on pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi toimimisjuhendi sisu osas;

b)	on kehtestanud menetlused, mis võimaldavad tal hinnata vastutavate töötlejate ja volitatud töötlejate sobivust toimimisjuhendi kohaldamiseks, teostada järelevalvet selle sätete järgimise üle ja vaadata korrapäraselt üle selle toimimist;

c)

on kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt toimimisjuhendi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

d)	tõendab pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3.   Pädev järelevalveasutus esitab käesoleva artikli lõikes 1 osutatud asutuse akrediteerimise kriteeriumide kavandi andmekaitsenõukogule vastavalt artiklis 63 osutatud järjepidevuse mehhanismile.

4.   Ilma et see mõjutaks pädeva järelevalveasutuse ülesandeid ja volitusi ning VIII peatüki sätete kohaldamist, võtab käesoleva artikli lõikes 1 osutatud asutus toimimisjuhendi rikkumise korral vastutava töötleja või volitatud töötleja poolt piisavaid kaitsemeetmeid kasutades asjakohased meetmed, sealhulgas vastutava töötleja või volitatud töötleja toimimisjuhendis osalemise peatamine või välistamine. Asutus teavitab pädevat järelevalveasutust sellistest meetmetest ja nende võtmise põhjustest.

5.   Pädev järelevalveasutus tühistab lõikes 1 osutatud asutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed ei vasta käesolevale määrusele.

6.   Käesolevat artiklit ei kohaldata isikuandmete töötlemisele avaliku sektori asutuste ja organite poolt.

1.   Ilma et see piiraks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, väljastab sertifikaadi ja pikendab seda sertifitseerimisasutus, millel on andmekaitse vallas asjakohased ekspertteadmised, olles enne järelevalveasutust teavitanud, et see saaks vajaduse korral kasutada oma volitusi vastavalt artikli 58 lõike 2 punktile h. Liikmesriik kehtestab, kas need sertifitseerimisasutused akrediteerib üks või mõlemad järgmistest:

a)	artikli 55 või 56 kohaselt pädev järelevalveasutus;

b)	Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (20) kohaselt, kooskõlas standardiga EN-ISO/IEC 17065/2012 ning artiklite 55 või 56 kohaselt pädeva järelevalveasutuse kehtestatud täiendavate nõuete kohaselt nimetatud riiklik akrediteerimisasutus.

2.   Lõikes 1 osutatud sertifitseerimisasutusi võib kooskõlas nimetatud lõikega akrediteerida üksnes juhul, kui need on

a)	pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi sertifitseerimise sisu osas;

b)	võtnud endale kohustuse järgida artikli 42 lõikes 5 osutatud kriteeriume, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu;

c)	kehtestanud andmekaitsesertifikaatide, -pitserite ja -märgiste väljastamise, korrapärase läbivaatamise ja tagasivõtmise menetlused;

d)

kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt sertifikaadi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

e)	tõendanud pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3.   Käesoleva artikli lõigetes 1 ja 2 osutatud sertifitseerimisasutuste akrediteerimine toimub kriteeriumide alusel, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu. Kui akrediteerimine toimub käesoleva artikli lõike 1 punkti c kohaselt, täiendavad need nõuded määruses (EÜ) nr 765/2008 sätestatud nõudeid ja tehnilisi eeskirju, mis kirjeldavad sertifitseerimisasutuste kasutatavaid meetodeid ja menetlusi.

4.   Lõikes 1 osutatud sertifitseerimisasutused vastutavad sertifikaadi väljastamiseks või sellise sertifikaadi tagasivõtmiseks kasutatava asjakohase hindamise eest, ilma et see mõjutaks vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest. Akrediteering antakse maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni sertifitseerimisasutus vastab käesolevas artiklis sätestatud nõuetele.

5.   Lõikes 1 osutatud sertifitseerimisasutus esitab pädevale järelevalveasutusele taotletud sertifikaadi väljastamise või sertifikaadi tagasivõtmise põhjused.

6.   Järelevalveasutus avaldab kergesti kättesaadaval kujul käesoleva artikli lõikes 3 osutatud nõuded ja artikli 42 lõikes 5 osutatud kriteeriumid. Järelevalveasutus edastab need nõuded ja kriteeriumid ka andmekaitsenõukogule. Euroopa Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

7.   Ilma et see piiraks VIII peatüki kohaldamist, tühistab pädev järelevalveasutus või riiklik akrediteerimisasutus käesoleva artikli lõikes 1 osutatud sertifitseerimisasutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

8.   Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks nõuded, mida tuleb arvesse võtta artikli 42 lõikes 1 osutatud andmekaitse sertifitseerimise mehhanismide puhul.

9.   Komisjon võib võtta vastu rakendusakte sertifitseerimismehhanismide ning pitserite ja -märgiste tehniliste standardite ning kasutuselevõtu edendamise ja tunnustamise mehhanismide kohta. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

1.   Liikmesriigid tagavad, et nende järelevalveasutuste liikme peab läbipaistva menetluse teel ametisse nimetama kas

—	asjaomase liikmesriigi parlament;

—	asjaomase liikmesriigi valitsus;

—	asjaomase liikmesriigi riigipea või

—	asjaomase liikmesriigi õiguse kohaselt ametisse nimetama volitatud sõltumatu asutus.

2.   Igal liikmel on oma kohustuste täitmiseks ja volituste kasutamiseks vajalik kvalifikatsioon, kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.

3.   Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või kohustusliku pensionilemineku korral kooskõlas asjaomase liikmesriigi õigusega.

4.   Liige vabastatakse ametist ainult tõsise üleastumise korral või juhul, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele.