interactive GDPR 2016/0679 ET
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- või 54
- töötleja 47
- volitatud 35
- osutatud 24
- vastutava 16
- ning 15
- isikuandmete 14
- käesoleva 14
- siduvate 10
- artikli 10
- sealhulgas 10
- artikli 10
- töötlemise 9
- nende 9
- suhtes 9
- võib 9
- kontsernisiseste 8
- liikmesriigi 7
- ühise 7
- majandustegevusega 7
- eelkõige 7
- ettevõtjate 7
- tegelevate 7
- vastu 7
- sätestatud 7
- poolt 7
- ette 7
- need 7
- kohaselt 7
- töötlejale 7
- korral 6
- alusel 6
- andmete 6
- rühma 6
- kooskõlas 6
- lõigetes 6
- selle 6
- lõikes 6
- õiguste 6
- töötlejat 5
- järelevalveasutuse 5
- andmesubjekti 5
- eeskirjade 5
- asjakohased 5
- vastutavale 5
- artikkel 5
- määruse 5
- järelevalveasutus 5
- kontserni 5
- järjepidevuse 5
Artikkel 28
Volitatud töötleja
1. Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.
2. Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.
3. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:
| a) | töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud; |
| b) | tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus; |
| c) | võtab kõik artikli 32 kohaselt nõutavad meetmed; |
| d) | järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks; |
| e) | võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks; |
| f) | aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet; |
| g) | pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist; |
| h) | teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse. |
Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.
4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.
5. Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.
6. Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.
7. Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.
8. Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.
9. Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.
10. Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.
Artikkel 46
Edastamine asjakohaste kaitsemeetmete kohaldamisel
1. Artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.
2. Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha
| a) | õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel; |
| b) | siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47; |
| c) | komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega; |
| d) | järelevalveasutuse poolt vastu võetud ja komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega; |
| e) | artikli 40 kohase heakskiidetud toimimisjuhendiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas, või |
| f) | artikli 42 kohase heakskiidetud sertifitseerimismehhanismiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas. |
3. Pädeva järelevalveasutuse loal võib lõikes 1 osutatud asjakohased kaitsemeetmed sätestada ka eelkõige
| a) | vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või |
| b) | sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi. |
4. Käesoleva artikli lõikes 3 osutatud juhtudel kohaldab järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi.
5. Liikmesriigi või järelevalveasutuse poolt direktiivi 95/46/EÜ artikli 26 lõike 2 alusel antud load jäävad kehtima, kuni järelevalveasutus neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab. Otsused, mille komisjon on vastu võtnud vastavalt direktiivi 95/46/EÜ artikli 26 lõikele 4, jäävad jõusse, kuni neid käesoleva artikli lõike 2 kohaselt vastu võetud komisjoni otsusega vajaduse korral muudetakse, need asendatakse või kehtetuks tunnistatakse.
Artikkel 47
Siduvad kontsernisisesed eeskirjad
1. Pädev järelevalveasutus kiidab kooskõlas artiklis 63 sätestatud järjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et
| a) | need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist; |
| b) | nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning |
| c) | need vastavad lõikes 2 sätestatud nõuetele. |
2. Lõikes 1 osutatud siduvates kontsernisisestes eeskirjades määratakse kindlaks vähemalt järgmised elemendid:
| a) | kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed; |
| b) | isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed; |
| c) | nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt; |
| d) | üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega; |
| e) | andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni; |
| f) | liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav; |
| g) | kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta; |
| h) | kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle; |
| i) | kaebuse esitamise menetlused; |
| j) | kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad; |
| k) | mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi; |
| l) | mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused; |
| m) | mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning |
| n) | asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs. |
3. Komisjon võib määratleda vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.
Artikkel 51
Järelevalveasutus
1. Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).
2. Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga.
3. Kui ühes liikmesriigis on asutatud rohkem kui üks järelevalveasutus, määrab liikmesriik selle järelevalveasutuse, kes esindab teisi andmekaitsenõukogus, ja näeb ette mehhanismi, millega tagatakse, et teised järelevalveasutused täidavad artiklis 57 osutatud järjepidevuse mehhanismiga seotud eeskirju.
4. Liikmesriik teavitab komisjoni käesoleva peatüki alusel vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ja annab viivitamata teada nende edaspidistest muudatustest.
Artikkel 74
Eesistuja ülesanded
1. Eesistujal on järgmised ülesanded:
| a) | kutsuda kokku andmekaitsenõukogu koosolekud ja valmistada ette päevakord; |
| b) | teavitada artikli 65 kohaselt andmekaitsenõukogu poolt vastu võetud otsustest juhtivat järelevalveasutust ja asjaomaseid järelevalveasutusi; |
| c) | tagada andmekaitsenõukogu ülesannete õigeaegne täitmine, eelkõige seoses artiklis 63 osutatud järjepidevuse mehhanismiga. |
2. Andmekaitsenõukogu näeb oma töökorras ette ülesannete jaotuse eesistuja ja tema asetäitjate vahel.
whereas
dal 2004 diritto e informatica