interactive GDPR 2016/0679 ET

1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2. Käesolevat määrust ei kohaldata, kui

a)	isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;

b)	liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;

c)	isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus;

d)	isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.

3. Liidu institutsioonide, organite ja asutuste poolt isikuandmete töötlemise suhtes kohaldatakse määrust (EÜ) nr 45/2001. määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemisele kohaldatavaid liidu õigusakte tuleb kooskõlas artikliga 98 kohandada vastavalt käesoleva määruse põhimõtetele ja normidele.

4. Käesolev määrus ei piira direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate õigusnormide kohaldamist.

Artikkel 3

Territoriaalne kohaldamisala

1. Käesolevat määrust kohaldatakse liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse liidus või väljaspool liitu.

2. Käesolevat määrust kohaldatakse liidus asuvate andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui andmete töötlemine on seotud

a)	liidus asuvatele andmesubjektidele kaupade ja teenuste pakkumisega, olenemata sellest, kas andmesubjekt peab maksma tasu, või

b)	nende tegevuse jälgimisega, kui see tegevus toimub liidus.

3. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust.

Artikkel 4

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)	„isikuandmete töötlemise piiramine“ – säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)	„andmete kogum“ – isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)	„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

10)	„kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

11)	andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

12)	„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

13)

„geneetilised andmed“ – isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

14)

„biomeetrilised andmed“ – konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

15)	„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

16)

„peamine tegevuskoht“ –

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

17)	„esindaja“ – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja või volitatud töötleja on kirjalikult artikli 27 kohaselt määranud ja kes esindab vastutavat töötlejat või volitatud töötlejat seoses nende käesolevast määrusest tulenevate vastavate kohustustega;

18)	„ettevõtja“ – majandustegevusega tegelev füüsiline või juriidiline isik, olenemata selle õiguslikust vormist, sealhulgas partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

19)	„kontsern“ – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

20)

„siduvad kontsernisisesed eeskirjad“ – isikuandmete kaitse põhimõtted, millest vastutav töötleja või volitatud töötleja, kelle asukoht on liikmesriigi territooriumil, lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus või ühise majandustegevusega tegelevate ettevõtjate rühmas tegutsevale vastutavale töötajale või volitatud töötlejale;

21)	„järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

22)

„asjaomane järelevalveasutus“ – järelevalveasutus, kes on isikuandmete töötlemisega seotud, kuna

a)	vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)	asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)	kõnealusele järelevalveasutusele on esitatud kaebus;

23)

„isikuandmete piiriülene töötlemine“ –

kas

a)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

24)

„asjakohane ja põhjendatud vastuväide“ – vastuväide kavandatavale otsusele seoses sellega, kas käesolevat määrust on rikutud või kas seoses vastutava töötleja või volitatud töötlejaga kavandatud meede on määrusega kooskõlas, mis näitab selgelt, kui suurt ohtu kujutab endast kavandatav otsus seoses andmesubjektide põhiõiguste ja -vabadustega ning, kui see on asjakohane, isikuandmete vaba liikumisega liidus;

25)	„infoühiskonna teenus“ – teenus, mis vastab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (19) artikli 1 lõike 1 punktile b;

26)	„rahvusvaheline organisatsioon“ – organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või mis tahes muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.

II PEATÜKK

Põhimõtted

Artikkel 5

Isikuandmete töötlemise põhimõtted

1. Isikuandmete töötlemisel tagatakse, et

a)	töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)	isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)	isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

Artikkel 6

Isikuandmete töötlemise seaduslikkus

1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)	andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)	isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)	isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;

d)	isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

e)	isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)	isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

2. Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis.

3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

a)	liidu õigusega või

b)	vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.

4. Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

a)	seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)	isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)	isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 9 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 10;

d)	kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)	asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.

Artikkel 7

Nõusoleku andmise tingimused

1. Kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

2. Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist käesoleva määruse rikkumisega, ei ole siduv.

3. Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest enne nõusoleku andmist. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine.

4. Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku isikuandmine andmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.

Artikkel 11

Töötlemine, mille käigus ei nõuta isiku tuvastamist

1. Kui vastutav töötleja töötleb isikuandmeid eesmärkidel, mille puhul ei nõuta või enam ei nõuta andmesubjekti tuvastamist vastutava töötleja poolt, ei ole vastutav töötleja kohustatud säilitama, hankima ega töötlema lisateavet, et tuvastada andmesubjekt ainult käesoleva määruse järgimiseks.

2. Kui vastutav töötleja on käesolevas artikli lõikes 1 osutatud juhtudel võimeline tõendama, et ta ei suuda andmesubjekti tuvastada, teavitab ta vastavalt andmesubjekti, kui see on võimalik. Sellistel juhtudel ei kohaldata artikleid 15–20, välja arvatud juhul, kui andmesubjekt esitab enda tuvastamist võimaldavat lisateavet, et kasutada nende artiklite kohaseid õigusi.

III PEATÜKK

Andmesubjekti õigused

1. jagu

Läbipaistvus ja sellega seotud kord

Artikkel 24

Vastutava töötleja vastutus

1. Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

3. Vastutava töötleja kohustuste järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

Artikkel 25

Lõimitud andmekaitse ja vaikimisi andmekaitse

1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

2. Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

3. Käesoleva artikli lõigetes 1 ja 2 sätestatud nõuete järgimise tõendamise elemendina võib kasutada artikli 42 kohast heakskiidetud sertifitseerimismehhanismi.

Artikkel 26

Kaasvastutavad töötlejad

1. Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2. Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3. Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi vastutava töötleja suhtes ja vastu.

Artikkel 27

Väljaspool liitu asuvate vastutavate töötlejate või volitatud töötlejate esindajad

1. Kui kohaldatakse artikli 3 lõiget 2, siis määrab vastutav töötleja või volitatud töötleja kirjalikult oma esindaja liidus.

2. Nõuet ei kohaldata:

kui isikuandmete töötlemine on juhtumipõhine, see ei hõlma artikli 9 lõikes 1 osutatud isikuandmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist ning ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või

b)	avaliku sektori asutuse või organi suhtes.

3. Esindaja asukoht peab olema ühes liikmesriikidest, kus asuvad andmesubjektid, kelle isikuandmeid töödeldakse neile kaupade või teenuste pakkumise korral või kelle käitumist jälgitakse.

4. Vastutav töötleja või volitatud töötleja volitab esindajat suhtlema lisaks vastutavale töötlejale või volitatud töötlejale või tema asemel eelkõige järelevalveasutuste ja andmesubjektidega kõigis isikuandmete töötlemisega seotud küsimustes, et tagada käesoleva määruse järgimine.

5. Vastutava töötleja või volitatud töötleja poolt esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja või volitatud töötleja enda suhtes.

Artikkel 28

Volitatud töötleja

1. Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2. Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)	tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)	võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)	järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)	võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)	aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)	pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)	teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5. Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6. Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7. Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8. Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9. Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10. Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

Artikkel 35

Andmekaitsealane mõjuhinnang

1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2. Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.

3. Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:

a)	füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)	artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)	avalike alade ulatuslik süstemaatiline jälgimine.

4. Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.

5. Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.

6. Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.

7. Mõjuhinnang peab hõlmama vähemalt järgmist:

a)	kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)	isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)	lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)	ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8. Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.

9. Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10. Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.

11. Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 36

Eelnev konsulteerimine

1. Vastutav töötleja konsulteerib enne isikuandmete töötlemist järelevalveasutusega, kui artikli 35 kohasest andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohu leevendamiseks võetavate meetmete puudumise korral suur oht.

2. Kui järelevalveasutus on seisukohal, et lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesolevat määrust, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, siis annab järelevalveasutus hiljemalt kaheksa nädala jooksul alates konsulteerimise taotluse kättesaamisest vastutavale töötlejale ja asjakohasel juhul volitatud töötlejale kirjalikult nõu ja ta võib kasutada artiklis 58 osutatud õigusi. Seda tähtaega võib pikendada kuue nädala võrra, arvestades kavandatava isikuandmete töötlemise keerukust. Järelevalveasutus teavitab pikendatud tähtaja kohaldamise korral vastutavat töötlejat ja asjakohasel juhul volitatud töötlejat kõigist sellistest pikendamistest ühe kuu jooksul alates konsulteerimise taotluse kättesaamisest, sealhulgas viivituse põhjustest. Need tähtajad võib peatada seniks, kuni järelevalveasutus on saanud kogu teabe, mida ta on küsinud seoses konsulteerimisega.

3. Järelevalveasutusega lõike 1 kohaselt konsulteerimisel esitab vastutav töötleja järelevalveasutusele järgmise teabe:

a)	kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad, eelkõige seoses töötlemisega kontsernis;

b)	kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)	ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)	kui see on asjakohane, siis andmekaitseametniku kontaktandmed;

e)	artiklis 35 sätestatud andmekaitsealane mõjuhinnang ning

f)	kogu muu järelevalveasutuse taotletud teave.

4. Liikmesriik konsulteerib järelevalveasutusega, kui koostamisel on riigi parlamendis vastu võetava õigusliku meetme ettepanek või sellisel õiguslikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.

5. Olenemata lõikest 1 võib liikmesriigi õigusega ette näha, et vastutavad töötlejad peavad konsulteerima järelevalveasutustega ja saama neilt eelneva loa, kui vastutav töötleja kavatseb töödelda isikuandmeid vastutava töötleja poolt avalikes huvides täidetava ülesande raames, mis hõlmab sellist isikuandmete töötlemist seoses sotsiaalkaitse ja rahvatervisega.

4. jagu

Andmekaitseametnik

Artikkel 38

Andmekaitseametniku ametiseisund

1. Vastutav töötleja ja volitatud töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.

2. Vastutav töötleja ja volitatud töötleja toetavad andmekaitseametnikku artiklis 39 osutatud ülesannete täitmisel, andes talle nende ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja isikuandmete töötlemise toimingutele.

3. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik ei saa nende ülesannete täitmise suhtes juhiseid. Vastutav töötleja või volitatud töötleja ei saa teda tema ülesannete täitmise eest ametist vabastada ega karistada. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

4. Andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ning nende käesolevast määrusest tulenevate õiguste kasutamisega.

5. Andmekaitseametniku suhtes kehtib tema ülesannete täitmisel vastavalt liidu või liikmesriigi õigusele saladuse hoidmise või konfidentsiaalsuse nõue.

6. Andmekaitseametnik võib täita muid ülesandeid ja kohustusi. Vastutav töötleja või volitatud töötleja tagab, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti.

Artikkel 39

Andmekaitseametniku ülesanded

1. Andmekaitseametnikul on vähemalt järgmised ülesanded:

a)	teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad käesolevast määrusest ja muudest liidu või liikmesriikide andmekaitsenormidest;

jälgida käesoleva määruse, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;

c)	anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist vastavalt artiklile 35;

d)	teha koostööd järelevalveasutusega, ning

e)	tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna, sealhulgas artiklis 36 osutatud eelneva konsulteerimise osas, ning konsulteerida vajaduse korral ka muudes küsimustes.

2. Andmekaitseametnik võtab oma ülesannete täitmisel asjakohaselt arvesse isikuandmete töötlemise toimingutega seotud ohtu, arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke.

5. jagu

Toimimisjuhendid ja sertifitseerimine

Artikkel 40

Toimimisjuhendid

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

a)	isikuandmete õiglane ja läbipaistev töötlemine;

b)	vastutava töötleja õigustatud huvid teatud kontekstis;

c)	isikuandmete kogumine;

d)	isikuandmete pseudonümiseerimine;

e)	üldsuse ja andmesubjektide teavitamine;

f)	andmesubjektide õiguste kasutamine;

g)	laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)	artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)	isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)	isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)	vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

3. Peale selle, et käesoleva artikli lõike 5 kohaselt heaks kiidetud ja käesoleva artikli lõike 9 kohaselt terves liidus kehtivaks tunnistatud toimimisjuhendeid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võivad neid järgida ka vastutavad töötlejad ja volitatud töötlejad, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, et tagada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus artikli 46 lõike 2 punktis e osutatud tingimustel asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

4. Käesoleva artikli lõike 2 kohane toimimisjuhend peab sisaldama mehhanisme, mis võimaldavad artikli 41 lõikes 1 osutatud asutusel teha kohustuslikku järelevalvet selle üle, et toimimisjuhendit täitma kohustunud vastutav töötleja või volitatud töötleja järgib seda, ilma et see piiraks artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

6. Kui toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend kiidetakse vastavalt lõikele 5 heaks ning kui asjaomane toimimisjuhend ei ole seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, registreerib ja avaldab järelevalveasutus toimimisjuhendi.

7. Kui toimimisjuhendi kavand on seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, siis esitab artikli 55 kohaselt pädev järelevalveasutus toimimisjuhendi enne selle heakskiitmist artiklis 63 osutatud menetluse kohaselt andmekaitsenõukogule, kes esitab arvamuse selle kohta, kas toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab käesoleva artikli lõikes 3 osutatud olukorras asjakohased kaitsemeetmed.

8. Kui lõikes 7 osutatud arvamuses kinnitatakse, et toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab lõikes 3 osutatud olukorras asjakohased kaitsemeetmed, siis esitab andmekaitsenõukogu oma arvamuse komisjonile.

9. Komisjon võib rakendusaktidega otsustada, et talle vastavalt käesoleva artikli lõikele 8 esitatud heakskiidetud toimimisjuhendid, muudatused ja laiendused kehtivad terves liidus. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

10. Komisjon tagab asjakohase teavituse lõike 9 kohase otsusega terves liidus kehtivaks tunnistatud heakskiidetud toimimisjuhenditest.

11. Andmekaitsenõukogu koondab kõik heakskiidetud toimimisjuhendid, muudatused ja laiendused registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 41

Heakskiidetud toimimisjuhendite järgimise järelevalve

1. Ilma et see mõjutaks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, võib artikli 40 kohase toimimisjuhendi järgimise üle järelevalvet teostada asutus, kellel on toimimisjuhendi sisu osas asjakohased ekspertteadmised ja kes on selleks pädeva järelevalveasutuse poolt akrediteeritud.

2. Lõikes 1 osutatud asutust võib akrediteerida teostama toimimisjuhendi järgimise üle järelevalvet, kui nimetatud asutus:

a)	on pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi toimimisjuhendi sisu osas;

b)	on kehtestanud menetlused, mis võimaldavad tal hinnata vastutavate töötlejate ja volitatud töötlejate sobivust toimimisjuhendi kohaldamiseks, teostada järelevalvet selle sätete järgimise üle ja vaadata korrapäraselt üle selle toimimist;

on kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt toimimisjuhendi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

d)	tõendab pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3. Pädev järelevalveasutus esitab käesoleva artikli lõikes 1 osutatud asutuse akrediteerimise kriteeriumide kavandi andmekaitsenõukogule vastavalt artiklis 63 osutatud järjepidevuse mehhanismile.

4. Ilma et see mõjutaks pädeva järelevalveasutuse ülesandeid ja volitusi ning VIII peatüki sätete kohaldamist, võtab käesoleva artikli lõikes 1 osutatud asutus toimimisjuhendi rikkumise korral vastutava töötleja või volitatud töötleja poolt piisavaid kaitsemeetmeid kasutades asjakohased meetmed, sealhulgas vastutava töötleja või volitatud töötleja toimimisjuhendis osalemise peatamine või välistamine. Asutus teavitab pädevat järelevalveasutust sellistest meetmetest ja nende võtmise põhjustest.

5. Pädev järelevalveasutus tühistab lõikes 1 osutatud asutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed ei vasta käesolevale määrusele.

6. Käesolevat artiklit ei kohaldata isikuandmete töötlemisele avaliku sektori asutuste ja organite poolt.

Artikkel 42

Sertifitseerimine

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3. Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4. Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6. Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7. Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8. Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 43

Sertifitseerimisasutused

1. Ilma et see piiraks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, väljastab sertifikaadi ja pikendab seda sertifitseerimisasutus, millel on andmekaitse vallas asjakohased ekspertteadmised, olles enne järelevalveasutust teavitanud, et see saaks vajaduse korral kasutada oma volitusi vastavalt artikli 58 lõike 2 punktile h. Liikmesriik kehtestab, kas need sertifitseerimisasutused akrediteerib üks või mõlemad järgmistest:

a)	artikli 55 või 56 kohaselt pädev järelevalveasutus;

b)	Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (20) kohaselt, kooskõlas standardiga EN-ISO/IEC 17065/2012 ning artiklite 55 või 56 kohaselt pädeva järelevalveasutuse kehtestatud täiendavate nõuete kohaselt nimetatud riiklik akrediteerimisasutus.

2. Lõikes 1 osutatud sertifitseerimisasutusi võib kooskõlas nimetatud lõikega akrediteerida üksnes juhul, kui need on

a)	pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi sertifitseerimise sisu osas;

b)	võtnud endale kohustuse järgida artikli 42 lõikes 5 osutatud kriteeriume, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu;

c)	kehtestanud andmekaitsesertifikaatide, -pitserite ja -märgiste väljastamise, korrapärase läbivaatamise ja tagasivõtmise menetlused;

kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt sertifikaadi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

e)	tõendanud pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3. Käesoleva artikli lõigetes 1 ja 2 osutatud sertifitseerimisasutuste akrediteerimine toimub kriteeriumide alusel, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu. Kui akrediteerimine toimub käesoleva artikli lõike 1 punkti c kohaselt, täiendavad need nõuded määruses (EÜ) nr 765/2008 sätestatud nõudeid ja tehnilisi eeskirju, mis kirjeldavad sertifitseerimisasutuste kasutatavaid meetodeid ja menetlusi.

4. Lõikes 1 osutatud sertifitseerimisasutused vastutavad sertifikaadi väljastamiseks või sellise sertifikaadi tagasivõtmiseks kasutatava asjakohase hindamise eest, ilma et see mõjutaks vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest. Akrediteering antakse maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni sertifitseerimisasutus vastab käesolevas artiklis sätestatud nõuetele.

5. Lõikes 1 osutatud sertifitseerimisasutus esitab pädevale järelevalveasutusele taotletud sertifikaadi väljastamise või sertifikaadi tagasivõtmise põhjused.

6. Järelevalveasutus avaldab kergesti kättesaadaval kujul käesoleva artikli lõikes 3 osutatud nõuded ja artikli 42 lõikes 5 osutatud kriteeriumid. Järelevalveasutus edastab need nõuded ja kriteeriumid ka andmekaitsenõukogule. Euroopa Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

7. Ilma et see piiraks VIII peatüki kohaldamist, tühistab pädev järelevalveasutus või riiklik akrediteerimisasutus käesoleva artikli lõikes 1 osutatud sertifitseerimisasutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

8. Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks nõuded, mida tuleb arvesse võtta artikli 42 lõikes 1 osutatud andmekaitse sertifitseerimise mehhanismide puhul.

9. Komisjon võib võtta vastu rakendusakte sertifitseerimismehhanismide ning pitserite ja -märgiste tehniliste standardite ning kasutuselevõtu edendamise ja tunnustamise mehhanismide kohta. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

V PEATÜKK

Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele

Artikkel 44

Edastamise üldpõhimõtted

Töödeldavate või pärast kolmandale riigile või rahvusvahelisele organisatsioonile edastamist töötlemiseks ette nähtud isikuandmete edastamine toimub ainult juhul, kui vastutav töötleja ja volitatud töötleja on täitnud kooskõlas käesoleva määruse teiste sätetega käesolevas peatükis sätestatud tingimused, sealhulgas juhul, kui kolmas riik või rahvusvaheline organisatsioon saadab isikuandmed edasi muule kolmandale riigile või rahvusvahelisele organisatsioonile. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute kaitse taset ei kahjustata.

Artikkel 51

Järelevalveasutus

1. Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).

2. Järelevalveasutus annab panuse käesoleva määruse ühtse kohaldamise tagamiseks kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga.

3. Kui ühes liikmesriigis on asutatud rohkem kui üks järelevalveasutus, määrab liikmesriik selle järelevalveasutuse, kes esindab teisi andmekaitsenõukogus, ja näeb ette mehhanismi, millega tagatakse, et teised järelevalveasutused täidavad artiklis 57 osutatud järjepidevuse mehhanismiga seotud eeskirju.

4. Liikmesriik teavitab komisjoni käesoleva peatüki alusel vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ja annab viivitamata teada nende edaspidistest muudatustest.

Artikkel 52

Sõltumatus

1. Järelevalveasutus tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2. Järelevalveasutuse liige või liikmed on oma käesoleva määrusega kooskõlas olevate ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning ei küsi ega võta vastu juhiseid mitte kelleltki.

3. Järelevalveasutuse liige või liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul sobimatul tasustatud või tasustamata ametikohal.

4. Liikmesriik tagab, et järelevalveasutusel oleks inim-, tehnilised ja rahalised ressursid ning ruumid ja infrastruktuur oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.

5. Liikmesriik tagab, et järelevalveasutusel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele.

6. Liikmesriik tagab, et järelevalveasutuse üle teostatakse finantskontrolli, mis ei mõjuta asutuse sõltumatust ning et igal järelevalveasutusel on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest.

Artikkel 54

Järelevalveasutuse asutamise eeskirjad

1. Liikmesriik sätestab õigusega:

a)	järelevalveasutuse asutamise;

b)	järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused;

c)	eeskirjad ja menetlused järelevalveasutuse liikme või liikmete ametisse nimetamiseks;

d)	järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 24. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust;

e)	selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning

f)	tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid.

2. Järelevalveasutuse liige või liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii ametiaja jooksul kui ka pärast seda hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis on neile teatavaks saanud nende ülesannete täitmisel või volituste kasutamisel. Liikmete ametiaja jooksul kohaldatakse seda ametisaladuse hoidmise kohustust eelkõige juhtudel, kui füüsilised isikud teavitavad käesoleva määruse rikkumistest.

2. jagu

Pädevus, ülesanded ja volitused

Artikkel 55

Pädevus

1. Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.

2. Kui töötlejad on avaliku sektori või eraõiguslikud asutused, kes tegutsevad artikli 6 lõike 1 punktide c või e alusel, on pädevaks asutuseks asjaomase liikmesriigi järelevalveasutus. Sel juhul artiklit 56 ei kohaldata.

3. Järelevalveasutused ei ole pädevad korraldama järelevalvet isikuandmete töötlemise toimingute üle, mida kohtud teevad oma õigust mõistvat funktsiooni täites.

Artikkel 56

Juhtiva järelevalveasutuse pädevus

1. Ilma et see piiraks artikli 55 kohaldamist, on vastutava töötleja või volitatud töötleja peamise või ainsa tegevuskoha järelevalveasutus pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.

2. Erandina lõikest 1 on järelevalveasutus pädev menetlema talle esitatud kaebust või käesoleva määruse võimalikku rikkumist, kui küsimus on seotud ainult tema liikmesriigis asuva tegevuskohaga või mõjutab oluliselt ainult tema liikmesriigis asuvaid andmesubjekte.

3. Käesoleva artikli lõikes 2 osutatud juhtudel teavitab järelevalveasutus sellest küsimusest viivitamatult juhtivat järelevalveasutust. Kolme nädala jooksul pärast teavitamist otsustab juhtiv järelevalveasutus, kas ta asub juhtumit kooskõlas artiklis 60 sätestatuga menetlema, võttes arvesse seda, kas vastutava töötleja või volitatud töötleja tegevuskoht on teda teavitanud järelevalveasutuse liikmesriigis.

4. Kui juhtiv järelevalveasutus otsustab juhtumit käsitleda, kohaldatakse artiklis 60 sätestatud menetlust. Juhtivat järelevalveasutust teavitanud järelevalveasutus võib juhtivale järelevalveasutusele esitada otsuse eelnõu. Juhtiv järelevalveasutus võtab seda eelnõu täiel määral arvesse artikli 60 lõikes 3 osutatud otsuse eelnõu ettevalmistamisel.

5. Kui juhtiv järelevalveasutus otsustab juhtumit mitte käsitleda, käsitleb seda juhtumit kooskõlas artiklitega 61 ja 62 see järelevalveasutus, kes juhtivat järelevalveasutust teavitas.

6. Piiriülese isikuandmete töötlemise toimingu puhul on vastutava töötleja või volitatud töötleja ainus partner juhtiv järelevalveasutus.

Artikkel 57

Ülesanded

1. Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

a)	jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

b)	suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

c)	nõustab kooskõlas liikmesriigi õigusega riigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)	edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

e)	annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 80 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)	teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

h)	toimetab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

i)	jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogiate ning kaubandustavade arengut;

j)	võtab vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud lepingu tüüptingimused;

k)	koostab ja säilitab loetelu seoses artikli 35 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

l)	annab nõu artikli 36 lõikes 2 osutatud isikuandmete töötlemise toimingute osas;

m)	ergutab artikli 40 lõike 1 kohaste toimimisjuhendite koostamist, esitab oma arvamuse piisavaid tagatisi pakkuvate toimimisjuhendite kohta ja kiidab need heaks kooskõlas artikli 40 lõikega 5;

m)	ergutab artikli 42 lõike 1 kohaselt andmetekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kehtestamist ning kiidab artikli 42 lõike 5 kohaselt sertifitseerimise kriteeriumid heaks;

o)	vaatab vajaduse korral korrapäraselt läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

p)	koostab ja avaldab artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohase sertifitseerimisasutuse akrediteerimise tingimused;

q)	akrediteerib artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohaselt sertifitseerimisasutuse;

r)	kinnitab artikli 46 lõikes 3 osutatud lepinguklauslid ja -sätted;

s)	kiidab heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad;

t)	annab panuse andmekaitsenõukogu tegevusse;

u)	peab asutusesisest registrit käesoleva määruse rikkumiste ja võetud meetmete kohta, eelkõige kooskõlas artikli 58 lõikega 2 tehtud hoiatuste ja kehtestatud karistuste kohta ning

v)	täidab mis tahes muid isikuandmete kaitsega seotud ülesandeid.

2. Järelevalveasutus võtab meetmeid lõike 1 punktis b osutatud kaebuste esitamise lihtsustamiseks, näiteks koostab kaebuste esitamise vormi, mida saab täita ka elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3. Järelevalveasutus täidab oma ülesandeid andmesubjekti ja asjakohasel juhul andmekaitseametniku jaoks tasuta.

4. Kui taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama taotluse selgelt põhjendamatut või ülemäärast iseloomu.

Artikkel 58

Volitused

1. Järelevalveasutusel on järgmised uurimisvolitused:

a)	anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

b)	viia läbi uurimisi andmekaitseauditi kujul;

c)	vaadata läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

d)	teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

e)	saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, ning

f)	saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja mis tahes ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2. Järelevalveasutusel on järgmised parandusvolitused:

a)	hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)	teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)	anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)	anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

e)	anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

f)	kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

g)	anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

h)	võtta sertifikaat tagasi või anda sertifitseerimisasutusele korraldus võtta tagasi artiklite 42 ja 43 alusel väljastatud sertifikaat või anda sertifitseerimisasutusele korraldus jätta sertifikaat väljastamata, kui sertifitseerimise nõuded ei ole täidetud või ei ole enam täidetud;

i)	määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

j)	anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3. Järelevalveasutusel on järgmised lubavad ja nõuandvad volitused:

a)	nõustada vastutavat töötlejat kooskõlas artiklis 36 osutatud eelneva konsulteerimise menetlusega;

b)	esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele;

c)	anda luba artikli 36 lõikes 5 osutatud töötlemiseks, kui liikmesriigi õigus sellist eelnevat luba nõuab;

d)	esitada arvamus ja kiita heaks toimimisjuhendite kavandid vastavalt artikli 40 lõikele 5;

e)	akrediteerida sertifitseerimisasutused vastavalt artiklile 43;

f)	väljastada sertifikaate ja kiita heaks sertifitseerimise kriteeriumid kooskõlas artikli 42 lõikega 5;

g)	võtta vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud andmekaitse tüüpklauslid;

h)	kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused;

i)	kinnitada artikli 46 lõike 3 punktis b osutatud halduskokkulepped;

j)	kiita heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad.

4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

5. Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.

6. Liikmesriik võib seadusega ette näha, et tema järelevalveasutusel on täiendavad volitused lisaks lõigetes 1, 1b ja 1c osutatud volitustele. Volituste kasutamine ei tohi kahjustada VII peatüki tõhusat toimimist.

Artikkel 61

Vastastikune abi

1. Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.

2. Järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise läbiviimise kohta.

3. Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatavat teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.

4. Taotluse saanud järelevalveasutus ei või abitaotluse täitmisest keelduda, välja arvatud juhul, kui

a)	ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või

b)	taotluse täitmine rikuks käesolevat määrust või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigusega.

5. Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse rahuldamisest keeldumise põhjendused vastavalt lõikele 4.

6. Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe reeglina elektroonilisel teel, kasutades selleks tüüpvormi.

7. Taotluse saanud järelevalveasutused vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta. Järelevalveasutused võivad kokku leppida eeskirjades, mille kohaselt nad hüvitavad üksteisele vastastikuse abi osutamisel erandjuhtudel tekkivad konkreetsed kulud.

8. Kui järelevalveasutus ei esita käesoleva artikli lõikes 5 osutatud teavet ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, võib taotluse esitanud järelevalveasutus võtta oma liikmesriigi territooriumil kooskõlas artikli 55 lõikega 1 vastu ajutise meetme. Sellisel juhul loetakse, et täidetud on artikli 66 lõike 1 kohane kiireloomulise tegutsemise vajadus ning andmekaitsenõukogu peab kiiresti vastu võtma artikli 66 lõike 2 kohase siduva otsuse.

9. Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige käesoleva artikli lõikes 6 osutatud tüüpvormi. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 63

Järjepidevuse mehhanism

Selleks et aidata käesolevat määrust kogu liidus järjepidevalt kohaldada, teevad järelevalveasutused koostööd üksteisega ja asjakohasel juhul komisjoniga käesolevas jaos sätestatud järjepidevuse mehhanismi kaudu.

Artikkel 64

Andmekaitsenõukogu arvamus

1. Andmekaitsenõukogu esitab arvamuse alati, kui pädev järelevalveasutus kavatseb vastu võtta mis tahes järgmise meetme. Sellega seoses edastab pädev järelevalveasutus andmekaitsenõukogule otsuse eelnõu, kui

a)	selle eesmärk on võtta vastu selline isikuandmete töötlemise toimingute loetelu, mille puhul kohaldatakse artikli 35 lõike 4 kohast andmekaitsealase mõjuhinnangu nõuet;

b)	see on seotud artikli 40 lõike 7 kohase küsimusega selle kohta, kas toimimisjuhendi kavand või selle muudatused või laiendused on vastavuses käesoleva määrusega;

c)	selle eesmärk on heaks kiita kriteeriumid artikli 41 lõike 3 kohaseks asutuse või artikli 43 lõike 3 kohaseks sertifitseerimisasutuse akrediteerimiseks;

d)	selle eesmärk on määrata kindlaks artikli 46 lõike 2 punktis d ja artikli 28 lõikes 8 osutatud andmekaitse standardklauslid;

e)	selle eesmärk on kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused või

f)	selle eesmärk on kiita heaks siduvad kontsernisisesed eeskirjad artikli 47 tähenduses.

2. Pädev järelevalveasutus, andmekaitsenõukogu eesistuja või komisjon võib taotleda mis tahes üldkohaldatava või rohkem kui ühes liikmesriigis mõju avaldava küsimuse puhul, et seda käsitleks arvamuse esitamiseks andmekaitsenõukogu, eelkõige juhul, kui pädev järelevalveasutus ei täida vastastikuse abi kohustust vastavalt artiklile 61 või ühisoperatsioonide kohustust vastavalt artiklile 62.

3. Lõigetes 1 ja 2 osutatud juhtudel esitab andmekaitsenõukogu arvamuse temale edastatud küsimuse kohta, tingimusel et ta ei ole samas küsimuses juba arvamust esitanud. Kõnealune arvamus võetakse vastu kaheksa nädala jooksul andmekaitsenõukogu liikmete lihthäälteenamuse alusel. Seda ajavahemikku võib pikendada kuue nädala võrra, võttes arvesse küsimuse keerukust. Kui lõikes 1 osutatud otsuse eelnõu on andmekaitsenõukogu liikmetele edastatud lõike 5 kohaselt, loetakse, et liige, kes ei ole eesistuja määratud mõistlikuks tähtajaks otsuse eelnõule vastuseisu esitanud, on sellega nõus.

4. Järelevalveasutused ja komisjon edastavad põhjendamatu viivituseta andmekaitsenõukogule elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas vastavalt vajadusele asjaolude kokkuvõtte, otsuse eelnõu, nimetatud meetme võtmise põhjused ja muude asjaomaste järelevalveasutuste seisukohad.

5. Andmekaitsenõukogu eesistuja teavitab põhjendamatu viivituseta elektrooniliselt

a)	Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud mis tahes asjakohasest teabest, kasutades selleks tüüpvormi. Andmekaitsenõukogu sekretariaat korraldab vajaduse korral asjaomase teabe tõlkimise, ning

b)	vastavalt vajadusele lõigetes 1 ja 2 osutatud järelevalveasutust ja komisjoni kõnealusest arvamusest ning avalikustab selle.

6. Pädev järelevalveasutus ei võta lõikes 3 osutatud ajavahemiku jooksul vastu lõikes 1 osutatud otsuse eelnõu.

7. Lõikes 1 osutatud järelevalveasutus arvestab igakülgselt andmekaitsenõukogu arvamusega ja annab elektroonilisel teel kahe nädala jooksul pärast arvamuse saamist tüüpvormi kasutades andmekaitsenõukogu eesistujale teada, kas ta jääb otsuse eelnõu juurde või muudab seda, ning edastab vajaduse korral muudetud otsuse eelnõu.

8. Kui asjaomane järelevalveasutus teavitab andmekaitsenõukogu eesistujat käesoleva artikli lõikes 7 osutatud ajavahemiku jooksul, et ta ei kavatse andmekaitsenõukogu arvamust kas tervikuna või osaliselt järgida, ning esitab asjakohased põhjendused, siis kohaldatakse artikli 65 lõiget 1.

Artikkel 65

Vaidluste lahendamine andmekaitsenõukogu poolt

1. Selleks et tagada käesoleva määruse nõuetekohane ja järjepidev kohaldamine üksikjuhtudel, võtab andmekaitsenõukogu vastu siduva otsuse järgmistel juhtudel:

kui asjaomane järelevalveasutus on artikli 60 lõikes 4 osutatud juhul tõstatanud asjakohase ja põhjendatud vastuväite juhtiva järelevalveasutuse otsuse eelnõu kohta või kui juhtiv järelevalveasutus on sellise vastuväite kui mitteasjakohase ja/või põhjendamatu tagasi lükanud. Siduv otsus puudutab kõiki asjakohases ja põhjendatud vastuväites käsitletud küsimusi, eelkõige küsimust, kas on toimunud käesoleva määruse rikkumine;

b)	kui esineb lahkarvamusi selles osas, milline on peamise tegevuskoha jaoks pädev asjaomane järelevalveasutus, ning

c)	kui pädev järelevalveasutus ei taotle andmekaitsenõukogu arvamust käesoleva artikli 64 lõikes 1 osutatud juhtudel või ei järgi andmekaitsenõukogu artikli 64 kohaselt esitatud arvamust. Sellisel juhul võib asjaomane järelevalveasutus või komisjon edastada küsimuse andmekaitsenõukogule.

2. Lõikes 1 osutatud otsus võetakse vastu ühe kuu jooksul alates sisulise küsimuse esitamisest andmekaitsenõukogu liikmete kahekolmandikulise häälteenamusega. Seda ajavahemikku võib pikendada ühe kuu võrra, võttes arvesse küsimuse keerukust. Lõikes 1 osutatud otsus on põhjendatud, see edastatakse juhtivale järelevalveasutusele ja kõigile asjaomastele järelevalveasutustele ning on neile siduv.

3. Juhul kui andmekaitsenõukogu ei ole suutnud lõikes 2 osutatud aja jooksul otsust vastu võtta, võtab ta kahe nädala jooksul pärast lõikes 2 osutatud teise kuu möödumist otsuse vastu andmekaitsenõukogu liikmete lihthäälteenamusega. Kui andmekaitsenõukogu liikmete hääled jagunevad võrdselt, on otsuse vastuvõtmisel määrav eesistuja hääl.

4. Asjaomased järelevalveasutused ei võta lõigetes 2 ja 3 osutatud ajavahemike jooksul vastu otsust andmekaitsenõukogule lõike 1 kohaselt esitatud sisulises küsimuses.

5. Andmekaitsenõukogu eesistuja teavitab lõikes 1 osutatud otsusest põhjendamatu viivituseta asjaomaseid järelevalveasutusi. Ta teatab sellest komisjonile. Otsus avaldatakse andmekaitsenõukogu veebisaidil viivituseta pärast seda, kui järelevalveasutus on teavitanud lõikes 6 osutatud lõplikust otsusest.

6. Vastavalt olukorrale kas juhtiv järelevalveasutus või see järelevalveasutus, kellele kaebus esitati, võtab käesoleva artikli lõikes 1 osutatud otsuse alusel vastu oma lõpliku otsuse, tehes seda põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul alates sellest, kui andmekaitsenõukogu on oma otsusest teavitanud. Vastavalt olukorrale kas juhtiv järelevalveasutus või see järelevalveasutus, kellele kaebus esitati, teavitab andmekaitsenõukogu, millisel kuupäeval tehakse tema lõplik otsus teatavaks vastutavale töötlejale või volitatud töötlejale ja andmesubjektile. Asjaomaste järelevalveasutuste lõplik otsus võetakse vastu artikli 60 lõigete 7, 8 ja 9 tingimuste kohaselt. Lõplikus otsuses viidatakse käesoleva artikli lõikes 1 osutatud otsusele ja märgitakse, et lõikes 1 osutatud otsus avaldatakse kooskõlas käesoleva artikli lõikega 5 andmekaitsenõukogu veebisaidil. Lõplikule otsusele lisatakse käesoleva artikli lõikes 1 osutatud otsus.

Artikkel 68

Euroopa Andmekaitsenõukogu

1. Euroopa Andmekaitsenõukogu („andmekaitsenõukogu“) luuakse Euroopa Liidu ametina ja tal on juriidilise isiku staatus.

2. Andmekaitsenõukogu esindab selle eesistuja.

3. Andmekaitsenõukogu koosneb iga liikmesriigi ühe järelevalveasutuse juhatajast ja Euroopa Andmekaitseinspektorist või nende vastavatest esindajatest.

4. Kui liikmesriigis on rohkem kui üks järelevalveasutus, kes vastutab käesoleva määruse kohaldamise järelevalve eest, määratakse kooskõlas asjaomase liikmesriigi õigusega nende ühine esindaja.

5. Komisjonil on õigus osaleda andmekaitsenõukogu tegevuses ja kohtumistel ilma hääleõiguseta. Komisjon määrab oma esindaja. Andmekaitsenõukogu eesistuja teavitab komisjoni andmekaitsenõukogu tegevusest.

6. Artiklis 65 osutatud juhtudel on Euroopa Andmekaitseinspektoril hääleõigus ainult nende otsuste üle hääletamisel, mis käsitlevad liidu institutsioonide, organite ja asutuste suhtes kohaldatavaid põhimõtteid ja eeskirju, mis vastavad sisuliselt käesoleva määruse põhimõtetele ja eeskirjadele.

Artikkel 70

Andmekaitsenõukogu ülesanded

1. Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)	jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)	nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)	nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)	annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)	vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)	koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)	jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)	ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)	täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)	esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)	esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)	esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)	edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)	edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)	edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)	esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)	peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2. Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3. Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4. Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

Artikkel 72

Menetlus

1. Andmekaitsenõukogu teeb otsused liikmete lihthäälteenamuse alusel, kui käesolevas määruses ei ole sätestatud teisiti.

2. Andmekaitsenõukogu võtab oma töökorra vastu liikmete kahekolmandikulise häälteenamusega ja paneb paika oma töökorralduse.

Artikkel 75

Sekretariaat

1. Andmekaitsenõukogul on sekretariaat, kelle töö tagab Euroopa Andmekaitseinspektor.

2. Sekretariaat järgib oma ülesannete täitmisel ainult andmekaitsenõukogu eesistuja juhiseid.

3. Euroopa Andmekaitseinspektori töötajatel, kes täidavad andmekaitsenõukogule käesoleva määrusega antud ülesandeid, ja Euroopa Andmekaitseinspektori töötajatel, kes täidavad Euroopa Andmekaitseinspektorile antud ülesandeid, on eraldi aruandlusahelad.

4. Kui see on asjakohane, koostavad ja avaldavad andmekaitsenõukogu ja Euroopa Andmekaitseinspektor käesoleva artikli rakendamiseks vastastikuse mõistmise memorandumi, milles määratakse kindlaks nende koostöö kord ja mis on kohaldatav Euroopa Andmekaitseinspektori töötajate suhtes, kes on seotud andmekaitsenõukogule käesoleva määrusega antud ülesannete täitmisega.

5. Sekretariaat pakub andmekaitsenõukogule analüütilist, halduslikku ja logistilist tuge.

6. Sekretariaat vastutab eelkõige järgmise eest:

a)	andmekaitsenõukogu igapäevane tegevus;

b)	suhtlemine andmekaitsenõukogu liikmete, selle eesistuja ja komisjoni vahel;

c)	teabevahetus teiste institutsioonide ja üldsusega;

d)	elektrooniliste vahendite kasutamine sise- ja välissuhtluses;

e)	asjaomase teabe tõlkimine;

f)	andmekaitsenõukogu koosolekute ettevalmistamine ja järelmeetmed;

g)	andmekaitsenõukogu poolt vastu võetud arvamuste, järelevalveasutuste vahelisi vaidlusi käsitlevate otsuste ja muude dokumentide ettevalmistamine, koostamine ja avaldamine.

Artikkel 76

Konfidentsiaalsus

1. Kui andmekaitsenõukogu peab seda vajalikuks, on tema arutelud konfidentsiaalsed, nagu on ette nähtud töökorras.

2. Juurdepääsu dokumentidele, mis on esitatud andmekaitsenõukogu liikmetele, ekspertidele ja kolmandate isikute esindajatele, reguleeritakse Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 1049/2001 (21).

VIII PEATÜKK

Õiguskaitsevahendid, vastutus ja karistused

Artikkel 77

Õigus esitada järelevalveasutusele kaebus

1. Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.

2. Järelevalveasutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest.

Artikkel 79

Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu

1. Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.

2. Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja või volitatud töötleja on liikmesriigi avalikku võimu teostav avaliku sektori asutus.

Artikkel 80

Andmesubjektide esindamine

1. Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

2. Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.

Artikkel 82

Õigus hüvitisele ja vastutus

1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.

3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

4. Kui sama töötlemisega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja või nii vastutav kui ka volitatud töötleja ning nad on lõigete 2 ja 3 kohaselt vastutavad töötlemisega tekitatud kahju eest, võetakse vastutav töötleja või volitatud töötleja vastutusele kogu kahju eest, et tagada andmesubjektile tõhus hüvitamine.

5. Kui vastutav töötleja või volitatud töötleja on tekitatud kahju kooskõlas lõikega 4 täielikult hüvitanud, on sellel vastutaval töötlejal või volitatud töötlejal õigus nõuda teistelt sama töötlemisega seotud vastutavatelt või volitatud töötlejatelt tagasi see hüvitise osa, mis vastab lõikes 2 sätestatud tingimuste kohaselt sellele osale kahjust, mille eest nemad vastutavad.

6. Kohtumenetlus hüvitise saamise õiguse kasutamiseks algatatakse artikli 79 lõikes 2 osutatud liikmesriigi õiguse kohaselt pädevas kohtus.

Artikkel 83

Trahvide määramise üldtingimused

1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2. Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)	rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)	kas rikkumine pandi toime tahtlikult või hooletusest;

c)	vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)	vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)	vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)	järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)	rikkumisest mõjutatud isikuandmete liigid;

h)	millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)	kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)	artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)	juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)	sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)	järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

5. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)	andmesubjektide õigused artiklite 12–22 alusel;

c)	isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)	mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)	järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

6. Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7. Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8. Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

9. Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja järelevalveasutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul on määratavad trahvid tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni oma käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 84

Karistused

1. Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.

2. Liikmesriik teavitab komisjoni hiljemalt 25. maiks 2018 vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist neid õigusnorme mõjutavatest muudatustest.

IX PEATÜKK

Isikuandmete töötlemise eriolukordi käsitlevad sätted

Artikkel 85

Isikuandmete töötlemine ning sõna- ja teabevabadus

1. Liikmesriigid ühitavad õigusaktiga käesoleva määruse kohase õiguse isikuandmete kaitsele ning sõna- ja teabevabaduse õiguse, muu hulgas seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks.

2. Seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks näevad liikmesriigid ette vabastusi või erandeid II peatükist (põhimõtted), III peatükist (andmesubjekti õigused), IV peatükist (vastutav töötleja ja volitatud töötleja), V peatükist (isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele), VI peatükist (sõltumatud järelevalveasutused), VII peatükist (koostöö ja järjepidevus) ja IX peatükist (andmetöötluse eriolukorrad), kui need on vajalikud, et ühitada õigus isikuandmete kaitsele sõna- ja teabevabadusega.

3. Liikmesriik teavitab komisjoni vastavalt lõikele 2 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 86

Isikuandmete töötlemine ja üldsuse juurdepääs ametlikele dokumentidele

Avaliku sektori asutus või avaliku sektori organ või erasektori organ võib avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas liidu õigusega või kõnealusele avaliku sektori asutusele või organile kohaldatava liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja käesoleva määruse kohane õigus isikuandmete kaitsele.

Artikkel 87

Riikliku isikukoodi töötlemine

Liikmesriigid võivad täiendavalt kindlaks määrata konkreetsed tingimused, mille kohaselt võib töödelda riiklikku isikukoodi või muud üldkasutatavat tunnust. Sellisel juhul kasutatakse riiklikku isikukoodi või muud üldkasutatavat tunnust üksnes vastavalt asjakohastele kaitsemeetmetele, mis on sätestatud andmesubjekti õiguste ja vabaduste tagamiseks käesoleva määruse kohaselt.

Artikkel 89

Kaitsemeetmed ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil

1. Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

2. Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

3. Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18, 19, 20 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4. Kui lõigetes 2 ja 3 osutatud töötlemist kasutatakse samal ajal muudel eesmärkidel, võib tehtavaid erandeid kohaldada üksnes nendes lõigetes osutatud eesmärgil tehtavale töötlemisele.

Artikkel 91

Kirikute ja usuühenduste suhtes kehtivad andmekaitsenormid

1. Kui käesoleva määruse jõustumise ajal kohaldavad liikmesriigi kirikud ja usuühendused või -kogukonnad põhjalikke eeskirju, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, võib nende eeskirjade kohaldamist jätkata tingimusel, et need viiakse kooskõlla käesoleva määrusega.

2. Kirikuid ja usuühendusi, kes kohaldavad põhjalikke eeskirju kooskõlas käesoleva artikli lõikega 1, kontrollib sõltumatu järelevalveasutus, mis võib olla üks kindel asutus, kui ta vastab käesoleva määruse VI peatükis sätestatud tingimustele.

X PEATÜKK

Delegeeritud õigusaktid ja rakendusaktid

Artikkel 93

Komiteemenetlus

1. Komisjoni abistab komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.

2. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

3. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.

XI PEATÜKK

Lõppsätted

Artikkel 94

Direktiivi 95/46/EÜ kehtetuks tunnistamine

1. Direktiiv 95/46/EÜ tunnistatakse kehtetuks alates 25. maist 2018.

2. Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi 95/46/EÜ artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.

Artikkel 95

Seos direktiiviga 2002/58/EÜ

Käesoleva määrusega ei panda füüsilistele ega juriidilistele isikutele lisakohustusi isikuandmete töötlemise suhtes, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega üldkasutatavates sidevõrkudes liidus ja mis on seotud küsimustega, mille puhul kehtivad nende suhtes direktiivis 2002/58/EÜ sätestatud erikohustused, millel on sama eesmärk.

Artikkel 97

Komisjoni aruanded

1. Komisjon esitab Euroopa Parlamendile ja nõukogule hiljemalt 25. maiks 2020 ning seejärel iga nelja aasta järel aruande käesoleva määruse hindamise ja läbivaatamise kohta. Aruanded avalikustatakse.

2. Lõikes 1 osutatud hindamiste ja läbivaatamiste raames kontrollib komisjon eelkõige järgmise kohaldamist ja toimimist:

a)	isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist käsitlev V peatükk, eelkõige seoses käesoleva määruse artikli 45 lõike 3 kohaselt vastu võetud otsustega ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsustega;

b)	koostööd ja järjepidevust käsitlev VII peatükk.

3. Lõike1 kohaldamisel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt.

4. Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste organite ja allikate seisukohti ja tähelepanekuid.

5. Komisjon esitab vajaduse korral asjakohased ettepanekud käesoleva määruse muutmiseks, eelkõige võttes arvesse infotehnoloogia ja infoühiskonna arengut.

Artikkel 99

Jõustumine ja kohaldamine

1. Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2. Seda kohaldatakse alates 25. maist 2018.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 27. aprill 2016

Euroopa Parlamendi nimel

president

M. SCHULZ

Nõukogu nimel

eesistuja

J.A. HENNIS-PLASSCHAERT

(1) ELT C 229, 31.7.2012, lk 90.

(2) ELT C 391, 18.12.2012, lk 127.

(3) Euroopa Parlamendi 12. märtsi 2014. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. aprilli 2016. aasta esimese lugemise seisukoht (Euroopa Liidu Teatajas seni avaldamata). Euroopa Parlamendi 14. aprilli 2016. aasta seisukoht.

(4) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).

(5) Komisjoni 6. mai 2003. aasta soovitus mikro-, väikeste ja keskmiste suurusega ettevõtjate määratluse kohta (C(2003)1422) (ELT L 124, 20.5.2003, lk 36).

(6) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(7) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680 füüsiliste isikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (vt käesoleva Euroopa Liidu Teataja lk 89).

(8) Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiiv 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (EÜT L 178, 17.7.2000, lk 1).

(9) Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).

(10) Nõukogu 5. aprilli 1993. aasta direktiiv 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT L 95, 21.4.1993, lk 29).

(11) Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määrus (EÜ) nr 1338/2008 rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta (ELT L 354, 31.12.2008, lk 70).

(12) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(13) Euroopa Parlamendi ja nõukogu 12. detsembri 2012. aasta määrus (EL) nr 1215/2012 kohtualluvuse ning kohtuotsuste tunnustamise ja täitmise kohta tsiviil- ja kaubandusasjades (ELT L 351, 20.12.2012, lk 1).

(14) Euroopa Parlamendi ja nõukogu 17. novembri 2003. aasta direktiiv 2003/98/EÜ avaliku sektori valduses oleva teabe taaskasutamise kohta (ELT L 345, 31.12.2003, lk 90).

(15) Euroopa Parlamendi ja nõukogu 16. aprilli 2014. aasta määrus (EL) nr 536/2014, milles käsitletakse inimtervishoius kasutatavate ravimite kliinilisi uuringuid ja millega tunnistatakse kehtetuks direktiiv 2001/20/EÜ (ELT L 158, 27.5.2014, lk 1).

(16) Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta määrus (EÜ) nr 223/2009 Euroopa statistika kohta ning Euroopa Parlamendi ja nõukogu määruse (EÜ, Euratom) nr 1101/2008 (konfidentsiaalsete statistiliste andmete Euroopa Ühenduste Statistikaametile edastamise kohta), nõukogu määruse (EÜ) nr 322/97 (ühenduse statistika kohta) ja nõukogu otsuse 89/382/EMÜ, Euratom (millega luuakse Euroopa ühenduste statistikaprogrammi komitee) kehtetuks tunnistamise kohta (ELT L 87, 31.3.2009, lk 164).

(17) ELT C 192, 30.6.2012, lk 7.

(18) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(19) Euroopa Parlamendi ja nõukogu 9. septembri 2015. aasta direktiiv (EL) 2015/1535, millega nähakse ette tehnilistest eeskirjadest ning infoühiskonna teenuste eeskirjadest teatamise kord (ELT L 241, 17.9.2015, lk 1).

(20) Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 765/2008, millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30).

(21) Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43).

whereas

(2) Füüsiliste isikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks nende kodakondsusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele.
Käesoleva määruse eesmärk on aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu saavutamisele, majanduslikule ja sotsiaalsele arengule, riikide majanduse tugevdamisele ja lähendamisele siseturul ning füüsiliste isikute heaolule.

- = -

(4) Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele.
Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.

- = -

(8) Kui käesolevas määruses on ette nähtud eeskirjade täpsustamine või piiramine liikmesriigi õigusega, võivad liikmesriigid sidususe seisukohast vajalikul määral ja liikmesriigi õiguse sätete arusaadavaks muutmiseks isikutele, kelle suhtes neid kohaldatakse, integreerida määruse elemente oma õigusesse.

- = -

(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel.
Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus.
Seoses isikuandmete töötlemisega juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks peaks liikmesriikidel olema lubatud säilitada või kehtestada õigusnormid käesoleva määruse eeskirjade kohaldamise täpsustamiseks.
Koostoimes andmekaitset käsitlevate üldiste ja horisontaalsete õigusaktidega, millega rakendatakse direktiivi 95/46/EÜ, on liikmesriikidel mitmeid sektoripõhiseid õigusakte valdkondades, mis vajavad spetsiifilisemaid sätted.
Samuti nähakse käesoleva määrusega liikmesriikidele ette manööverdamisruum oma eeskirjade, sealhulgas isikuandmete eriliikide töötlemise eeskirjade täpsustamiseks.
Sellega seoses ei välista käesolev määrus sellist liikmesriigi õigust, millega määratletakse konkreetsete töötlemisjuhtude asjaolud, sealhulgas määratakse täpsemalt kindlaks tingimused, mille alusel isikuandmete töötlemine on seaduslik.

- = -

(13) Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö.
Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel.
Et võtta arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erilist olukorda, on käesolevas määruses ette nähtud erand andmete kogumisele kuni 250 töötajaga ettevõtete poolt.
Lisaks kutsutakse liidu institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse kohaldamisel arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.
Mikro-, väikeste ja keskmise suurusega ettevõtjate määratlus peaks tuginema komisjoni soovituse 2003/361/EÜ (5) lisa artiklile 2.

- = -

(14) Käesoleva määrusega pakutav kaitset peaks rakendama füüsilistele isikutele nende isikuandmete töötlemisel, olenemata nende kodakondsusest või elukohast. Ükski isik ei peaks nõudma käesoleva määrusega ette nähtud kaitset seoses selliste andmete töötlemisega, mis puudutavad juriidilisi isikuid, eelkõige juriidiliste isikutena asutatud ettevõtjaid, sealhulgas juriidilise isiku nime ja vormi ning kontaktandmeid.

- = -

(15) Selleks et vältida normide täitmisest kõrvalehoidumise märkimisväärset ohtu, peaks füüsiliste isikute kaitse olema tehnoloogiliselt neutraalne ega tohiks sõltuda kasutatud meetoditest.
Kui isikuandmed sisalduvad andmete kogumis või kui nad hiljem kantakse andmete kogumisse, peaks füüsilisi isikuid kaitsma nii isikuandmete automatiseeritud kui ka automatiseerimata töötlemise puhul.
Käesoleva määruse kohaldamisalasse ei peaks kuuluma sellised toimikud või toimikute kogumid, mis ei ole teatavate kriteeriumide kohaselt korrastatud, ega nende esilehed.

- = -

(16) Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitse küsimusi ega andmete vaba liikumist, mis on seotud väljapoole liidu õiguse kohaldamisala jääva tegevusega, näiteks riigi julgeolekut puudutava tegevusega, ega isikuandmete töötlemist liikmesriikide poolt liidu ühise välis- ja julgeolekupoliitikaga seonduva tegevuse läbiviimisel.

- = -

(17) Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 (6) kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt.
määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemise suhtes kohaldatavaid liidu õigusakte tuleks kohandada vastavalt käesoleva määrusega kehtestatud põhimõtetele ja normidele ning kohaldada käesolevast määrusest lähtuvalt.
Tugeva ja ühtse andmekaitseraamistiku loomiseks liidus tuleks pärast käesoleva määruse vastuvõtmist teha määruses (EÜ) nr 45/2001 vajalikud muudatused, et võimaldada käesoleva määrusega samaaegset kohaldamist.

- = -

(18) Käesolevat määrust ei tuleks kohaldada isikuandmete töötlemise suhtes, mida füüsiline isik teostab eranditult isiklikel või kodustel eesmärkidel ja seega väljaspool ametialast või äritegevust.
Isiklik ja kodune tegevus võiks hõlmata kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis, mida tehakse sellise isikliku või koduse tegevuse raames.
Käesolevat määrust tuleks aga kohaldada vastutavate töötlejate või volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid.

- = -

(19) Füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil ning selliste andmete vaba liikumist käsitletakse eraldiseisvas liidu tasandi õigusaktis.
Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate isikuandmete töötlemise toimingute suhtes.
Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse kõnealustel eesmärkidel, tuleks aga reguleerida konkreetsema liidu tasandi õigusaktiga Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 (7).
Liikmesriigid võivad anda pädevatele asutustele direktiivi (EL) 2016/680 tähenduses muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, käesoleva määruse kohaldamisalasse.

- = -

(20) Kui käesolevat määrust kohaldatakse muu hulgas kohtute ja muude õigusasutuste tegevuse suhtes, võiks liidu või liikmesriigi õiguses täpsustada isikuandmete töötlemise toimingud ja -menetlused, mis on seotud isikuandmete töötlemisega kohtute ja muude õigusasutuste poolt.
Kohtusüsteemi sõltumatuse kaitsmiseks kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsusetegemisel, ei peaks järelevalveasutuste pädevus hõlmama isikuandmete töötlemist juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni.
Selliste andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi.

- = -

(21) Käesolevat määrust kohaldatakse, ilma et see piiraks Euroopa Parlamendi ja nõukogu direktiivi 2000/31/EÜ (8), eelkõige selle artiklites 12–15 sätestatud vahendusteenuste osutajate vastutust käsitlevate eeskirjade kohaldamist.
Nimetatud direktiiviga püütakse kaasa aidata siseturu nõuetekohasele toimimisele, tagades infoühiskonna teenuste vaba liikumise liikmesriikide vahel.

- = -

(22) Liidus paikneva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tuleks töödelda isikuandmeid vastavalt käesolevale määrusele, sõltumata sellest, kas töödeldakse liidus või mitte.
Tegevuskoht eeldab tegelikku ja tulemuslikku tegutsemist ning püsivat korda.
Sellise korra õiguslik vorm (kas filiaali või juriidilisest isikust tütarettevõtja kaudu) ei ole selles osas määrav.

- = -

(23) Selle tagamiseks, et füüsilise isikud ei jää ilma kaitsest, millele neil on õigus käesoleva määruse alusel, tuleks käesolevat määrust kohaldada väljaspool liitu asuva vastutava töötleja või volitatud töötleja poolt liidus olevate andmesubjektide isikuandmete töötlemise suhtes, kui isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega kõnealustele andmesubjektidele, sõltumata sellest, kas see on seotud maksega või mitte.
Selleks et määrata kindlaks, kas selline vastutav töötleja või volitatud töötleja pakub liidus olevatele andmesubjektidele kaupu või teenuseid, tuleks kontrollida, kas on ilmne, et vastutav töötleja kavatseb pakkuda teenuseid ühe või mitme liidu liikmesriigi andmesubjektidele.
Kuna üksnes juurdepääs vastutava või volitatud töötleja või vahendaja veebisaidile liidus, e-posti aadressile või muudele kontaktandmetele või vastutava töötleja asukohariigiks olevas kolmandas riigis üldiselt kasutatava keele kasutus ei ole piisav sellise kavatsuse kindlaks tegemiseks, võivad sellised tegurid nagu ühes või mitmes liikmesriigis üldiselt kasutatava keele või vääringu kasutus ning võimalus tellida kaupu ja teenuseid selles teises keeles ja/või liidus olevate klientide või kasutajate nimetamine muuta ilmseks asjaolu, et vastutav töötleja kavatseb pakkuda liidus sellistele andmesubjektidele kaupu või teenuseid.

- = -

(24) Käesolevat määrust tuleks kohaldada ka liidu territooriumil olevate andmesubjektide isikuandmete töötlemisele mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui see on seotud selliste andmesubjektide käitumise jälgimisega niivõrd, kuivõrd see käitumine toimub liidus.
Selleks et teha kindlaks, kas isikuandmete töötlemise toimingut võib pidada andmesubjekti käitumise jälgimiseks, tuleks selgitada välja, kas füüsilist isikut jälgitakse internetis, sealhulgas selliste andmetöötlusmeetodite võimaliku kasutamisega, mis hõlmavad füüsilise isiku profiilianalüüsi eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid.

- = -

(25) Kui liikmesriigi õigust kohaldatakse rahvusvahelise avaliku õiguse alusel, tuleks käesolevat määrust kohaldada ka väljaspool liitu asuva vastutava töötleja, näiteks liikmesriigi diplomaatilise või konsulaaresinduse suhtes.

- = -

(26) Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes.
Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta.
Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine.
Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogilisi arenguid.
Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada.
Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

- = -

(27) Käesolevat määrust ei kohaldata surnuid puudutavate isikuandmete suhtes.
Liikmesriikidel peaks olema võimalik ette näha surnuid puudutavate isikuandmete töötlemise eeskirjad.

- = -

(28) Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud välistama mis tahes muid andmekaitsemeetmeid.

- = -

(29) Selleks et luua stiimuleid pseudonümiseerimise kasutamiseks isikuandmete töötlemisel, peaks samal vastutaval töötlejal olema võimalik kasutada pseudonümiseerimismeetmeid, mis võimaldavad samal ajal üldist analüüsi, kui vastutav töötleja on võtnud tehnilised ja korralduslikud meetmed, mis on vajalikud, et tagada asjaomase andmetöötluse tegemisel käesoleva määruse rakendamine, ning sellise täiendava teabe, mis võimaldab isikuandmeid seostada konkreetse andmesubjektiga, eraldi hoidmise.
Andmeid töötlev vastutav töötleja peaks tähendama sama vastutava töötleja volitatud isikuid.

- = -

(36) Vastutava töötleja peamine tegevuskoht liidus peaks olema tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja mujal liidus asuvas tegevuskohas.
Sellisel juhul tuleks nimetatud muud tegevuskohta pidada peamiseks tegevuskohaks.
Vastutava töötleja peamine tegevuskoht liidus tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama püsiva korra alusel läbi viidavat tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärki ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel.
See kriteerium ei tohiks sõltuda sellest, kas isikuandmeid töödeldakse kõnealuses kohas.
Isikuandmete töötlemise või isikuandmete töötlemise toimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseenesest ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid.
Volitatud töötleja peamine tegevuskoht peaks olema tema juhatuse asukoht liidus või, kui tal ei ole liidus juhatuse asukohta, see koht, kus sooritatakse peamised isikuandmete töötlemise toimingud liidus.
Juhul kui kaasatud on nii vastutav töötleja kui ka volitatud töötleja, peaks pädevaks juhtivaks järelevalveasutuseks jääma selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja peamine tegevuskoht, kuid volitatud töötleja järelevalveasutust tuleks käsitada asjaomase järelevalveasutusena ja nimetatud järelevalveasutus peaks osalema käesolevas määruses sätestatud koostöömenetluses.
Kui otsuse eelnõu puudutab ainult vastutavat töötlejat, ei tuleks selle liikmesriigi või nende liikmesriikide järelevalveasutusi, kus asub volitatud töötleja üks või mitu tegevuskohta, käsitada ühelgi juhul asjaomaste järelevalveasutustena.
Kui andmeid töötleb kontsern, siis tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamist tegevuskohta, välja arvatud juhul, kui töötlemise eesmärgi ja vahendid määrab kindlaks teine ettevõtja.

- = -

(40) Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda asjaomase andmesubjekti nõusolekul või muul õiguslikul alusel, mis on sätestatud õigusaktis, kas käesolevas määruses või käesolevas määruses osutatud muus liidu või liikmesriigi õigusaktis, sealhulgas siis, kui vastutav töötleja peab täitma talle kehtivaid juriidilisi kohustusi või kui tuleb täita lepingut, mille osaline andmesubjekt on, või selleks, et võtta andmesubjekti taotlusel enne lepingu sõlmimist meetmeid.

- = -

(41) Kui käesolevas määruses osutatakse õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist.
Selline õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine peaks olema eeldatav isikute jaoks, kelle suhtes seda kohaldatakse vastavalt Euroopa Liidu Kohtu („Euroopa Kohus“) ja Euroopa Inimõiguste Kohtu praktikale.

- = -

(45) Kui töödeldakse vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemise alus olema sätestatud liidu või liikmesriigi õigusaktis.
Käesolevas määruses ei nõuta iga üksiku isikuandmete töötlemise toimingu reguleerimiseks eraldi õigusakti.
Piisata võib õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks.
Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis.
Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks.
See, kas avaliku huvi või avaliku võimu teostamisega seotud ülesannet täitev vastutav töötleja peaks olema avaliku sektori asutus või muu avalik-õiguslik või eraõiguslik füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata liidu õiguses või kui see on avalikust huvist lähtuvalt põhjendatud, sealhulgas tervishoiuga seotud eesmärkidel, nagu rahvatervis ja sotsiaalkaitse ning tervishoiuteenuste juhtimine, siis liikmesriigi õiguses.

- = -

(51) Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada.
Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu.
Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud üksnes biomeetriliste andmete määratlusega, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida.
Selliseid isikuandmeid ei tohiks töödelda, välja arvatud käesolevas määruses sätestatud konkreetsetel juhtudel, kui töötlemine on lubatud, võttes arvesse seda, et liikmesriikide õiguses võib kehtestada konkreetseid andmekaitse-eeskirju, et kohandada käesoleva määruse eeskirjade kohaldamist juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.
Lisaks sellise töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid eeskirju, eelkõige seoses seadusliku töötlemise tingimustega.
Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

- = -

(53) Tugevamat kaitset väärivate isikuandmete eriliike tuleks töödelda üksnes tervisega seotud eesmärkidel, kui need eesmärgid on vaja saavutada füüsiliste isikute ja kogu ühiskonna hüvanguks, eelkõige tervishoiu- või sotsiaalhoolekandeteenuste ja -süsteemide juhtimise kontekstis, sealhulgas selliste andmete töötlemisel juhtkonna ja kesksete riiklike terviseasutuste poolt sellistel eesmärkidel nagu kvaliteedikontroll, juhtimisteave ning tervishoiu- või sotsiaalhoolekandesüsteemi üldine riiklik ja kohalik järelevalve ning tervishoiu või sotsiaalhoolekande järjepidevuse ja piiriülese tervishoiu või terviseturbe tagamine, seire ja hoiatamise eesmärkidel või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil liidu või liikmesriigi õiguse alusel, mis peab vastama avalikule huvile, ning rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringute jaoks.
Seetõttu tuleks käesolevas määruses ette näha ühtsed tervisealaste isikuandmete eriliikide töötlemise tingimused konkreetsete vajaduste osas, eelkõige juhul, kui selliseid andmeid töötlevad teatavatel tervishoiuga seotud eesmärkidel isikud, kellel on juriidiline kohustus hoida ametisaladust.
Liidu või liikmesriigi õiguses tuleks ette näha konkreetsed ja sobivad meetmed, et kaitsta füüsiliste isikute põhiõigusi ja isikuandmeid.
Liikmesriikidel peaks olema lubatud säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega.
See ei tohiks aga takistada isikuandmete vaba liikumist liidus, kui neid tingimusi kohaldatakse selliste andmete piiriülese töötlemise suhtes.

- = -

(54) Isikuandmete eriliike võib olla vaja töödelda avalikes huvides rahvatervisega seotud valdkondades ilma andmesubjekti nõusolekuta.
Sellisel töötlemisel tuleks kohaldada sobivaid ja konkreetseid meetmeid, et kaitsta füüsiliste isikute õigusi ja vabadusi.
Selles kontekstis tuleks mõistet „rahvatervis“ tõlgendada vastavalt Euroopa Parlamendi ja nõukogu määrusele (EÜ) nr 1338/2008 (11), mille kohaselt rahvatervis on kõik tervisega seotud asjaolud, nimelt tervislik seisund, sealhulgas haigestumus ja puuded, tervislikku seisundit mõjutavad tegurid, tervishoiualased vajadused, tervishoiule eraldatud vahendid, tervishoiuteenuse osutamine ja selle üldine kättesaadavus, samuti kulutused tervishoiule ja selle rahastamine ning suremuse põhjused.
Sellise terviseandmete avalikes huvides töötlemise tulemusel ei tohiks isikuandmeid muudel eesmärkidel töödelda kolmandad isikud, näiteks tööandjad või kindlustus- ja pangandusettevõtjad.

- = -

(57) Juhul kui vastutav töötleja töötleb selliseid isikuandmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima andmesubjekti tuvastamiseks täiendavat teavet ainult käesoleva määruse sätete järgimiseks.
Vastutav töötleja ei tohiks aga keelduda sellise täiendava teabe vastuvõtmisest, mida andmesubjekt esitab oma õiguste kasutamise toetamiseks.
Tuvastamine peaks hõlmama andmesubjekti digitaalset tuvastamist, näiteks sellise autentimise mehhanismi abil nagu samad volitused, mida andmesubjekt kasutab vastutava töötleja pakutavasse sidusteenusesse sisselogimiseks.

- = -

(59) Tuleks ette näha kord, millega lihtsustatakse käesoleva määrusega andmesubjektile antud õiguste kasutamist, sealhulgas mehhanismid, mille abil taotleda ja vajaduse korral hankida tasuta eelkõige juurdepääsu õigusele nõuda isikuandmete parandamist või kustutamist ning kasutada õigust esitada vastuväiteid.
Vastutav töötleja peaks samuti kättesaadavaks tegema vahendid, millega taotluse saab esitada elektrooniliselt, eriti kui isikuandmeid töödeldakse elektrooniliste vahenditega.
Vastutav töötleja peaks olema kohustatud vastama andmesubjekti taotlustele põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul ning kui vastutav töötleja ei kavatse andmesubjekti taotlust rahuldada, siis seda põhjendama.

- = -

(65) Andmesubjektil peaks olema õigus nõuda teda käsitlevate isikuandmete parandamist ja „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu või liikmesriigi õigust.
Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui isikuandmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on töötlemisele antud nõusoleku tagasi võtnud või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele.
Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada.
Andmesubjektil peaks olema võimalik seda õigust kasutada, vaatamata sellele, et ta ei ole enam laps.
isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks, juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, rahvatervise valdkonna avalikes huvides, avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

- = -

(68) Selleks et veelgi tugevdada kontrolli oma andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada neid teisele vastutavale töötlejale.
Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust.
See õigus peaks olema kasutatav juhul, kui andmesubjekt esitas isikuandmed omaenda nõusoleku alusel või kui töötlemine on vajalik lepingu täitmiseks.
See nõue ei peaks olema kohaldatav, kui töötlemine põhineb muul õiguslikul alusel kui nõusolek või leping.
Seda õigust ei tohiks selle laadi tõttu kasutada vastutavate töötlejate suhtes, kes töötlevad isikuandmeid oma avalike kohustuste täitmisel.
Seda ei tuleks seega kohaldada eelkõige siis, kui isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu kasutamiseks.
Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme.
Kui teatud isikuandmed puudutavad enam kui üht andmesubjekti, ei tohiks isikuandmete saamise õigus piirata teiste andmesubjektide käesoleva määruse kohaseid õigusi ja vabadusi.
Lisaks ei tohiks see õigus piirata andmesubjekti käesoleva määruse kohast õigust nõuda oma isikuandmete kustutamist ja selle õiguse piiranguid ning ei tohiks eelkõige tähendada andmesubjekti poolt lepingu täitmiseks esitatud teda käsitlevate isikuandmete kustutamist sel määral ja nii kaua, kui isikuandmed on vajalikud selle lepingu täitmiseks.
Kui see on tehniliselt teostatav, peaks andmesubjektil olema õigus sellele, et isikuandmed edastatakse otse ühelt vastutavalt töötlejalt teisele.

- = -

(72) Profiilianalüüsi suhtes kohaldatakse käesolevas määruses sätestatud isikuandmete töötlemist reguleerivaid eeskirju, näiteks töötlemise õiguslikke aluseid või andmekaitse põhimõtteid.
Käesoleva määrusega loodud Euroopa Andmekaitsenõukogul („andmekaitsenõukogu“) peaks olema võimalik andma sellekohaseid suuniseid.

- = -

(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest.
Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust.
Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(78) Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete täitmine.
Selleks et olla võimeline tõendama käesoleva määruse täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis vastavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele.
Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest, isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest, vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid.
Selliste rakenduste, teenuste ja toodete väljatöötamisel, kavandamisel, valimisel ja kasutamisel, mis põhinevad isikuandmete töötlemisel või mille käigus töödeldakse isikuandmeid nende ülesannete täitmiseks, tuleks nende toodete, teenuste ja rakenduste tootjaid innustada võtma selliste toodete, teenuste ja rakenduste väljatöötamisel ja kavandamisel arvesse õigust andmekaitsele ning tagama asjakohaselt teaduse ja tehnoloogia viimast arengut arvestades, et vastutavad töötlejad ja volitatud töötlejad saaksid täita oma andmekaitsealaseid kohustusi.
Riigihangete kontekstis tuleks samuti võtta arvesse lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid.

- = -

(79) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava kontrolli ja nende võetavate meetmetega eeldab käesolevas määruses sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

- = -

(80) Kui väljaspool liitu asuv vastutav töötleja või volitatud töötleja töötleb liidus olevate andmesubjektide isikuandmeid ja tema isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele liidus, olenemata sellest, kas andmesubjekt peab nende eest maksma, või selliste andmesubjektide käitumise jälgimisega, kui see käitumine toimub liidus, peaks vastutav töötleja või volitatud töötleja nimetama esindaja, välja arvatud juhul, kui ta töödeldakse juhtumipõhiselt, ei hõlma isikuandmete eriliikide suures ulatuses töötlemist või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist ning selle tulemusel ei ohustata tõenäoliselt füüsiliste isikute õigusi ja vabadusi, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või kui vastutav töötleja on avaliku sektori asutus või organ.
Esindaja peaks tegutsema vastutava töötleja või volitatud töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused.
Esindaja peaks olema vastutava töötleja või volitatud töötleja kirjaliku volitusega selgesõnaliselt määratud tegutsema vastutava töötleja või volitatud töötleja nimel seoses kohustustega, mida nad peavad käesoleva määruse kohaselt täitma.
Sellise esindaja määramine ei mõjuta vastutava töötleja või volitatud töötleja käesoleva määruse kohaseid kohustusi.
Selline esindaja peaks täitma oma ülesandeid vastavalt vastutavalt töötlejalt või volitatud töötlejalt saadud volitustele, sealhulgas tegema pädevate järelevalveasutustega koostööd igasugustes meetmetes, mis võetakse käesoleva määruse täitmise tagamiseks.
Määratud esindaja suhtes tuleks kohaldada täitemenetlust, kui vastutav töötleja ega volitatud töötleja ei täida käesoleva määruse sätteid.

- = -

(81) Kui vastutava töötleja nimel töötleb andmeid volitatud töötleja, peaks vastutav töötleja kasutama käesoleva määruse nõuete täitmise tagamiseks isikuandmete töötlemise toimingute usaldamisel volitatud töötlejale ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele.
Seda, et volitatud töötleja järgib heakskiidetud toimimisjuhendit või heakskiidetud sertifitseerimismehhanismi, võib kasutada elemendina, mis tõendab vastutava töötleja kohustuste täitmist.
Volitatud töötleja peaks andmeid töötlema volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärgid, isikuandmete liik ja andmesubjektide kategooriad ning peaks arvesse võtma volitatud töötleja konkreetseid ülesandeid ja kohustusi seoses teostatava töötlemisega ning ohtu andmesubjekti õigustele ja vabadustele.
Vastutav töötleja ja volitatud töötleja võivad teha otsuse kasutada individuaalset lepingut või lepingu tüüptingimusi, mille on vastu võtnud kas otseselt komisjon või järelevalveasutus kooskõlas järjepidevuse mehhanismiga ja seejärel komisjon.
Pärast vastutava töötleja nimel töötlemise lõpetamist peaks volitatud töötleja isikuandmed vastutava töötleja valikul kas tagastama või kustutama, välja arvatud juhul, kui volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õiguse kohaselt tuleb isikuandmeid säilitada.

- = -

(82) Käesoleva määruse täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja säilitama andmeid tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta.
Vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema need salvestatud andmed taotluse korral järelevalveasutusele kättesaadavaks, et neid saaks kasutada nimetatud isikuandmete töötlemise toimingute kontrollimiseks.

- = -

(83) Turvalisuse tagamiseks ja käesolevat määrust rikkudes sooritatava töötlemise vältimiseks peaks vastutav töötleja või volitatud töötleja hindama töötlemisega seotud ohtusid ja rakendama asjaomaste ohtude leevendamiseks meetmeid, näiteks krüpteerimist.
Võttes arvesse teaduse ja tehnoloogia viimast arengut ja meetmete rakenduskulusid, tuleks kõnealuste meetmetega tagada vajalik turvalisuse tase, sealhulgas konfidentsiaalsus, mis vastaks ohtudele ja kaitstavate isikuandmete laadile.
Andmeturbeohtu hinnates tuleks kaaluda isikuandmete töötlemisest tulenevaid ohte, nagu edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine ja loata avalikustamine või neile juurdepääs, mille tagajärjel võib eelkõige tekkida füüsiline, materiaalne või mittemateriaalne kahju.

- = -

(84) Käesoleva määruse järgimise parandamiseks juhtudel, kus isikuandmete töötlemise toimingud kujutavad endast füüsiliste isikute õigustele ja vabadustele tõenäoliselt suurt ohtu, peaks vastutav töötleja vastutama andmekaitsealase mõjuhinnangu tegemise eest, et hinnata eelkõige selle ohu päritolu, laadi, eripära ja tõsidust.
Hinnangu tulemust tuleks arvestada asjakohaste meetmete kindlaksmääramisel, mis tuleb võtta selle tõendamiseks, et isikuandmete töötlemine on käesoleva määrusega kooskõlas.
Kui andmekaitsealane mõjuhinnang näitab, et isikuandmete töötlemise toimingutega kaasneb suur oht, mida vastutav töötleja ei saa leevendada kättesaadava tehnoloogia ja rakendamise maksumuse osas asjakohaste meetmetega, tuleks enne töötlemist konsulteerida järelevalveasutusega.

- = -

(87) Tuleks kontrollida, kas kõiki asjakohaseid tehnilisi kaitsemeetmeid ja korralduslikke meetmeid on rakendatud, et teha viivitamata kindlaks, kas isikuandmetega seotud rikkumine on toimunud, ning teavitada sellest kohe järelevalveasutust ning andmesubjekti.
Asjaolu, et teavitamine toimus põhjendamatu viivituseta, tuleks kindlaks teha, arvestades eelkõige isikuandmetega seotud rikkumise laadi, tõsidust ja tagajärgi ning kahjulikku mõju andmesubjektile.
Sellise teavitamise järel võib asjasse sekkuda järelevalveasutus, kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega.

- = -

(90) Sellistel juhtudel peaks vastutav töötleja suure ohu konkreetse tõenäosuse ja tõsiduse hindamiseks, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke ning ohu tõsidust, koostama enne töötlemist andmekaitsealase mõjuhinnangu.
Nimetatud mõjuhinnang peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme selle ohu leevendamiseks ja isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

- = -

(94) Kui andmekaitsealane mõjuhinnang näitab, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole võimalik kättesaadava tehnoloogia ja rakendamiskulude seisukohast mõistlike meetmetega leevendada, tuleks enne isikuandmete töötlemise toimingute alustamist konsulteerida järelevalveasutusega.
Selline suur oht tekib tõenäoliselt isikuandmete teatud liiki töötluse ning töötlemisulatuse ja -sageduse tulemusena, mille tagajärjel võib tekkida ka kahju füüsilise isiku õigustele ja vabadustele või sekkumine nendesse.
Järelevalveasutus peaks vastama konsulteerimistaotlusele konkreetse ajavahemiku jooksul.
Järelevalveasutuse reaktsiooni puudumine selle ajavahemiku jooksul ei tohiks aga mõjutada järelevalveasutuse sekkumist kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega, sealhulgas õigust keelata isikuandmete töötlemise toiminguid.
Kõnealuse konsulteerimisprotsessi osana võib asjaomase töötlemise suhtes tehtud andmekaitsealase mõjuhinnangu tulemuse esitada järelevalveasutusele, eelkõige seoses meetmetega, mis on ette nähtud füüsiliste isikute õigusi ja vabadusi ähvardavate ohtude leevendamiseks.

- = -

(96) Samuti tuleks järelevalveasutusega konsulteerida siis, kui valmistatakse ette õiguslikku või reguleerivat meedet, milles nähakse ette isikuandmete töötlemine, et tagada kavandatava töötlemise kooskõla käesoleva määrusega ning eelkõige leevendada andmesubjekti ähvardavat ohtu.

- = -

(97) Kui töötlemist teostab avaliku sektori asutus, välja arvatud kohtud või sõltumatud õigusasutused, kui nad teevad menetlusotsuseid, töötlejaks on erasektoris vastutava töötleja, kelle põhitegevus hõlmab isikuandmete töötlemise toiminguid, mis eeldavad ulatuslikku regulaarset ja süstemaatilist järelevalvet andmesubjektide üle, või kui vastutava töötleja või volitatud töötleja põhitegevus hõlmab isikuandmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist, peaks vastutavat töötlejat või volitatud töötlejat abistama andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes kontrollib käesoleva määruse täitmist asutuse või töötleja poolt.
Erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena.
Erialaste teadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt teostatavatele andmetöötlustoimingutele ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele.
Sellistel andmekaitseametnikel, sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil.

- = -

(98) Vastutavate töötlejate ja volitatud töötlejate eri kategooriaid esindavaid ühendusi ja muid asutusi tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse teatavates sektorites toimuva töötlemise eriomadusi ning mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.
Eelkõige võiks selliste toimimisjuhenditega kindlaks määrata vastutavate töötlejate ja volitatud töötlejate kohustused, võttes arvesse isikuandmete töötlemisest tõenäoliselt tekkivat ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(100) Selleks et parandada läbipaistvust ja käesoleva määruse järgimist, tuleks soodustada sertifitseerimismehhanismide, andmekaitsepitserite ja -märgiste kehtestamist, mis annavad andmesubjektidele võimaluse kiiresti hinnata asjakohaste toodete ja teenuste andmekaitse taset.

- = -

(101) Isikuandmete piiriülene liikumine liitu mitte kuuluvatesse riikidesse ja rahvusvahelistele organisatsioonidele ning nendest riikidest ja organisatsioonidest liitu on vajalik rahvusvahelise kaubanduse ja koostöö laiendamiseks.
Selliste andmevoogude suurenemine on laiendanud isikuandmete kaitsega seonduvate väljakutsete ja probleemide ringi.
Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taset, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis.
Igal juhul tohib andmeid kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastada ainult käesolevat määrust täielikult järgides.
Andmeid tohiks edastada ainult siis, kui vastutav töötleja ja volitatud töötleja täidavad käesolevas määruses sätestatud tingimusi isikuandmete edastamise kohta, arvestades muid käesoleva määruse sätteid.

- = -

(102) Käesolev määrus ei piira liidu ja kolmandate riikide vahel sõlmitud selliste rahvusvaheliste lepingute kohaldamist, millega reguleeritakse isikuandmete edastamist, sealhulgas asjakohaseid andmesubjektide kaitsmise meetmeid.
Liikmesriigid võivad sõlmida rahvusvahelisi lepinguid, mis hõlmavad isikuandmete edastamist kolmandatele riikidele või rahvusvahelistele organisatsioonidele, kui kõnealused lepingud ei mõjuta käesolevat määrust ega mis tahes muid liidu õiguse sätteid ning nendes nähakse ette andmesubjektide põhiõiguste piisaval tasemel kaitse.

- = -

(106) Komisjon peaks teostama järelevalvet otsuste toimimise üle, milles käsitletakse kaitse taset kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis, ning direktiivi 95/46/EÜ artikli 25 lõike 6 või artikli 26 lõike 4 alusel vastu võetud otsuste toimimise üle.
Komisjon peaks oma kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi.
Nimetatud korrapärast läbivaatamist tuleks teostada asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning võtta tuleks arvesse kõiki asjaomaseid arenguid kolmandas riigis või rahvusvahelises organisatsioonis.
Järelevalve ja korrapäraste läbivaatamiste teostamisel peaks komisjon võtma arvesse Euroopa Parlamendi ja nõukogu ning samuti teiste asjakohaste asutuste ja allikate arvamusi ja järeldusi.
Komisjon peaks mõistliku aja jooksul hindama viimati nimetatud otsuste toimimist ja esitama kõigi asjakohaste järelduste kohta aruande Euroopa Parlamendi ja nõukogu määruse (EL) nr 182/2011 (12) kohasele komiteele, mis on asutatud käesoleva määruse alusel, samuti Euroopa Parlamendile ja nõukogule.

- = -

(107) Komisjon võib tunnistada, et kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis ei tagata enam piisaval tasemel andmekaitset.
Sellest tulenevalt tuleks isikuandmete edastamine kõnealusele kolmandale riigile või rahvusvahelisele organisatsioonile keelata, välja arvatud juhul, kui täidetakse käesoleva määruse nõudeid, mis on seotud edastamisega asjaomaste kaitsemeetmete abil, sealhulgas siduvad kontsernisisesed eeskirjad ja erandid konkreetsetes olukordades.
Sellisel juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise organisatsiooni konsultatsioonid.
Komisjon peaks kolmandat riiki või rahvusvahelist organisatsiooni õigeaegselt põhjustest teavitama ja alustama nendega konsultatsioone, et olukorda parandada.

- = -

(115) Mõned kolmandad riigid võtavad vastu seadused, määrused ja muud õigusaktid, millega vahetult reguleeritakse liikmesriikide kohtualluvusse kuuluvate füüsiliste ja juriidiliste isikute töötlustoiminguid.
Need võivad hõlmata kolmanda riigi kohtu või haldusasutuse otsuseid, millega nõutakse vastutavalt töötlejalt või volitatud töötlejalt isikuandmete edastamist või avaldamist ning mis ei põhine rahvusvahelisel lepingul, näiteks kolmanda riigi ja liidu või liikmesriigi vahel kehtiva vastastikuse õigusabi lepingul.
Nende seaduste, määruste ja muude õigusaktide kohaldamine väljaspool asjaomase kolmanda riigi territooriumi võib olla vastuolus rahvusvahelise õigusega ning takistada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taseme saavutamist.
Andmete edastamine peaks olema lubatud ainult juhul, kui on täidetud käesoleva määruse tingimused kolmandatesse riikidesse edastamise kohta.
Nii võib see olla muu hulgas siis, kui avaldamine on vajalik kaaluka avaliku huvi tõttu, mis on sätestatud kas liidu või liikmesriigi õiguses, mida vastutava töötleja suhtes kohaldatakse.

- = -

(116) Isikuandmete liikumine üle piiride liidust välja võib raskendada füüsiliste isikute võimalusi kasutada õigust andmete kaitsele, eelkõige kaitsta end sellise teabe ebaseadusliku kasutamise ja avaldamise eest.
Samal ajal võib järelevalveasutus sattuda olukorda, milles ta leiab, et ei suuda käsitleda kaebusi ega teostada uurimist väljapoole oma riigi piire jäävates küsimustes.
Nende piiriülese koostöö püüdlusi võivad takistada ka tõkestamiseks ja kaitsemeetmete kehtestamiseks ebapiisavad volitused, ebaühtlane õiguskord ja praktilised tõkked, nagu piiratud vahendid.
Seepärast on vaja tihendada andmekaitse järelevalveasutuste koostööd, et aidata neil vahetada teavet ja teostada uurimist teiste riikide järelevalveasutustega.
Rahvusvaheliste koostöömehhanismide väljatöötamiseks, et hõlbustada ja pakkuda rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, peaksid komisjon ja järelevalveasutused vahetama teavet ja tegema oma volituste täitmisega seotud tegevuses koostööd kolmandate riikide pädevate asutustega vastastikkuse alusel ja kooskõlas käesoleva määrusega.

- = -

(122) Järelevalveasutus peaks olema oma liikmesriigi territooriumil pädev täitma talle käesoleva määrusega antud volitusi ja ülesandeid.
Eelkõige peaks see hõlmama töötlemist, mis leiab aset vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tema liikmesriigi territooriumil, isikuandmete töötlemist, mida teostavad avaliku sektori või eraõiguslikud asutused avalikes huvides, töötlemist, mis mõjutab andmesubjekte tema liikmesriigi territooriumil, või töötlemist, mida teostab vastutav töötleja või volitatud töötleja, kelle tegevuskoht ei asu liidus, kuid sihtandmesubjektide elukoht on tema territooriumil.
See peaks hõlmama andmesubjektide esitatud kaebuste menetlemist, käesoleva määruse kohaldamist käsitlevate uurimiste läbiviimist ning avalikkuse teadlikkuse tõstmist isikuandmete töötlemisega seotud ohtudest, eeskirjadest, tagatistest ja õigustest.

- = -

(123) Järelevalveasutused peaksid jälgima käesoleva määruse sätete kohaldamist ja aitama kaasa selle ühtsele kohaldamisele kogu liidus, et kaitsta füüsilisi isikuid nende isikuandmete töötlemisel ning soodustada isikuandmete vaba liikumist siseturul.
Selleks peaksid järelevalveasutused tegema koostööd üksteise ja komisjoniga, ilma et liikmesriikide vahel oleks vaja sõlmida vastastikuse abi andmise või koostöö tegemise lepingut.

- = -

(124) Kui isikuandmeid töödeldakse toimub vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames liidus ning vastutaval töötlejal või volitatud töötlejal on tegevuskoht enamas kui ühes liikmesriigis või kui liidus asuva vastutava töötleja või volitatud töötleja ainsa tegevuskoha tegevuse raames toimuv töötlemine mõjutab oluliselt või võib oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis, peaks juhtiva asutuse rolli täitma vastutava töötleja või volitatud töötleja peamise tegevuskoha järelevalveasutus või vastutava töötleja või volitatud töötleja ainsa tegevuskoha järelevalveasutus.
See asutus peaks tegema koostööd muude asjaomaste asutustega, kuna vastutava töötleja või volitatud töötleja tegevuskoht asub nende liikmesriigi territooriumil, kuna see mõjutab oluliselt nende territooriumil elavaid andmesubjekte või kuna neile on esitatud kaebus.
Juhul kui kõnealuses liikmesriigis mitte elav andmesubjekt on esitanud kaebuse, peaks järelevalveasutus, kellele selline kaebus esitati, olema samuti asjaomane järelevalveasutus.
Seoses oma ülesannetega anda suuniseid kõikides käesoleva määruse kohaldamist puudutavates küsimustes, peaks andmekaitsenõukogul olema võimalik välja anda suuniseid eelkõige kriteeriumide kohta, mida tuleb arvesse võtta, et teha kindlaks, kas kõnealusel töötlemisel on andmesubjektidele oluline mõju rohkem kui ühes liikmesriigis, ning mida saab pidada asjakohaseks ja põhjendatud vastuväiteks.

- = -

(125) Juhtiv asutus peaks olema pädev võtma vastu siduvaid otsuseid meetmete kohta, millega kohaldatakse talle käesoleva määrusega antud volitusi.
Juhtiva asutuse ülesannete täitmisel peaks järelevalveasutus kaasama asjaomased järelevalveasutused tihedalt otsustamisprotsessi ja koordineerima nende tegevust selles.
Kui tuleb võtta vastu otsus andmesubjekti kaebus täielikult või osaliselt tagasi lükata, peaks selle otsuse vastu võtma järelevalveasutus, kellele see kaebus esitati.

- = -

(126) Otsuses peaksid ühiselt kokku leppima juhtiv järelevalveasutus ja asjaomased järelevalveasutused ning see peaks olema suunatud vastutava töötleja ja volitatud töötleja peamisele või ainsale tegevuskohale ning olema vastutava töötleja ja volitatud töötleja jaoks siduv.
Vastutav töötleja või volitatud töötleja peaksid võtma vajalikud meetmed, et tagada käesoleva määruse järgimine ning juhtiva järelevalveasutuse poolt vastutava töötleja ja volitatud töötleja peamisele tegevuskohale teatavaks tehtud liidu töötlemistegevust käsitleva otsuse rakendamine.

- = -

(128) Juhtivat järelevalveasutust ja ühtset kontaktpunkti mehhanismi käsitlevaid eeskirju ei peaks kohaldama juhul, kui töötlejateks on avaliku sektori või eraõiguslikud asutused avalikes huvides.
Sellistel juhtudel peaks ainsaks järelevalveasutuseks, kes on pädev kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud, olema selle liikmesriigi järelevalveasutus, kus kõnealune avaliku sektori asutus või eraõiguslik asutus asub.

- = -

(129) Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja tõhusad volitused, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning ilma et see piiraks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ja volitused osaleda kohtumenetlustes.
Need volitused peaksid hõlmama ka õigust kehtestada ajutine või alaline töötlemispiirang, sealhulgas töötlemiskeeld.
Liikmesriigid võivad kindlaks määrata muud käesoleva määruse kohased isikuandmete kaitsega seotud ülesanded.
Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriikide õiguses sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul.
Eelkõige peaks meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid; austama isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele.
Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi menetlusõiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue.
Järelevalveasutuse õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitanud järelevalveasutus ja meetme esitamise kuupäev ning järelevalveasutuse juhi või tema poolt volitatud liikme allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile.
See ei tohiks välistada liikmesriigi menetlusnormidest tulenevaid täiendavaid nõudeid.
Selliste õiguslikult siduvate otsuste vastuvõtmine viitab võimalusele, et see võib otsuse vastu võtnud järelevalveasutuse liikmesriigis tuua kaasa kohtuliku kontrolli.

- = -

(130) Kui järelevalveasutus, kellele kaebus esitati, ei ole juhtiv järelevalveasutus, peaks juhtiv järelevalveasutus tegema tihedat koostööd kaebuse saanud järelevalveasutusega kooskõlas käesoleva määruse koostööd ja järjepidevust käsitlevate sätetega.
Sellistel juhtudel peaks juhtiv järelevalveasutus tegema õiguslike tagajärgede tekitamise eesmärgiga meetmeid võttes (sealhulgas trahve määrates) kõik, et võtta arvesse selle järelevalveasutuse seisukohta, kellele kaebus esitati ja kellele peaks jääma pädevus viia koostöös juhtiva järelevalveasutusega läbi uurimist oma liikmesriigi territooriumil.

- = -

(131) Kui vastutava töötleja või volitatud töötleja töötlemistegevuse suhtes peaks juhtiva järelevalveasutusena tegutsema mõni muu järelevalveasutus, kuid kaebuse või võimaliku rikkumise sisu puudutab vastutava töötleja või volitatud töötleja töötlemistegevust ainult selles liikmesriigis, kus kaebus esitati või võimalik rikkumine tuvastati, ja see ei mõjuta oluliselt või tõenäoliselt ei mõjuta oluliselt andmesubjekte teistes liikmesriikides, siis peaks järelevalveasutus, kellele kaebus esitati või kes tuvastas olukorra või sai muul viisil teada olukorrast, mis võib tuua kaasa käesoleva määruse rikkumise, püüdma saavutada volitatud töötlejaga kokkuleppe ning kui see ei õnnestu, kasutama kõiki oma volitusi.
See peaks hõlmama konkreetset töötlemist, mis toimub järelevalveasutuse liikmesriigi territooriumil või seoses selle liikmesriigi territooriumil asuvate andmesubjektidega; töötlemist, mis toimub seoses järelevalveasutuse liikmesriigi territooriumil asuvatele andmesubjektidele spetsiaalselt suunatud kaupade või teenuste pakkumisega; või töötlemist, mida peab hindama liikmesriigi õiguse kohaseid juriidilisi kohustusi arvestades.

- = -

(133) Järelevalveasutused peaksid abistama üksteist ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva määruse järjekindel kohaldamine ja täitmine siseturul.
Vastastikust abi taotlev järelevalveasutus võib võtta vastu ajutise meetme, kui ta ei ole saanud vastastikuse abi taotlusele vastust kuu aja jooksul pärast seda kui teine järelevalveautus on taotluse kätte saanud.

- = -

(135) Selleks et tagada käesoleva määruse ühtne kohaldamine kogu liidus, tuleks kehtestada järelevalveasutuste vaheliseks koostööks järjepidevuse mehhanism.
Nimetatud mehhanismi tuleks eelkõige kohaldada juhul, kui järelevalveasutus kavatseb vastu võtta meetme, mille eesmärk on tekitada õiguslikke tagajärgi seoses isikuandmete töötlemise toimingutega, mis mõjutavad oluliselt märkimisväärset arvu andmesubjekte mitmes liikmesriigis.
Mehhanismi tuleks kohaldada ka siis, kui mis tahes asjaomane järelevalveasutus või komisjon taotleb sellise küsimuse käsitlemist järjepidevuse mehhanismi raames.
Nimetatud mehhanism ei tohiks piirata ühtegi meedet, mis komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel.

- = -

(136) Järjepidevuse mehhanismi kohaldamise korral peaks andmekaitsenõukogu esitama kindlaksmääratud ajavahemiku jooksul oma arvamuse, kui nii otsustatakse liikmete häälteenamusega või kui seda taotleb mis tahes asjaomane järelevalveasutus või komisjon.
Andmekaitsenõukogul peaks olema samuti volitused võtta vastu õiguslikult siduvaid otsuseid järelevalveasutuste vaheliste vaidluste puhul.
Sel eesmärgil peaks ta põhimõtteliselt välja andma õiguslikult siduvaid otsuseid, millel on kahe kolmandiku tema liikmete toetus, selgelt kindlaks määratud juhtudel, kui järelevalveasutustel esineb lahkarvamusi, eelkõige juhtiva järelevalveasutuse ja asjaomaste järelevalveasutuste vahelise koostöökorra raames seoses juhtumi sisuga, nimelt küsimuses, kas käesolevat määrust on rikutud.

- = -

(139) Käesoleva määruse ühtse kohaldamise huvides tuleks luua andmekaitsenõukogu sõltumatu liidu ametina.
Oma eesmärkide täitmiseks peaks andmekaitsenõukogul olema juriidilise isiku staatus.
Andmekaitsenõukogu peaks esindama selle eesistuja.
Andmekaitsenõukogu peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma füüsiliste isikute kaitseks seoses isikuandmete töötlemisega.
Sinna peaksid kuuluma liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor või nende vastavad esindajad.
Komisjon peaks osalema andmekaitsenõukogu tegevuses ilma hääleõiguseta ja Euroopa andmekaitseinspektoril peaks olema kindlaksmääratud hääleõigus.
Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamisele kogu liidus, sealhulgas nõustades komisjoni, eelkõige seoses kolmandate riikide või rahvusvaheliste organisatsioonide isikuandmete kaitse tasemega, ning edendades järelevalveasutuste koostööd kogu liidus.
Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult.

- = -

(140) Andmekaitsenõukogu peaks abistama sekretariaat, kelle töö tagab Euroopa Andmekaitseinspektor.
Andmekaitseinspektori töötajad, kes on seotud andmekaitsenõukogule käesoleva määrusega antud ülesannete täitmisega, peaksid oma ülesannete täitmisel järgima ainult andmekaitsenõukogu eesistuja juhiseid ja talle alluma.

- = -

(141) Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks.
Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida.
Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul.
Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile.
Järelevalveasutus peaks võtma meetmed kaebuste esitamise lihtsustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, ilma muude sidevahendite kasutamist välistamata.

- = -

(142) Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel järelevalveasutusele kaebust või kasutama andmesubjektide nimel õigust õiguskaitsevahendile või kasutama andmesubjektide nimel õigust saada hüvitist, kui hüvitis on asjaomase liikmesriigi õiguses ette nähtud.
Liikmesriigid võivad sätestada, et sellisel asutusel, organisatsioonil või ühingul oleks õigus esitada andmesubjekti poolsest volitamisest sõltumata sellises liikmesriigis kaebus ja tal peaks olema õigus tõhusale õiguskaitsevahendile, kui tal on põhjust arvata, et andmesubjekti õigusi on rikutud isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.
Sellisele asutusele, organisatsioonile või ühingule ei või anda õigust nõuda andmesubjekti nimel hüvitist, kui andmesubjekt ei ole selleks volitust andnud.

- = -

(146) Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas.
Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav.
Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke.
See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid.
Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju.
Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.
Kui vastutavad töötlejad või volitatud töötlejad on seotud sama töötlemisega, tuleks vastutav töötleja või volitatud töötleja võtta vastutusele kogu kahju eest.
Ent kui nad on kooskõlas liikmesriigi õigusega ühendatud sama kohtumenetlusega, võib hüvitamise jagada vastavalt vastutava töötleja või volitatud töötleja vastutusele töötlemisel tekitatud kahju eest, tingimusel et tagatud on andmesubjekti kantud kahju täielik ja tõhus hüvitamine.
Vastutav töötleja või volitatud töötleja, kes on maksnud täieliku hüvitise, võib hiljem algatada regressihagi teiste sama töötlemisega seotud vastutavate töötlejate või volitatud töötlejate vastu.

- = -

(147) Kui käesolevas määruses sisalduvad konkreetsed kohtualluvuse eeskirjad, eelkõige seoses menetlustega, kus vastutava töötleja või volitatud töötleja suhtes kasutatakse hüvitisega õiguskaitsevahendit, ei peaks üldise kohtualluvuse eeskirjad, nagu Euroopa Parlamendi ja nõukogu määruses (EL) nr 1215/2012 (13) sisalduvad eeskirjad, mõjutama selliste konkreetsete eeskirjade kohaldamist.

- = -

(148) Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve lisaks käesoleva määruse kohaselt järelevalveasutuse poolt kehtestatud asjakohastele meetmetele või nende asemel.
Väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, võib trahvi asemel teha noomituse.
Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele.
Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetlust.

- = -

(149) Liikmesriikidel peaks olema võimalik kehtestada käesoleva määruse, sealhulgas käesoleva määruse kohaselt ja piires vastu võetud liikmesriigi õigusnormide, rikkumise eest kohaldatavaid kriminaalkaristusi käsitlevaid eeskirju.
Need kriminaalkaristused võivad hõlmata käesoleva määruse rikkumisega saadud kasu äravõtmist.
Kriminaalkaristuste määramine selliste liikmesriigi normide rikkumise eest ja väärteokaristuste määramine ei tohiks aga rikkuda ne bis in idem põhimõtet, nagu seda on tõlgendanud kohus.

- = -

(150) Selleks et tugevdada ja ühtlustada väärteokaristusi käesoleva määruse rikkumise korral, peaksid igal järelevalveasutusel olema volitused määrata trahve.
Käesolevas määruses tuleks loetleda rikkumised, sätestada asjaomaste trahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev järelevalveasutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks.
Kui trahv on määratud ettevõtjale, tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 toodud määratlusest.
Kui trahvid määratakse isikule, kes ei ole ettevõtja, peaks järelevalveasutus sobiva trahvisumma määramisel arvesse võtma üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku olukorda.
Trahvide ühesuguse kohaldamise parandamiseks võib kasutada ka järjepidevuse mehhanismi.
See, kas ja kui palju tuleks avaliku sektori asutustele määrata trahve, peaks olema liikmesriikide otsustada.
Trahvi määramine või hoiatuse tegemine ei mõjuta järelevalveasutuse muude volituste rakendamist ega muude määruse kohaste karistuste määramist.

- = -

(151) Taani ja Eesti õigussüsteem ei võimalda määrata trahve käesolevas määruses sätestatu kohaselt.
Trahve käsitlevaid eeskirju saab kohaldada selliselt, et Taanis määrab trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames, tingimusel et eeskirjade sellisel kohaldamisel nimetatud liikmesriikides on samaväärne toime nagu järelevalveasutuste määratud trahvidel.
Sellepärast peaksid pädevad riiklikud kohtud võtma arvesse trahvi algatava järelevalveasutuse soovitust.
Igal juhul peaksid määratavad trahvid olema tõhusad, proportsionaalsed ja heidutavad.

- = -

(152) Kui käesolevas määruses ei ühtlustata väärteokaristusi või vajaduse korral muudel juhtudel, näiteks määruse tõsise rikkumise puhul, peaksid liikmesriigid rakendama süsteemi, mis näeb ette tõhusad, proportsionaalsed ja heidutavad karistused.
Selliste karistuste laad, kriminaal- või väärteokaristus, tuleks kindlaks määrata liikmesriigi õigusega.

- = -

(153) Liikmesriikide õiguses tuleks omavahel viia vastavusse eeskirjad, mis reguleerivad sõna- ja teabevabadust, sealhulgas ajakirjanduslikku, akadeemilist, kunstilist või kirjanduslikku eneseväljendust, ja käesoleva määruse kohane õigus isikuandmete kaitsele.
Juhul kui isikuandmeid töödeldakse üksnes ajakirjanduslikul eesmärgil või akadeemilise, kunstilise või kirjandusliku eneseväljenduse eesmärgil, tuleks vajaduse korral kohaldada erandeid või vabastusi käesoleva määruse teatavatest sätetest, et viia omavahel vastavusse isikuandmete kaitse õigus ning sõna- ja teabevabadus, mis on sätestatud harta artikliga 11.
Seda tuleks kohaldada eelkõige audiovisuaalvaldkonnas isikuandmete töötlemise suhtes ning uudiste arhiivide ja perioodikaraamatukogude puhul.
Seepärast peaksid liikmesriigid vastu võtma seadusandlikud meetmed, millega kehtestatakse vabastused ja erandid, mis on vajalikud nimetatud põhiõiguste tasakaalustamiseks.
Liikmesriigid peaksid sellised vabastused ja erandid vastu võtma üldpõhimõtete, andmesubjekti õiguste, vastutava töötleja ja volitatud töötleja, isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamise, sõltumatute järelevalveasutuste, koostöö ja ühtsuse ning andmete töötlemise eriolukordade kohta.
Kui sellised vabastused või erandid on liikmesriigiti erinevad, tuleks kohaldada selle liikmesriigi õigust, mida kohaldatakse vastutava töötleja suhtes.
Selleks et võtta arvesse sõnavabadusõiguse tähtsust igas demokraatlikus ühiskonnas, tuleb tõlgendada selle vabadusega seonduvaid kontseptsioone, näiteks ajakirjandust, laialt.

- = -

(154) Käesoleva määruse kohaldamisel on võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet. Üldsuse juurdepääsu ametlikele dokumentidele võib käsitleda avaliku huvina.
Avaliku sektori asutuse või organi valduses olevates dokumentides sisalduvaid isikuandmeid peaks sel asutusel olema võimalik avalikustada siis, kui avalikustamine on ette nähtud liidu õiguses või selle liikmesriigi õiguses, kellele kõnealune avaliku sektori asutus või organ allub.
Selliste õigusaktidega tuleks üldsuse juurdepääs ametlikele dokumentidele ja avaliku sektori valduses oleva teabe taaskasutamine viia vastavusse õigusega isikuandmete kaitsele ning nendega võib seega näha ette vajaliku vastavusseviimise õigusega isikuandmete kaitsele vastavalt käesolevale määrusele.
Viide avaliku sektori asutustele ja organitele peaks selles kontekstis hõlmama kõiki asutusi või muid organeid, mida reguleeritakse dokumentidele üldsuse juurdepääsu käsitleva liikmesriigi õigusega.
Euroopa Parlamendi ja nõukogu direktiiv 2003/98/EÜ (14) ei kahjusta ega mõjuta füüsiliste isikute kaitse taset isikuandmete töötlemisel, nagu see on ette nähtud liidu ja liikmesriigi õigusega, ning eelkõige ei muuda see käesolevas määruses sätestatud kohustusi ja õigusi.
Eelkõige ei tohiks kõnealust direktiivi kohaldada selliste dokumentide suhtes, millele juurdepääs on välistatud või piiratud juurdepääsukorraga isikuandmete kaitse tõttu, ning dokumentide osade suhtes, mis on selle korra alusel juurdepääsetavad ning sisaldavad isikuandmeid, mille taaskasutamine on seaduses sätestatud sellise õigusakti rikkumisena, millega reguleeritakse füüsiliste isikute kaitset isikuandmete töötlemisel.

- = -

(156) Avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes tuleks kohaldada kooskõlas käesoleva määrusega asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks.
Nende kaitsemeetmetega tuleks tagada tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine.
Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil peab toimuma siis, kui vastutav töötleja on hinnanud nende eesmärkide täitmise teostatavust, töödeldes isikuandmeid, mis ei võimalda või enam ei võimalda andmesubjekte tuvastada, tingimusel et olemas on asjakohased kaitsemeetmed (näiteks isikuandmete pseudonümiseerimine).
Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmete töötlemisele, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.
Liikmesriikidel peaks olema õigus määrata konkreetsetel tingimustel ja andmesubjektidele mõeldud asjakohaste kaitsemeetmete olemasolul spetsifikatsioonid ja erandid seoses teabenõuetega, õigusega andmeid parandada ja kustutada, õigusega olla unustatud, andmete töötlemise piiranguga ja andmete ülekandmise õigusega ning õigusega esitada vastuväiteid isikuandmete töötlemisel, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.
Kõnealused tingimused ja kaitsemeetmed võivad sisaldada andmesubjektidele mõeldud konkreetseid menetlusi nende õiguste kasutamiseks, kui see on asjakohane konkreetse töötlemise eesmärkide alusel, ning tehnilisi ja korralduslikke meetmeid, mille eesmärk on vähendada miinimumini isikuandmete töötlemist kooskõlas proportsionaalsuse ja vajalikkuse põhimõttega.
Isikuandmete töötlemine teadusuuringute eesmärgil peaks samuti olema kooskõlas muude asjakohaste õigusaktidega, näiteks kliinilisi uuringuid käsitlevate õigusaktidega.

- = -

(158) Kui isikuandmeid töödeldakse arhiveerimise eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes, pidades silmas, et käesolevat määrust ei tuleks kohaldada surnuid puudutavate isikuandmete suhtes.
Avaliku sektori asutustel või avalik-õiguslikel või eraõiguslikel organitel, kellel on avalikku huvi pakkuvad andmed, peaksid olema teenistused, kellel on kooskõlas liidu või liikmesriigi õigusega juriidiline kohustus omandada, säilitada, hinnata, korraldada, kirjeldada, edendada ja levitada üldist avalikku huvi pakkuvaid püsiva väärtusega andmeid ning anda nende kohta teavet ja tagada neile juurdepääs.
Liikmesriikidel peaks samuti olema lubatud ette näha isikuandmete täiendavat täiendavat töötlemist arhiveerimise eesmärgil näiteks selleks, et anda konkreetset teavet seoses endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevuse, genotsiidi, inimsusevastaste kuritegude, eelkõige holokausti, või sõjakuritegudega.

- = -

(159) Kui isikuandmeid töödeldakse teadusuuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes.
Käesoleva määruse tähenduses tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada laialt nii, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid.
Lisaks tuleks seejuures arvesse võtta ELi toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum.
Teadusuuringute eesmärk peaks hõlmama ka rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringuid.
Teadusuuringute eesmärgil isikuandmete töötlemise eripära arvessevõtmiseks tuleks kohaldada eritingimusi eelkõige seoses isikuandmete avaldamise või muul viisil avalikustamisega teadusuuringute eesmärgi kontekstis.
Kui teadusuuringute tulemus eelkõige tervishoiu kontekstis loob aluse täiendavateks meetmeteks andmesubjekti huvides, tuleks nende meetmete suhtes kohaldada käesoleva määruse üldiseid eeskirju.

- = -

(160) Kui isikuandmeid töödeldakse ajaloouuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes.
See peaks hõlmama ka ajaloouuringuid ja genealoogilisi uuringuid, pidades silmas, et käesolevat määrust ei tuleks kohaldada surnute suhtes.

- = -

(161) Kliinilisi uuringuid hõlmavates teadusuuringutes osalemiseks nõusoleku küsimiseks tuleks kohaldada Euroopa Parlamendi ja nõukogu määruse (EL) nr 536/2014 (15) asjakohaseid sätteid.

- = -

(162) Kui isikuandmeid töödeldakse statistilisel eesmärgil, tuleks käesolevat määrust kohaldada sellise töötlemise suhtes.
Liidu või liikmesriigi õiguses tuleks käesoleva määruse piires määrata kindlaks statistiline sisu, juurdepääsukontroll, statistilisel eesmärgil andmete töötlemise spetsifikatsioonid ja asjakohased meetmed, et kaitsta andmesubjekti õigusi ja vabadusi ning tagada statistika konfidentsiaalsus.
Statistiline eesmärk tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud statistikauuringute või statistika koostamise jaoks.
Koostatud statistikat võib edasi kasutada muudel eesmärkidel, sealhulgas teadusuuringute eesmärgil.
Statistiline eesmärk eeldab, et statistilisel eesmärgil toimuva töötlemise tulemus ei ole isikuandmed, vaid koondandmed, ning et seda tulemust või isikuandmeid ei kasutata ühtegi konkreetset füüsilist isikut puudutavate meetmete või otsuste toetamiseks.

- = -

(163) Konfidentsiaalne teave, mida liidu ja riiklikud statistikaasutused koguvad Euroopa ja riikliku ametliku statistika koostamiseks, peaks olema kaitstud.
Euroopa statistikat tuleks arendada, koostada ja levitada kooskõlas statistikaalaste põhimõtetega, mis on sätestatud ELi toimimise lepingu artikli 338 lõikes 2, samas kui riiklik statistika peaks olema kooskõlas ka liikmesriigi õigusega.
Euroopa statistika statistiliste andmete konfidentsiaalsust on täiendavalt täpsustatud Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 223/2009 (16).

- = -

(164) Seoses järelevalveasutuste volitustega saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs isikuandmetele ning ruumidele, võivad liikmesriigid õigusaktiga ja käesoleva määruse piires vastu võtta konkreetseid eeskirju, et kaitsta ameti- või muu samaväärse saladuse hoidmise kohustusi niivõrd, kuivõrd see on vajalik isikuandmete kaitse õiguse ühildamiseks ametisaladuse hoidmise kohustusega.
See ei piira liikmesriikide olemasolevaid kohustusi võtta vastu eeskirju ametisaladuse hoidmise kohta, kui see on nõutav liidu õigusega.

- = -

(165) Käesoleva määrusega austatakse ega piirata staatust, mis kehtivate riigiõiguslike normide kohaselt on liikmesriikides kirikutel ja usuühendustel või -kogukondadel, nagu on sätestatud ELi toimimise lepingu artiklis 17.

- = -

(166) Selleks et täita käesoleva määruse eesmärke, täpsemalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ja tagada liidus isikuandmete vaba liikumine, tuleks komisjonile anda ELi toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte.
Eelkõige tuleks võtta vastu delegeeritud õigusaktid sertifitseerimismehhanismide kriteeriumide ja nõuete, standardsete ikoonide kujul esitatava teabe ning selliste ikoonide esitamise korra kohta.
On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil.
Komisjon peaks delegeeritud õigusaktide ettevalmistamise ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning asjakohase edastamise Euroopa Parlamendile ja nõukogule.

- = -

(167) Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks komisjonile anda käesolevas määruses sätestatud rakendusvolitused.
Kõnealuseid volitusi tuleks kasutada vastavalt määrusele (EL) nr 182/2011.
Seejuures peaks komisjon kaaluma konkreetsete meetmete kehtestamist mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks.

- = -

(170) Kuna käesoleva määruse eesmärki, nimelt tagada kogu liidus füüsiliste isikute kaitse võrdväärne tase ja isikuandmete vaba liikumine, ei suuda liikmesriigid piisavalt saavutada, küll aga saab seda selle ulatuse ja toime tõttu on paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu (ELi leping) artiklis 5 sätestatud subsidiaarsuse põhimõttega.
Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

- = -

(171) Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks.
Käesoleva määruse kohaldamise alguskuupäeval juba teostatav töötlemine tuleks viia käesoleva määrusega kooskõlla kahe aasta jooksul pärast käesoleva määruse jõustumist.
Kui töödeldakse direktiivi 95/46/EÜ kohase nõusoleku alusel, ei ole, juhul kui nõusolek on antud kooskõlas käesoleva määruste tingimustega, andmesubjektil vaja oma nõusolekut uuesti anda selleks, et vastutav töötleja saaks jätkata sellist töötlemist pärast käesoleva määruse kohaldamise alguskuupäeva.
Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load jäävad kehtima nende muutmise, asendamise või kehtetuks tunnistamiseni.

- = -

(172) Euroopa Andmekaitseinspektoriga konsulteeriti vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2 ning ta esitas oma arvamuse 7.
märtsil 2012.
aastal (17).

- = -

(173) Käesolevat määrust tuleks kohaldada kõigil isikuandmete töötlemise valdkonna põhiõiguste ja -vabaduste kaitsmisega seotud juhtudel, mille suhtes ei kohaldata sama eesmärgiga konkreetseid kohustusi, mis on sätestatud Euroopa Parlamendi ja nõukogu direktiivis 2002/58/EÜ (18), sealhulgas vastutava töötleja kohustusi ja füüsiliste isikute õigusi.
Käesoleva määruse ja direktiivi 2002/58/EÜ seose täpsustamiseks tuleks direktiivi vastavalt muuta.
Pärast käesoleva määruse vastuvõtmist tuleks direktiiv 2002/58/EÜ läbi vaadata, eelkõige selleks, et tagada kooskõla käesoleva määrusega,

- = -

dal 2004 diritto e informatica