interactive GDPR 2016/0679 ET

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 ET jump to: cercato: 'peavad' . Output generated live by software developed by IusOnDemand srl

index peavad:

1 Artikkel 14 Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1 Artikkel 35 Andmekaitsealane mõjuhinnang

1 Artikkel 36 Eelnev konsulteerimine

1 Artikkel 37 Andmekaitseametniku määramine

whereas peavad:

whereas (80) 1

whereas (143) 1

definitions:

cloud tag:

and the number of total unique words without stopwords is: 609

Artikkel 14

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1. Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)	vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	asjaomaste isikuandmete liigid;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)	teave õiguse kohta esitada kaebus järelevalveasutusele;

f)	teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3. Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)	mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)	kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)	kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5. Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

a)	andmesubjektil on see teave juba olemas;

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)	isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)	isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

Artikkel 35

Andmekaitsealane mõjuhinnang

1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2. Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.

3. Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:

a)	füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)	artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)	avalike alade ulatuslik süstemaatiline jälgimine.

4. Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.

5. Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.

6. Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.

7. Mõjuhinnang peab hõlmama vähemalt järgmist:

a)	kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)	isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)	lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)	ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8. Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.

9. Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10. Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.

11. Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 36

Eelnev konsulteerimine

1. Vastutav töötleja konsulteerib enne isikuandmete töötlemist järelevalveasutusega, kui artikli 35 kohasest andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohu leevendamiseks võetavate meetmete puudumise korral suur oht.

2. Kui järelevalveasutus on seisukohal, et lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesolevat määrust, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, siis annab järelevalveasutus hiljemalt kaheksa nädala jooksul alates konsulteerimise taotluse kättesaamisest vastutavale töötlejale ja asjakohasel juhul volitatud töötlejale kirjalikult nõu ja ta võib kasutada artiklis 58 osutatud õigusi. Seda tähtaega võib pikendada kuue nädala võrra, arvestades kavandatava isikuandmete töötlemise keerukust. Järelevalveasutus teavitab pikendatud tähtaja kohaldamise korral vastutavat töötlejat ja asjakohasel juhul volitatud töötlejat kõigist sellistest pikendamistest ühe kuu jooksul alates konsulteerimise taotluse kättesaamisest, sealhulgas viivituse põhjustest. Need tähtajad võib peatada seniks, kuni järelevalveasutus on saanud kogu teabe, mida ta on küsinud seoses konsulteerimisega.

3. Järelevalveasutusega lõike 1 kohaselt konsulteerimisel esitab vastutav töötleja järelevalveasutusele järgmise teabe:

a)	kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad, eelkõige seoses töötlemisega kontsernis;

b)	kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)	ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)	kui see on asjakohane, siis andmekaitseametniku kontaktandmed;

e)	artiklis 35 sätestatud andmekaitsealane mõjuhinnang ning

f)	kogu muu järelevalveasutuse taotletud teave.

4. Liikmesriik konsulteerib järelevalveasutusega, kui koostamisel on riigi parlamendis vastu võetava õigusliku meetme ettepanek või sellisel õiguslikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.

5. Olenemata lõikest 1 võib liikmesriigi õigusega ette näha, et vastutavad töötlejad peavad konsulteerima järelevalveasutustega ja saama neilt eelneva loa, kui vastutav töötleja kavatseb töödelda isikuandmeid vastutava töötleja poolt avalikes huvides täidetava ülesande raames, mis hõlmab sellist isikuandmete töötlemist seoses sotsiaalkaitse ja rahvatervisega.

4. jagu

Andmekaitseametnik

Artikkel 37

Andmekaitseametniku määramine

1. Vastutav töötleja ja volitatud töötleja määravad andmekaitseametniku, kui

a)	isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;

b)	vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või

c)	vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

2. Kontsern võib määrata ühe andmekaitseametniku, tingimusel et andmekaitseametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest.

3. Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme sellise asutuse või organi jaoks määrata ühe andmekaitseametniku olenevalt nende organisatsioonilisest struktuurist ja suurusest.

4. Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja või volitatud töötleja või nende kategooriaid esindavad ühendused ja muud organid määrata andmekaitseametniku või nad peavad seda tegema, kui see on nõutav liidu või liikmesriigi õigusega. Andmekaitseametnik võib tegutseda selliste vastutavaid töötlejaid või volitatud töötlejaid esindavate ühenduste ja muude organite heaks.

5. Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 39 osutatud ülesandeid.

6. Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita ülesandeid teenuslepingu alusel.

7. Vastutav töötleja või volitatud töötleja avaldab andmekaitseametniku kontaktandmed ning teatab need järelevalveasutusele.

whereas

(80) Kui väljaspool liitu asuv vastutav töötleja või volitatud töötleja töötleb liidus olevate andmesubjektide isikuandmeid ja tema isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele liidus, olenemata sellest, kas andmesubjekt peab nende eest maksma, või selliste andmesubjektide käitumise jälgimisega, kui see käitumine toimub liidus, peaks vastutav töötleja või volitatud töötleja nimetama esindaja, välja arvatud juhul, kui ta töödeldakse juhtumipõhiselt, ei hõlma isikuandmete eriliikide suures ulatuses töötlemist või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist ning selle tulemusel ei ohustata tõenäoliselt füüsiliste isikute õigusi ja vabadusi, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või kui vastutav töötleja on avaliku sektori asutus või organ.
Esindaja peaks tegutsema vastutava töötleja või volitatud töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused.
Esindaja peaks olema vastutava töötleja või volitatud töötleja kirjaliku volitusega selgesõnaliselt määratud tegutsema vastutava töötleja või volitatud töötleja nimel seoses kohustustega, mida nad peavad käesoleva määruse kohaselt täitma.
Sellise esindaja määramine ei mõjuta vastutava töötleja või volitatud töötleja käesoleva määruse kohaseid kohustusi.
Selline esindaja peaks täitma oma ülesandeid vastavalt vastutavalt töötlejalt või volitatud töötlejalt saadud volitustele, sealhulgas tegema pädevate järelevalveasutustega koostööd igasugustes meetmetes, mis võetakse käesoleva määruse täitmise tagamiseks.
Määratud esindaja suhtes tuleks kohaldada täitemenetlust, kui vastutav töötleja ega volitatud töötleja ei täida käesoleva määruse sätteid.

- = -

(143) Igal füüsilisel või juriidilisel isikul on õigus esitada Euroopa Kohtule andmekaitsenõukogu otsuste tühistamiseks hagi ELi toimimise lepingu artiklis 263 sätestatud tingimustel.
Kui selliste otsuste adressaadiks olevad asjaomased järelevalveasutused soovivad esitada hagi otsuste tühistamiseks, peavad nad tegema seda kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates sellest, kui otsused neile teatavaks tehti.
Kui andmekaitsenõukogu otsused puudutavad otseselt ja isiklikult vastutavat töötlejat, volitatud töötlejat või kaebuse esitajat, võivad nad esitada hagi selliste otsuste tühistamiseks kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates asjaomaste otsuste avaldamisest andmekaitsenõukogu veebisaidil.
Ilma et see piiraks seda ELi toimimise lepingu artiklist 263 tulenevat õigust, peaks igal füüsilisel või juriidilisel isikul olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on selle isiku suhtes õiguslikud tagajärjed.
Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Õigus tõhusale õiguskaitsevahendile ei hõlma siiski järelevalveasutuste õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid.
Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi menetlusõigusega.
Nendel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

- = -

dal 2004 diritto e informatica