interactive GDPR 2016/0679 ET

1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

2.   Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

3.   Käesoleva artikli lõigetes 1 ja 2 sätestatud nõuete järgimise tõendamise elemendina võib kasutada artikli 42 kohast heakskiidetud sertifitseerimismehhanismi.

1.   Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2.   Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3.   Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

a)

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)	tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)	võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)	järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)	võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)	aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)	pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)	teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4.   Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5.   Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6.   Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7.   Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8.   Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9.   Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10.   Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

1.   Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

a)	isikuandmete pseudonümiseerimine ja krüpteerimine;

b)	võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

c)	võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;

d)	tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

2.   Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

3.   Käesoleva artikli lõikes 1 osutatud nõuete järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

4.   Vastutav töötleja ja volitatud töötleja võtavad meetmeid selleks, et tagada, et vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, töötlevad isikuandmeid ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

1.   Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2.   Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3.   Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4.   Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5.   Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6.   Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7.   Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8.   Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

1.   Ilma et see piiraks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, väljastab sertifikaadi ja pikendab seda sertifitseerimisasutus, millel on andmekaitse vallas asjakohased ekspertteadmised, olles enne järelevalveasutust teavitanud, et see saaks vajaduse korral kasutada oma volitusi vastavalt artikli 58 lõike 2 punktile h. Liikmesriik kehtestab, kas need sertifitseerimisasutused akrediteerib üks või mõlemad järgmistest:

a)	artikli 55 või 56 kohaselt pädev järelevalveasutus;

b)	Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 765/2008 (20) kohaselt, kooskõlas standardiga EN-ISO/IEC 17065/2012 ning artiklite 55 või 56 kohaselt pädeva järelevalveasutuse kehtestatud täiendavate nõuete kohaselt nimetatud riiklik akrediteerimisasutus.

2.   Lõikes 1 osutatud sertifitseerimisasutusi võib kooskõlas nimetatud lõikega akrediteerida üksnes juhul, kui need on

a)	pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi sertifitseerimise sisu osas;

b)	võtnud endale kohustuse järgida artikli 42 lõikes 5 osutatud kriteeriume, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu;

c)	kehtestanud andmekaitsesertifikaatide, -pitserite ja -märgiste väljastamise, korrapärase läbivaatamise ja tagasivõtmise menetlused;

d)

kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt sertifikaadi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

e)	tõendanud pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3.   Käesoleva artikli lõigetes 1 ja 2 osutatud sertifitseerimisasutuste akrediteerimine toimub kriteeriumide alusel, mille on heaks kiitnud artikli 55 või 56 kohaselt pädev järelevalveasutus või tulenevalt artiklist 63 andmekaitsenõukogu. Kui akrediteerimine toimub käesoleva artikli lõike 1 punkti c kohaselt, täiendavad need nõuded määruses (EÜ) nr 765/2008 sätestatud nõudeid ja tehnilisi eeskirju, mis kirjeldavad sertifitseerimisasutuste kasutatavaid meetodeid ja menetlusi.

4.   Lõikes 1 osutatud sertifitseerimisasutused vastutavad sertifikaadi väljastamiseks või sellise sertifikaadi tagasivõtmiseks kasutatava asjakohase hindamise eest, ilma et see mõjutaks vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest. Akrediteering antakse maksimaalselt viieks aastaks ja selle kehtivust võib pikendada samadel tingimustel senikaua, kuni sertifitseerimisasutus vastab käesolevas artiklis sätestatud nõuetele.

5.   Lõikes 1 osutatud sertifitseerimisasutus esitab pädevale järelevalveasutusele taotletud sertifikaadi väljastamise või sertifikaadi tagasivõtmise põhjused.

6.   Järelevalveasutus avaldab kergesti kättesaadaval kujul käesoleva artikli lõikes 3 osutatud nõuded ja artikli 42 lõikes 5 osutatud kriteeriumid. Järelevalveasutus edastab need nõuded ja kriteeriumid ka andmekaitsenõukogule. Euroopa Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

7.   Ilma et see piiraks VIII peatüki kohaldamist, tühistab pädev järelevalveasutus või riiklik akrediteerimisasutus käesoleva artikli lõikes 1 osutatud sertifitseerimisasutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed rikuvad käesolevat määrust.

8.   Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks nõuded, mida tuleb arvesse võtta artikli 42 lõikes 1 osutatud andmekaitse sertifitseerimise mehhanismide puhul.

9.   Komisjon võib võtta vastu rakendusakte sertifitseerimismehhanismide ning pitserite ja -märgiste tehniliste standardite ning kasutuselevõtu edendamise ja tunnustamise mehhanismide kohta. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

1.   Artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.

2.   Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha

a)	õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

b)	siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47;

c)	komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

d)	järelevalveasutuse poolt vastu võetud ja komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

e)	artikli 40 kohase heakskiidetud toimimisjuhendiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas, või

f)	artikli 42 kohase heakskiidetud sertifitseerimismehhanismiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas.

3.   Pädeva järelevalveasutuse loal võib lõikes 1 osutatud asjakohased kaitsemeetmed sätestada ka eelkõige

a)	vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

b)	sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

4.   Käesoleva artikli lõikes 3 osutatud juhtudel kohaldab järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi.

5.   Liikmesriigi või järelevalveasutuse poolt direktiivi 95/46/EÜ artikli 26 lõike 2 alusel antud load jäävad kehtima, kuni järelevalveasutus neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab. Otsused, mille komisjon on vastu võtnud vastavalt direktiivi 95/46/EÜ artikli 26 lõikele 4, jäävad jõusse, kuni neid käesoleva artikli lõike 2 kohaselt vastu võetud komisjoni otsusega vajaduse korral muudetakse, need asendatakse või kehtetuks tunnistatakse.

1.   Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2.   Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)	rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)	kas rikkumine pandi toime tahtlikult või hooletusest;

c)	vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)	vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)	vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)	järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)	rikkumisest mõjutatud isikuandmete liigid;

h)	millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)	kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)	artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)	juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3.   Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)	sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)	järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

5.   Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)	andmesubjektide õigused artiklite 12–22 alusel;

c)	isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)	mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)	järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

6.   Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7.   Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8.   Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

9.   Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja järelevalveasutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul on määratavad trahvid tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni oma käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.