interactive GDPR 2016/0679 ET

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)	„isikuandmete töötlemise piiramine“ – säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)	„andmete kogum“ – isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)	„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

10)	„kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

11)	andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

12)	„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

13)

„geneetilised andmed“ – isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

14)

„biomeetrilised andmed“ – konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

15)	„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

16)

„peamine tegevuskoht“ –

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

17)	„esindaja“ – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja või volitatud töötleja on kirjalikult artikli 27 kohaselt määranud ja kes esindab vastutavat töötlejat või volitatud töötlejat seoses nende käesolevast määrusest tulenevate vastavate kohustustega;

18)	„ettevõtja“ – majandustegevusega tegelev füüsiline või juriidiline isik, olenemata selle õiguslikust vormist, sealhulgas partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

19)	„kontsern“ – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

20)

„siduvad kontsernisisesed eeskirjad“ – isikuandmete kaitse põhimõtted, millest vastutav töötleja või volitatud töötleja, kelle asukoht on liikmesriigi territooriumil, lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus või ühise majandustegevusega tegelevate ettevõtjate rühmas tegutsevale vastutavale töötajale või volitatud töötlejale;

21)	„järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

22)

„asjaomane järelevalveasutus“ – järelevalveasutus, kes on isikuandmete töötlemisega seotud, kuna

a)	vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)	asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)	kõnealusele järelevalveasutusele on esitatud kaebus;

23)

„isikuandmete piiriülene töötlemine“ –

kas

a)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

24)

„asjakohane ja põhjendatud vastuväide“ – vastuväide kavandatavale otsusele seoses sellega, kas käesolevat määrust on rikutud või kas seoses vastutava töötleja või volitatud töötlejaga kavandatud meede on määrusega kooskõlas, mis näitab selgelt, kui suurt ohtu kujutab endast kavandatav otsus seoses andmesubjektide põhiõiguste ja -vabadustega ning, kui see on asjakohane, isikuandmete vaba liikumisega liidus;

25)	„infoühiskonna teenus“ – teenus, mis vastab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (19) artikli 1 lõike 1 punktile b;

26)	„rahvusvaheline organisatsioon“ – organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või mis tahes muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.

II PEATÜKK

Põhimõtted

Artikkel 24

Vastutava töötleja vastutus

1. Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

3. Vastutava töötleja kohustuste järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

Artikkel 28

Volitatud töötleja

1. Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2. Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)	tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)	võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)	järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)	võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)	aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)	pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)	teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5. Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6. Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7. Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8. Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9. Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10. Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

Artikkel 30

Isikuandmete töötlemise toimingute registreerimine

1. Vastutav töötleja ja asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:

a)	vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)	töötlemise eesmärgid;

c)	andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;

d)	vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad ja rahvusvahelised organisatsioonid;

kui isikuandmeid edastatakse kolmandale riigile või rahvusvahelisele organisatsioonile, siis andmed selle kohta koos asjaomase kolmanda riigi või rahvusvahelise organisatsiooni nimega, ning juhul, kui tegemist on artikli 49 lõike 1 teises lõigus osutatud edastamisega, siis sobivate kaitsemeetmete kohta koostatud dokumendid;

f)	võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;

g)	võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

2. Volitatud töötleja või asjakohasel juhul volitatud töötleja esindaja peab kõigi vastutava töötleja nimel tehtavate isikuandmete isikuandmete töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:

a)	volitatud töötleja või töötlejate ja vastutava töötleja, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

b)	vastutava töötleja nimel tehtava töötlemise kategooriad;

d)	võimaluse korral artikli 32 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.

3. Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.

4. Taotluse korral teeb vastutav töötleja ja volitatud töötleja ning asjakohasel juhul vastutava töötleja või volitatud töötleja esindaja registri kättesaadavaks järelevalveasutusele.

5. Lõigetes 1 ja 2 osutatud kohustusi ei kohaldata vähem kui 250 töötajaga ettevõtjale või organisatsioonile, välja arvatud juhul, kui tema teostatav töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, töötlemine ei ole juhtumipõhine või töödeldakse artikli 9 lõikes 1 osutatud isikuandmete eriliike või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.

Artikkel 35

Andmekaitsealane mõjuhinnang

1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2. Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.

3. Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:

a)	füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)	artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)	avalike alade ulatuslik süstemaatiline jälgimine.

4. Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.

5. Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.

6. Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.

7. Mõjuhinnang peab hõlmama vähemalt järgmist:

a)	kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)	isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)	lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)	ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8. Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.

9. Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10. Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.

11. Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 38

Andmekaitseametniku ametiseisund

1. Vastutav töötleja ja volitatud töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.

2. Vastutav töötleja ja volitatud töötleja toetavad andmekaitseametnikku artiklis 39 osutatud ülesannete täitmisel, andes talle nende ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja isikuandmete töötlemise toimingutele.

3. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik ei saa nende ülesannete täitmise suhtes juhiseid. Vastutav töötleja või volitatud töötleja ei saa teda tema ülesannete täitmise eest ametist vabastada ega karistada. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

4. Andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ning nende käesolevast määrusest tulenevate õiguste kasutamisega.

5. Andmekaitseametniku suhtes kehtib tema ülesannete täitmisel vastavalt liidu või liikmesriigi õigusele saladuse hoidmise või konfidentsiaalsuse nõue.

6. Andmekaitseametnik võib täita muid ülesandeid ja kohustusi. Vastutav töötleja või volitatud töötleja tagab, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti.

Artikkel 39

Andmekaitseametniku ülesanded

1. Andmekaitseametnikul on vähemalt järgmised ülesanded:

a)	teavitada ja nõustada vastutavat töötlejat või volitatud töötlejat ning isikuandmeid töötlevaid töötajaid seoses nende kohustustega, mis tulenevad käesolevast määrusest ja muudest liidu või liikmesriikide andmekaitsenormidest;

jälgida käesoleva määruse, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja või volitatud töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduvat auditeerimist;

c)	anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida selle toimimist vastavalt artiklile 35;

d)	teha koostööd järelevalveasutusega, ning

e)	tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktisikuna, sealhulgas artiklis 36 osutatud eelneva konsulteerimise osas, ning konsulteerida vajaduse korral ka muudes küsimustes.

2. Andmekaitseametnik võtab oma ülesannete täitmisel asjakohaselt arvesse isikuandmete töötlemise toimingutega seotud ohtu, arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke.

5. jagu

Toimimisjuhendid ja sertifitseerimine

Artikkel 40

Toimimisjuhendid

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

a)	isikuandmete õiglane ja läbipaistev töötlemine;

b)	vastutava töötleja õigustatud huvid teatud kontekstis;

c)	isikuandmete kogumine;

d)	isikuandmete pseudonümiseerimine;

e)	üldsuse ja andmesubjektide teavitamine;

f)	andmesubjektide õiguste kasutamine;

g)	laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)	artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)	isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)	isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)	vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

3. Peale selle, et käesoleva artikli lõike 5 kohaselt heaks kiidetud ja käesoleva artikli lõike 9 kohaselt terves liidus kehtivaks tunnistatud toimimisjuhendeid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võivad neid järgida ka vastutavad töötlejad ja volitatud töötlejad, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, et tagada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus artikli 46 lõike 2 punktis e osutatud tingimustel asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

4. Käesoleva artikli lõike 2 kohane toimimisjuhend peab sisaldama mehhanisme, mis võimaldavad artikli 41 lõikes 1 osutatud asutusel teha kohustuslikku järelevalvet selle üle, et toimimisjuhendit täitma kohustunud vastutav töötleja või volitatud töötleja järgib seda, ilma et see piiraks artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

6. Kui toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend kiidetakse vastavalt lõikele 5 heaks ning kui asjaomane toimimisjuhend ei ole seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, registreerib ja avaldab järelevalveasutus toimimisjuhendi.

7. Kui toimimisjuhendi kavand on seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, siis esitab artikli 55 kohaselt pädev järelevalveasutus toimimisjuhendi enne selle heakskiitmist artiklis 63 osutatud menetluse kohaselt andmekaitsenõukogule, kes esitab arvamuse selle kohta, kas toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab käesoleva artikli lõikes 3 osutatud olukorras asjakohased kaitsemeetmed.

8. Kui lõikes 7 osutatud arvamuses kinnitatakse, et toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab lõikes 3 osutatud olukorras asjakohased kaitsemeetmed, siis esitab andmekaitsenõukogu oma arvamuse komisjonile.

9. Komisjon võib rakendusaktidega otsustada, et talle vastavalt käesoleva artikli lõikele 8 esitatud heakskiidetud toimimisjuhendid, muudatused ja laiendused kehtivad terves liidus. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

10. Komisjon tagab asjakohase teavituse lõike 9 kohase otsusega terves liidus kehtivaks tunnistatud heakskiidetud toimimisjuhenditest.

11. Andmekaitsenõukogu koondab kõik heakskiidetud toimimisjuhendid, muudatused ja laiendused registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 42

Sertifitseerimine

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3. Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4. Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6. Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7. Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8. Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 49

Erandid konkreetsetes olukordades

1. Artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult ühel järgmistest tingimustest:

a)	andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

b)	edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

c)	edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

d)	edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

e)	edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

f)	edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

edastamine tehakse registrist, mis liidu või liikmesriigi õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, nagu konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu või liikmesriigi õigusega ette nähtud.

Kui edastamise aluseks ei saa olla artikli 45 või 46 sätted, sealhulgas siduvaid kontsernisiseseid eeskirju käsitlevad sätted, ning kui ükski käesoleva lõike esimese lõigu kohane konkreetseks olukorraks ette nähtud erand ei ole kohaldatav, võib kolmandale riigile või rahvusvahelisele organisatsioonile andmeid edastada üksnes juhul, kui edastamine ei ole korduv, puudutab ainult piiratud arvu andmesubjekte, on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks. Vastutav töötleja teatab edastamisest järelevalveasutusele. Lisaks artiklites 13 ja 14 osutatud teabele teavitab vastutav töötleja andmesubjekte edastamisest ja vastutava töötleja poolt kaitstavatest õigustatud huvidest.

2. Lõike 1 esimese lõigu punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid ega kõiki isikuandmete liike. Kui register on ette nähtud tutvumiseks õigustatud huviga isikutele, toimub edastamine vaid nende isikute taotlusel või juhul, kui nemad on vastuvõtjad.

3. Lõike 1 esimese lõigu punkte a, b ja c ning lõike 1 teist lõiku ei kohaldata avalikku võimu teostavate riigiasutuste toimingute suhtes.

4. Lõike 1 esimese lõigu punktis d osutatud avalik huvi on tunnustatud liidu õiguses või selle liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

5. Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piirangud eri liiki isikuandmete edastamiseks kolmandale riigile või rahvusvahelisele organisatsioonile. Liikmesriigid teatavad sellistest sätetest komisjonile.

6. Vastutav töötleja või volitatud töötleja kannab artiklis 30 osutatud registrisse hindamise ja käesoleva artikli lõike 1 teises lõigus osutatud sobivad kaitsemeetmed.

Artikkel 55

Pädevus

1. Järelevalveasutus on oma liikmesriigi territooriumil pädev täitma ülesandeid ja kasutama volitusi, mis on talle kooskõlas käesoleva määrusega antud.

2. Kui töötlejad on avaliku sektori või eraõiguslikud asutused, kes tegutsevad artikli 6 lõike 1 punktide c või e alusel, on pädevaks asutuseks asjaomase liikmesriigi järelevalveasutus. Sel juhul artiklit 56 ei kohaldata.

3. Järelevalveasutused ei ole pädevad korraldama järelevalvet isikuandmete töötlemise toimingute üle, mida kohtud teevad oma õigust mõistvat funktsiooni täites.

Artikkel 57

Ülesanded

1. Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

a)	jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

b)	suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

c)	nõustab kooskõlas liikmesriigi õigusega riigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)	edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

e)	annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 80 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)	teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

h)	toimetab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

i)	jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogiate ning kaubandustavade arengut;

j)	võtab vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud lepingu tüüptingimused;

k)	koostab ja säilitab loetelu seoses artikli 35 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

l)	annab nõu artikli 36 lõikes 2 osutatud isikuandmete töötlemise toimingute osas;

m)	ergutab artikli 40 lõike 1 kohaste toimimisjuhendite koostamist, esitab oma arvamuse piisavaid tagatisi pakkuvate toimimisjuhendite kohta ja kiidab need heaks kooskõlas artikli 40 lõikega 5;

m)	ergutab artikli 42 lõike 1 kohaselt andmetekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kehtestamist ning kiidab artikli 42 lõike 5 kohaselt sertifitseerimise kriteeriumid heaks;

o)	vaatab vajaduse korral korrapäraselt läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

p)	koostab ja avaldab artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohase sertifitseerimisasutuse akrediteerimise tingimused;

q)	akrediteerib artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohaselt sertifitseerimisasutuse;

r)	kinnitab artikli 46 lõikes 3 osutatud lepinguklauslid ja -sätted;

s)	kiidab heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad;

t)	annab panuse andmekaitsenõukogu tegevusse;

u)	peab asutusesisest registrit käesoleva määruse rikkumiste ja võetud meetmete kohta, eelkõige kooskõlas artikli 58 lõikega 2 tehtud hoiatuste ja kehtestatud karistuste kohta ning

v)	täidab mis tahes muid isikuandmete kaitsega seotud ülesandeid.

2. Järelevalveasutus võtab meetmeid lõike 1 punktis b osutatud kaebuste esitamise lihtsustamiseks, näiteks koostab kaebuste esitamise vormi, mida saab täita ka elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3. Järelevalveasutus täidab oma ülesandeid andmesubjekti ja asjakohasel juhul andmekaitseametniku jaoks tasuta.

4. Kui taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama taotluse selgelt põhjendamatut või ülemäärast iseloomu.

Artikkel 60

Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö

1. Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.

2. Juhtiv järelevalveasutus võib teistelt asjaomastelt järelevalveasutustelt igal ajal nõuda artikli 61 kohase vastastikuse abi osutamist ning läbi viia artikli 62 kohaseid ühisoperatsioone, eelkõige uurimiste läbiviimiseks või teises liikmesriigis asuva vastutava töötleja või volitatud töötleja suhtes võetud meetme rakendamise järelevalveks.

3. Juhtiv järelevalveasutus edastab küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele. Ta esitab otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võtab asjakohaselt arvesse nende seisukohti.

4. Kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on käesoleva artikli lõike 3 kohaselt otsuse eelnõu osas konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks artiklis 63 osutatud järjepidevuse mehhanismi raames.

5. Kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse lõikes 4 osutatud menetlust kahe nädala jooksul.

6. Juhul kui ükski teine asjaomane järelevalveasutus ei ole juhtiva järelevalveasutuse esitatud otsuse eelnõule lõigetes 4 ja 5 osutatud tähtaja jooksul vastuväidet esitanud, loetakse, et juhtiv järelevalveasutus ja asjaomased järelevalveasutused on otsuse eelnõus kokkuleppele jõudnud ja see on nende jaoks siduv.

7. Juhtiv järelevalveasutus võtab otsuse vastu ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitab teisi asjaomaseid järelevalveasutusi ja andmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjustest. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.

8. Erandina lõikest 7, juhul kui kaebus jäetakse rahuldamata või lükatakse tagasi, võtab järelevalveasutus, kellele kaebus esitati, otsuse vastu ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat.

9. Kui juhtiv järelevalveasutus ja asjaomased järelevalveasutused nõustuvad, et osa kaebusest jäetakse rahuldamata või lükatakse tagasi ja asjaomase kaebuse teine osa võetakse menetlusse, siis võetakse vastu otsus kaebuse menetletava osa kohta. Juhtiv järelevalveasutus võtab vastu otsuse vastutavat töötlejat puudutavate menetlustega seotud osa kohta ja teeb selle teatavaks oma liikmesriigis asuva vastutava töötleja või volitatud töötleja peamisele või ainsale tegevuskohale ning teavitab sellest kaebuse esitajat, samas kui kaebuse esitaja liikmesriigi järelevalveasutus võtab vastu otsuse asjaomase kaebuse rahuldamata jäetud või tagasi lükatud osa kohta ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat või volitatud töötlejat.

10. Pärast seda, kui juhtiva järelevalveasutuse otsus on lõigete 7 ja 9 kohaselt vastutavale töötlejale või volitatud töötlejale teatavaks tehtud, võtab vastutav töötleja või volitatud töötleja vajalikud meetmed isikuandmete töötlemise toimingute osas tehtud otsuse täitmise tagamiseks kõigis liidus asuvates tegevuskohtades. Vastutav töötleja või volitatud töötleja teavitab otsuse täitmiseks võetud meetmetest juhtivat järelevalveasutust, kes teavitab teisi asjaomaseid järelevalveasutusi.

11. Kui asjaomasel järelevalveasutusel on erandlike asjaolude korral põhjust arvata, et andmesubjektide huvide kaitsmiseks tuleb tegutseda kiiresti, kohaldatakse artiklis 66 osutatud kiirmenetlust.

12. Juhtiv järelevalveasutus ja teised asjaomased järelevalveasutused esitavad kõnealuse artikli alusel nõutava teabe üksteisele elektroonilisel teel, kasutades selleks tüüpvormi.

Artikkel 64

Andmekaitsenõukogu arvamus

1. Andmekaitsenõukogu esitab arvamuse alati, kui pädev järelevalveasutus kavatseb vastu võtta mis tahes järgmise meetme. Sellega seoses edastab pädev järelevalveasutus andmekaitsenõukogule otsuse eelnõu, kui

a)	selle eesmärk on võtta vastu selline isikuandmete töötlemise toimingute loetelu, mille puhul kohaldatakse artikli 35 lõike 4 kohast andmekaitsealase mõjuhinnangu nõuet;

b)	see on seotud artikli 40 lõike 7 kohase küsimusega selle kohta, kas toimimisjuhendi kavand või selle muudatused või laiendused on vastavuses käesoleva määrusega;

c)	selle eesmärk on heaks kiita kriteeriumid artikli 41 lõike 3 kohaseks asutuse või artikli 43 lõike 3 kohaseks sertifitseerimisasutuse akrediteerimiseks;

d)	selle eesmärk on määrata kindlaks artikli 46 lõike 2 punktis d ja artikli 28 lõikes 8 osutatud andmekaitse standardklauslid;

e)	selle eesmärk on kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused või

f)	selle eesmärk on kiita heaks siduvad kontsernisisesed eeskirjad artikli 47 tähenduses.

2. Pädev järelevalveasutus, andmekaitsenõukogu eesistuja või komisjon võib taotleda mis tahes üldkohaldatava või rohkem kui ühes liikmesriigis mõju avaldava küsimuse puhul, et seda käsitleks arvamuse esitamiseks andmekaitsenõukogu, eelkõige juhul, kui pädev järelevalveasutus ei täida vastastikuse abi kohustust vastavalt artiklile 61 või ühisoperatsioonide kohustust vastavalt artiklile 62.

3. Lõigetes 1 ja 2 osutatud juhtudel esitab andmekaitsenõukogu arvamuse temale edastatud küsimuse kohta, tingimusel et ta ei ole samas küsimuses juba arvamust esitanud. Kõnealune arvamus võetakse vastu kaheksa nädala jooksul andmekaitsenõukogu liikmete lihthäälteenamuse alusel. Seda ajavahemikku võib pikendada kuue nädala võrra, võttes arvesse küsimuse keerukust. Kui lõikes 1 osutatud otsuse eelnõu on andmekaitsenõukogu liikmetele edastatud lõike 5 kohaselt, loetakse, et liige, kes ei ole eesistuja määratud mõistlikuks tähtajaks otsuse eelnõule vastuseisu esitanud, on sellega nõus.

4. Järelevalveasutused ja komisjon edastavad põhjendamatu viivituseta andmekaitsenõukogule elektrooniliselt tüüpvormi abil kogu asjakohase teabe, sealhulgas vastavalt vajadusele asjaolude kokkuvõtte, otsuse eelnõu, nimetatud meetme võtmise põhjused ja muude asjaomaste järelevalveasutuste seisukohad.

5. Andmekaitsenõukogu eesistuja teavitab põhjendamatu viivituseta elektrooniliselt

a)	Euroopa Andmekaitsenõukogu liikmeid ja komisjoni talle edastatud mis tahes asjakohasest teabest, kasutades selleks tüüpvormi. Andmekaitsenõukogu sekretariaat korraldab vajaduse korral asjaomase teabe tõlkimise, ning

b)	vastavalt vajadusele lõigetes 1 ja 2 osutatud järelevalveasutust ja komisjoni kõnealusest arvamusest ning avalikustab selle.

6. Pädev järelevalveasutus ei võta lõikes 3 osutatud ajavahemiku jooksul vastu lõikes 1 osutatud otsuse eelnõu.

7. Lõikes 1 osutatud järelevalveasutus arvestab igakülgselt andmekaitsenõukogu arvamusega ja annab elektroonilisel teel kahe nädala jooksul pärast arvamuse saamist tüüpvormi kasutades andmekaitsenõukogu eesistujale teada, kas ta jääb otsuse eelnõu juurde või muudab seda, ning edastab vajaduse korral muudetud otsuse eelnõu.

8. Kui asjaomane järelevalveasutus teavitab andmekaitsenõukogu eesistujat käesoleva artikli lõikes 7 osutatud ajavahemiku jooksul, et ta ei kavatse andmekaitsenõukogu arvamust kas tervikuna või osaliselt järgida, ning esitab asjakohased põhjendused, siis kohaldatakse artikli 65 lõiget 1.

Artikkel 83

Trahvide määramise üldtingimused

1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2. Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)	rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)	kas rikkumine pandi toime tahtlikult või hooletusest;

c)	vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)	vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)	vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)	järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)	rikkumisest mõjutatud isikuandmete liigid;

h)	millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)	kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)	artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)	juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)	sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)	järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

5. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)	andmesubjektide õigused artiklite 12–22 alusel;

c)	isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)	mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)	järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

6. Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7. Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8. Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

9. Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja järelevalveasutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul on määratavad trahvid tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni oma käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

whereas

(3) Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ (4) eesmärk on ühtlustada füüsiliste isikute põhiõiguste ja -vabaduste kaitset isikuandmete töötlemise toimingutel ning tagada isikuandmete vaba liikumine liikmesriikide vahel.

- = -

(19) Füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil ning selliste andmete vaba liikumist käsitletakse eraldiseisvas liidu tasandi õigusaktis.
Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate isikuandmete töötlemise toimingute suhtes.
Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse kõnealustel eesmärkidel, tuleks aga reguleerida konkreetsema liidu tasandi õigusaktiga Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680 (7).
Liikmesriigid võivad anda pädevatele asutustele direktiivi (EL) 2016/680 tähenduses muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, käesoleva määruse kohaldamisalasse.

- = -

(20) Kui käesolevat määrust kohaldatakse muu hulgas kohtute ja muude õigusasutuste tegevuse suhtes, võiks liidu või liikmesriigi õiguses täpsustada isikuandmete töötlemise toimingud ja -menetlused, mis on seotud isikuandmete töötlemisega kohtute ja muude õigusasutuste poolt.
Kohtusüsteemi sõltumatuse kaitsmiseks kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsusetegemisel, ei peaks järelevalveasutuste pädevus hõlmama isikuandmete töötlemist juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni.
Selliste andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi.

- = -

(36) Vastutava töötleja peamine tegevuskoht liidus peaks olema tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja mujal liidus asuvas tegevuskohas.
Sellisel juhul tuleks nimetatud muud tegevuskohta pidada peamiseks tegevuskohaks.
Vastutava töötleja peamine tegevuskoht liidus tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama püsiva korra alusel läbi viidavat tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärki ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel.
See kriteerium ei tohiks sõltuda sellest, kas isikuandmeid töödeldakse kõnealuses kohas.
Isikuandmete töötlemise või isikuandmete töötlemise toimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseenesest ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid.
Volitatud töötleja peamine tegevuskoht peaks olema tema juhatuse asukoht liidus või, kui tal ei ole liidus juhatuse asukohta, see koht, kus sooritatakse peamised isikuandmete töötlemise toimingud liidus.
Juhul kui kaasatud on nii vastutav töötleja kui ka volitatud töötleja, peaks pädevaks juhtivaks järelevalveasutuseks jääma selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja peamine tegevuskoht, kuid volitatud töötleja järelevalveasutust tuleks käsitada asjaomase järelevalveasutusena ja nimetatud järelevalveasutus peaks osalema käesolevas määruses sätestatud koostöömenetluses.
Kui otsuse eelnõu puudutab ainult vastutavat töötlejat, ei tuleks selle liikmesriigi või nende liikmesriikide järelevalveasutusi, kus asub volitatud töötleja üks või mitu tegevuskohta, käsitada ühelgi juhul asjaomaste järelevalveasutustena.
Kui andmeid töötleb kontsern, siis tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamist tegevuskohta, välja arvatud juhul, kui töötlemise eesmärgi ja vahendid määrab kindlaks teine ettevõtja.

- = -

(43) Selle tagamiseks, et nõusolek on antud vabatahtlikult, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras, eriti juhul kui vastutav töötleja on avaliku sektori asutus, ning seega on ebatõenäoline, et nõusolek anti selle konkreetse olukorra kõigi asjaolude puhul vabatahtlikult.
Nõusolekut ei loeta vabatahtlikuks, kui ei ole võimalik anda erinevatele isikuandmete töötlemise toimingutele eraldi nõusolekut, ehkki see on üksikutel juhtudel asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on pandud sõltuma sellisest nõusolekust, ehkki see ei ole lepingu täitmiseks vajalik.

- = -

(50) Isikuandmete töötlemine muudel eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti.
Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist.
Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu või liikmesriigi õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks.
Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena.
Liidu või liikmesriigis õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks.
Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

- = -

(63) Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada.
See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised.
Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate.
Võimaluse korral peaks vastutav töötleja saama anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega.
See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust.
Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine.
Kui vastutav töötleja töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et andmesubjekt täpsustaks enne andmete esitamist, millise teabe või milliste isikuandmete töötlemise toimingutega taotlus seotud on.

- = -

(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest.
Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust.
Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(76) Andmesubjekti õigustele ja vabadustele tekkiva ohu tõenäosus ja tõsidus tuleks teha kindlaks lähtudes andmetöötluse laadist, ulatusest, kontekstist ja eesmärkidest.
Ohtu tuleks hinnata objektiivse hindamise põhjal, millega tehakse kindlaks andmetöötlustoimingutega kaasneb oht või suur oht.

- = -

(77) Suuniseid asjakohaste meetmete rakendamiseks ja nõuete täitmise tõendamiseks vastutava töötleja või volitatud töötleja poolt, eelkõige seoses töötlemisega seotud ohu kindlakstegemisega, selle päritolu, laadi, tõenäosuse ja tõsiduse hindamisega ning ohu leevendamiseks kasutatavate parimate tavade kindlakstegemisega võib anda eelkõige heakskiidetud toimimisjuhenditega, heakskiidetud sertifikaatidega, andmekaitsenõukogu esitatud suunistega või andmekaitseametniku antud juhistega.
Andmekaitsenõukogu võib anda ka suuniseid isikuandmete töötlemise toimingute kohta, mille puhul loetakse ebatõenäoliseks, et tekib suur oht füüsiliste isikute õigustele ja vabadustele, ning määrata kindlaks, millised meetmed võivad olla sellistel juhtudel piisavad sellise ohu käsitlemiseks.

- = -

(81) Kui vastutava töötleja nimel töötleb andmeid volitatud töötleja, peaks vastutav töötleja kasutama käesoleva määruse nõuete täitmise tagamiseks isikuandmete töötlemise toimingute usaldamisel volitatud töötlejale ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele.
Seda, et volitatud töötleja järgib heakskiidetud toimimisjuhendit või heakskiidetud sertifitseerimismehhanismi, võib kasutada elemendina, mis tõendab vastutava töötleja kohustuste täitmist.
Volitatud töötleja peaks andmeid töötlema volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärgid, isikuandmete liik ja andmesubjektide kategooriad ning peaks arvesse võtma volitatud töötleja konkreetseid ülesandeid ja kohustusi seoses teostatava töötlemisega ning ohtu andmesubjekti õigustele ja vabadustele.
Vastutav töötleja ja volitatud töötleja võivad teha otsuse kasutada individuaalset lepingut või lepingu tüüptingimusi, mille on vastu võtnud kas otseselt komisjon või järelevalveasutus kooskõlas järjepidevuse mehhanismiga ja seejärel komisjon.
Pärast vastutava töötleja nimel töötlemise lõpetamist peaks volitatud töötleja isikuandmed vastutava töötleja valikul kas tagastama või kustutama, välja arvatud juhul, kui volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õiguse kohaselt tuleb isikuandmeid säilitada.

- = -

(82) Käesoleva määruse täitmise tõendamiseks peaks vastutav töötleja või volitatud töötleja säilitama andmeid tema vastutusalasse kuuluvate isikuandmete töötlemise toimingute kohta.
Vastutav töötleja ja volitatud töötleja peaks olema kohustatud tegema järelevalveasutusega koostööd ja tegema need salvestatud andmed taotluse korral järelevalveasutusele kättesaadavaks, et neid saaks kasutada nimetatud isikuandmete töötlemise toimingute kontrollimiseks.

- = -

(84) Käesoleva määruse järgimise parandamiseks juhtudel, kus isikuandmete töötlemise toimingud kujutavad endast füüsiliste isikute õigustele ja vabadustele tõenäoliselt suurt ohtu, peaks vastutav töötleja vastutama andmekaitsealase mõjuhinnangu tegemise eest, et hinnata eelkõige selle ohu päritolu, laadi, eripära ja tõsidust.
Hinnangu tulemust tuleks arvestada asjakohaste meetmete kindlaksmääramisel, mis tuleb võtta selle tõendamiseks, et isikuandmete töötlemine on käesoleva määrusega kooskõlas.
Kui andmekaitsealane mõjuhinnang näitab, et isikuandmete töötlemise toimingutega kaasneb suur oht, mida vastutav töötleja ei saa leevendada kättesaadava tehnoloogia ja rakendamise maksumuse osas asjakohaste meetmetega, tuleks enne töötlemist konsulteerida järelevalveasutusega.

- = -

(89) Direktiivis 95/46/EÜ nähti ette üldine kohustus teatada isikuandmete töötlemisest järelevalveasutustele.
Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid ei ole alati aidanud parandada isikuandmete kaitset.
Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile isikuandmete töötlemise toimingute liikidele, mis kujutavad oma laadi, ulatuse, konteksti ja eesmärkide poolest tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.
Sellised isikuandmete töötlemise toimingute liigid võivad olla need, mis hõlmavad eelkõige uue tehnoloogia kasutamist või on uut tüüpi ning mille puhul vastutav töötleja ei ole varem andmekaitsealast mõjuhinnangut teostanud või kus toimingud muutuvad vajalikuks seoses esmasest töötlemisest möödunud ajaga.

- = -

(91) Seda tuleks eelkõige kohaldada ulatuslike isikuandmete töötlemise toimingute puhul, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ja mis võivad mõjutada paljusid andmesubjekte ning mis kujutavad endast tõenäoliselt suurt ohtu, näiteks nende andmete tundlikkuse tõttu, kui vastavalt tehnoloogiliste teadmiste tasemele kasutatakse ulatuslikult uut tehnoloogiat, samuti muude isikuandmete töötlemise toimingute puhul, mis kujutavad endast suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige juhul, kui andmesubjektidel on nende toimingute tõttu raskem oma õigusi kasutada.
Andmekaitsealane mõjuhinnang tuleks teha ka juhtudel, kus isikuandmeid töödeldakse selleks, et võtta vastu otsuseid konkreetsete füüsiliste isikute kohta pärast millist tahes füüsiliste isikutega seotud isiklike aspektide profiilianalüüsil põhinevat süstemaatilist ja põhjalikku hindamist või pärast seda, kui töödeldakse eriliikidesse kuuluvaid isikuandmeid, biomeetrilisi andmeid või andmeid süüteoasjades süüdimõistvate kohtuotsuste ja rikkumiste või nendega seotud turvameetmete kohta.
Andmekaitsealast mõjuhinnangut on samuti vaja avalike alade ulatusliku jälgimise puhul, eriti kui kasutatakse elektroonilisi optikaseadmeid, või mis tahes muude toimingute puhul, kui pädev järelevalveasutus leiab, et töötlemine võib kujutada endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige sellepärast, et need takistavad andmesubjektidel õiguse või teenuse või lepingu kasutamist, või sellepärast, et neid teostatakse süstemaatiliselt suures ulatuses.
Isikuandmete töötlemist ei tuleks lugeda ulatuslikuks, kui töötlemine puudutab patsientide või klientide isikuandmete töötlemist üksiku arsti, muu tervishoiutöötaja või juristi poolt.
Sellistel juhtudel ei peaks andmekaitsealane mõjuhinnang olema kohustuslik.

- = -

(93) Selliste liikmesriigi õigusaktide vastuvõtmisel, millele avaliku sektori asutuse või organi ülesannete täitmine tugineb ja millega reguleeritakse kõnealuseid konkreetseid isikuandmete töötlemise toiminguid või nende kogumit, võib liikmesriik pidada vajalikuks viia selline hindamine läbi enne isikuandmete töötlemise toimingute alustamist.

- = -

(94) Kui andmekaitsealane mõjuhinnang näitab, et töötlemise tulemusena tekiks ohu leevendamise kaitsemeetmete ning turvameetmete ja -mehhanismide puudumisel suur oht füüsiliste isikute õigustele ja vabadustele, ning vastutav töötleja leiab, et seda ohtu ei ole võimalik kättesaadava tehnoloogia ja rakendamiskulude seisukohast mõistlike meetmetega leevendada, tuleks enne isikuandmete töötlemise toimingute alustamist konsulteerida järelevalveasutusega.
Selline suur oht tekib tõenäoliselt isikuandmete teatud liiki töötluse ning töötlemisulatuse ja -sageduse tulemusena, mille tagajärjel võib tekkida ka kahju füüsilise isiku õigustele ja vabadustele või sekkumine nendesse.
Järelevalveasutus peaks vastama konsulteerimistaotlusele konkreetse ajavahemiku jooksul.
Järelevalveasutuse reaktsiooni puudumine selle ajavahemiku jooksul ei tohiks aga mõjutada järelevalveasutuse sekkumist kooskõlas talle käesolevas määruses ette nähtud ülesannete ja volitustega, sealhulgas õigust keelata isikuandmete töötlemise toiminguid.
Kõnealuse konsulteerimisprotsessi osana võib asjaomase töötlemise suhtes tehtud andmekaitsealase mõjuhinnangu tulemuse esitada järelevalveasutusele, eelkõige seoses meetmetega, mis on ette nähtud füüsiliste isikute õigusi ja vabadusi ähvardavate ohtude leevendamiseks.

- = -

(97) Kui töötlemist teostab avaliku sektori asutus, välja arvatud kohtud või sõltumatud õigusasutused, kui nad teevad menetlusotsuseid, töötlejaks on erasektoris vastutava töötleja, kelle põhitegevus hõlmab isikuandmete töötlemise toiminguid, mis eeldavad ulatuslikku regulaarset ja süstemaatilist järelevalvet andmesubjektide üle, või kui vastutava töötleja või volitatud töötleja põhitegevus hõlmab isikuandmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist, peaks vastutavat töötlejat või volitatud töötlejat abistama andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes kontrollib käesoleva määruse täitmist asutuse või töötleja poolt.
Erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena.
Erialaste teadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt teostatavatele andmetöötlustoimingutele ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele.
Sellistel andmekaitseametnikel, sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil.

- = -

(113) Edastamine, mida saab pidada mittekorduvaks ning mis puudutab üksnes piiratud arvu andmesubjekte, võiks samuti toimuda vastutava töötleja mõjuvates õigustatud huvides, kui andmesubjekti huvid või õigused ja vabadused ei kaalu neid huve üles ja kui vastutav töötleja on hinnanud andmeedastuse kõiki asjaolusid.
Vastutav töötleja peaks pöörama erilist tähelepanu isikuandmete laadile, kavandatud isikuandmete töötlemise toimingu või isikuandmete töötlemise toimingute eesmärgile ja kestusele ning samuti olukorrale andmete päritoluriigis, kolmandas riigis ja lõplikus sihtriigis ning tagama seoses isikuandmete töötlemisega sobivad kaitsemeetmed füüsiliste isikute põhiõiguste ja -vabaduste kaitsmiseks.
Selline edastamine peaks olema võimalik ainult ülejäänud juhtudel, kui ükski muudest edastamispõhjustest ei ole kohaldatav.
Teadus- või ajaloouuringute või statistilise eesmärgi osas tuleks võtta arvesse ühiskonna õiguspäraseid ootusi, et teadmisi laiendatakse.
Vastutav töötleja peaks teatama edastamisest järelevalveasutusele ja andmesubjektile.

- = -

(135) Selleks et tagada käesoleva määruse ühtne kohaldamine kogu liidus, tuleks kehtestada järelevalveasutuste vaheliseks koostööks järjepidevuse mehhanism.
Nimetatud mehhanismi tuleks eelkõige kohaldada juhul, kui järelevalveasutus kavatseb vastu võtta meetme, mille eesmärk on tekitada õiguslikke tagajärgi seoses isikuandmete töötlemise toimingutega, mis mõjutavad oluliselt märkimisväärset arvu andmesubjekte mitmes liikmesriigis.
Mehhanismi tuleks kohaldada ka siis, kui mis tahes asjaomane järelevalveasutus või komisjon taotleb sellise küsimuse käsitlemist järjepidevuse mehhanismi raames.
Nimetatud mehhanism ei tohiks piirata ühtegi meedet, mis komisjon võib võtta oma aluslepingutest tulenevate volituste kasutamisel.

- = -

dal 2004 diritto e informatica