interactive GDPR 2016/0679 ET

1. Käesolevat määrust kohaldatakse liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse liidus või väljaspool liitu.

2. Käesolevat määrust kohaldatakse liidus asuvate andmesubjektide isikuandmete töötlemise suhtes mujal kui liidus asuva vastutava töötleja või volitatud töötleja poolt, kui andmete töötlemine on seotud

a)	liidus asuvatele andmesubjektidele kaupade ja teenuste pakkumisega, olenemata sellest, kas andmesubjekt peab maksma tasu, või

b)	nende tegevuse jälgimisega, kui see tegevus toimub liidus.

3. Käesolevat määrust kohaldatakse isikuandmete töötlemise suhtes vastutava töötleja poolt, kelle asukoht ei ole liidus, vaid kohas, kus rahvusvahelise avaliku õiguse kohaselt kohaldatakse mõne liikmesriigi õigust.

Artikkel 5

Isikuandmete töötlemise põhimõtted

1. Isikuandmete töötlemisel tagatakse, et

a)	töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)	isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)	isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

Artikkel 9

Isikuandmete eriliikide töötlemine

1. Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2. Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

a)	andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada;

töötlemine on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või liikmesriigi õiguse kohase kollektiivlepinguga, millega kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks;

c)	töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

töödeldakse poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning tingimusel, et töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning et isikuandmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta;

e)	töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud;

f)	töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni;

g)	töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu või liikmesriigi õiguse alusel ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ja tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks;

töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud;

töötlemine on vajalik rahvatervise valdkonna avalikes huvides, nagu kaitse suure piiriülese terviseohu korral või kõrgete kvaliteedi- ja ohutusnõuete tagamine tervishoiu ning ravimite või meditsiiniseadmete puhul, tuginedes liidu või liikmesriigi õigusele, millega nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õiguste ja vabaduste kaitseks, eelkõige ametisaladuse hoidmine,

töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 83 lõikele 1, tuginedes liidu või liikmesriigi õigusele, ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ning tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

3. Lõikes 1 osutatud isikuandmeid võib töödelda lõike 2 punktis h osutatud eesmärkidel, kui neid andmeid töötleb töötaja, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus, või kui neid andmeid töödeldakse sellise isiku vastutusel või kui neid andmeid töötleb mõni teine isik, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel samuti saladuse hoidmise kohustus.

4. Liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega.

Artikkel 14

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1. Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)	vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	asjaomaste isikuandmete liigid;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)	teave õiguse kohta esitada kaebus järelevalveasutusele;

f)	teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3. Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)	mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)	kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)	kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5. Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

a)	andmesubjektil on see teave juba olemas;

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)	isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)	isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

Artikkel 17

Õigus andmete kustutamisele („õigus olla unustatud“)

1. Andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed ja vastutav töötleja on kohustatud kustutama isikuandmed põhjendamatu viivituseta, kui kehtib üks järgmistest asjaoludest:

a)	isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud;

b)	andmesubjekt võtab töötlemiseks antud nõusoleku tagasi vastavalt artikli 6 lõike 1 punktile a või artikli 9 lõike 2 punktile a ning puudub muu õiguslik alus isikuandmete töötlemiseks;

c)	andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt ja töötlemiseks pole ülekaalukaid õiguspäraseid põhjuseid või andmesubjekt esitab vastuväite isikuandmete töötlemise suhtes artikli 21 lõike 2 kohaselt;

d)	isikuandmeid on töödeldud ebaseaduslikult;

e)	isikuandmed tuleb kustutada selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust;

f)	isikuandmeid koguti seoses artikli 8 lõikes 1 osutatud infoühiskonna teenuste pakkumisega.

2. Juhul kui vastutav töötleja on isikuandmed avalikustanud ja peab lõike 1 kohaselt isikuandmed kustutama, võtab vastutav töötleja kättesaadavat tehnoloogiat ja rakendamise kulusid arvestades tarvitusele mõistlikud abinõud, sealhulgas tehnilised meetmed, et teavitada kõnealuseid isikuandmeid töötlevaid vastutavaid töötlejaid sellest, et andmesubjekt taotleb neilt kõnealustele isikuandmetele osutavate linkide või andmekoopiate või -korduste kustutamist.

3. Lõikeid 1 ja 2 ei kohaldata sel määral mil isikuandmete töötlemine on vajalik

a)	sõna- ja teabevabaduse õiguse teostamiseks;

b)	selleks, et täita vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega ette nähtud juriidilist kohustust, mis näeb ette isikuandmete töötlemise, või täita avalikes huvides olevat ülesannet või teostada vastutava töötleja avalikku võimu;

c)	rahvatervise valdkonnas avaliku huviga seotud põhjustel kooskõlas artikli 9 lõike 2 punktidega h ja i ning artikli 9 lõikega 3;

d)	avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil kooskõlas artikli 89 lõikega 1 sel määral mil lõikes 1 osutatud õigus tõenäoliselt muudab sellise töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral, või

e)	õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

Artikkel 21

Õigus esitada vastuväiteid

1. Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

2. Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sealhulgas profiilianalüüsi suhtes sel määral mil see on seotud kõnealuse otseturundusega.

3. Kui andmesubjekt esitab vastuväiteid otseturunduse eesmärgil toimuva andmete töötlemise suhtes, ei tohi isikuandmeid sellisel eesmärgil enam töödelda.

4. Hiljemalt andmesubjekti esmakordsel teavitamisel juhitakse andmesubjekti tähelepanu selgesõnaliselt lõigetes 1 ja 2 osutatud õigusele ning vastav teave esitatakse selgelt ja eraldi igasugusest muust teabest.

5. Infoühiskonna teenuste kasutamisega seoses ja direktiivi 2002/58/EÜ sätetest olenemata võib andmesubjekt kasutada oma õigust esitada vastuväiteid, tehes seda automatiseeritud vahendite teel, mis põhinevad tehnilistel kirjeldustel.

6. Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks.

Artikkel 45

Edastamine kaitse piisavuse otsuse alusel

1. Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.

2. Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ning andmesubjektide tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja nende täitmise tagamise eest, sealhulgas piisavate täitmise tagamise volituste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

3. Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Kõnealune rakendusakt võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

4. Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada käesoleva artikli lõike 3 kohaselt vastu võetud otsuste ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsuste toimimist.

5. Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon vastu otsuse, et kolmas riik, territoorium või nimetatud riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab rakendusaktidega käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.

6. Komisjon alustab asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.

7. Käesoleva artikli lõike 5 kohane otsus ei mõjuta artiklite 46–49 kohaseid isikuandmete edastamisi kõnealusele kolmandale riigile, territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.

8. Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil kolmandate riikide, territooriumide, kolmanda riigi kindlaksmääratud sektorite ja rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.

9. Otsused, mille komisjon on vastu võtnud direktiivi 95/46/EÜ artikli 25 lõike 6 alusel, jäävad jõusse, kuni neid käesoleva artikli lõike 3 või 5 kohaselt vastu võetud komisjoni otsusega muudetakse, need asendatakse või kehtetuks tunnistatakse.

Artikkel 89

Kaitsemeetmed ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil

1. Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

2. Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

3. Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18, 19, 20 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4. Kui lõigetes 2 ja 3 osutatud töötlemist kasutatakse samal ajal muudel eesmärkidel, võib tehtavaid erandeid kohaldada üksnes nendes lõigetes osutatud eesmärgil tehtavale töötlemisele.

whereas

(33) Sageli ei ole isikuandmete kogumise ajal võimalik täielikult kindlaks määrata teadusuuringute eesmärgil toimuva andmetöötluse eesmärki.
Seetõttu peaks andmesubjektidel olema võimalik anda oma nõusolek teatavates teadusuuringuvaldkondades, kui järgitakse teadusuuringuvaldkonna tunnustatud eetikanorme.
Andmesubjektidel peaks olema võimalik anda oma nõusolek üksnes teatavatele teadusuuringuvaldkondadele või teadusprojektide osadele kavandatud eesmärgiga lubatud ulatuses.

- = -

(50) Isikuandmete töötlemine muudel eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti.
Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist.
Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu või liikmesriigi õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks.
Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena.
Liidu või liikmesriigis õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks.
Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

- = -

(52) Isikuandmete eriliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka juhul, kui see on sätestatud liidu või liikmesriigi õiguses, ja eeldusel, et kehtestatakse asjakohased kaitsemeetmed, et kaitsta isikuandmeid ja muid põhiõigusi, kui see on avalikes huvides, eelkõige isikuandmete töötlemine tööõiguse, sotsiaalkaitseõiguse, sealhulgas pensionide valdkonnas ning terviseturbe, -seire ja hoiatamisega seotud eesmärkidel, nakkushaiguste ennetamine ja tõrje ning muud tõsised terviseohud.
Sellise erandi võib teha tervisega seotud eesmärkidel, sealhulgas rahvatervise ja tervishoiuteenuste korraldamise valdkonnas, eelkõige selleks, et tagada tervisekindlustussüsteemis hüvitisi ja teenuseid puudutavate nõuete rahuldamiseks kasutatavate menetluste kvaliteet ja kulutasuvus, või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil.
Erand peaks võimaldama selliste isikuandmete töötlemist ka siis, kui see on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks sõltumata sellest, kas see toimub kohtumenetluse, haldusmenetluse või kohtuvälise menetluse raames.

- = -

(53) Tugevamat kaitset väärivate isikuandmete eriliike tuleks töödelda üksnes tervisega seotud eesmärkidel, kui need eesmärgid on vaja saavutada füüsiliste isikute ja kogu ühiskonna hüvanguks, eelkõige tervishoiu- või sotsiaalhoolekandeteenuste ja -süsteemide juhtimise kontekstis, sealhulgas selliste andmete töötlemisel juhtkonna ja kesksete riiklike terviseasutuste poolt sellistel eesmärkidel nagu kvaliteedikontroll, juhtimisteave ning tervishoiu- või sotsiaalhoolekandesüsteemi üldine riiklik ja kohalik järelevalve ning tervishoiu või sotsiaalhoolekande järjepidevuse ja piiriülese tervishoiu või terviseturbe tagamine, seire ja hoiatamise eesmärkidel või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil liidu või liikmesriigi õiguse alusel, mis peab vastama avalikule huvile, ning rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringute jaoks.
Seetõttu tuleks käesolevas määruses ette näha ühtsed tervisealaste isikuandmete eriliikide töötlemise tingimused konkreetsete vajaduste osas, eelkõige juhul, kui selliseid andmeid töötlevad teatavatel tervishoiuga seotud eesmärkidel isikud, kellel on juriidiline kohustus hoida ametisaladust.
Liidu või liikmesriigi õiguses tuleks ette näha konkreetsed ja sobivad meetmed, et kaitsta füüsiliste isikute põhiõigusi ja isikuandmeid.
Liikmesriikidel peaks olema lubatud säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega.
See ei tohiks aga takistada isikuandmete vaba liikumist liidus, kui neid tingimusi kohaldatakse selliste andmete piiriülese töötlemise suhtes.

- = -

(62) Teabe esitamise kohustust ei ole siiski vaja kehtestada juhul, kui andmesubjektil on see teave juba olemas, juhul, kui isikuandmete dokumenteerimine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suurt jõupingutust.
Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui andmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil.
Sellisel juhul tuleks arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki asjakohaseid vastuvõetud kaitsemeetmeid.

- = -

(65) Andmesubjektil peaks olema õigus nõuda teda käsitlevate isikuandmete parandamist ja „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu või liikmesriigi õigust.
Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui isikuandmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on töötlemisele antud nõusoleku tagasi võtnud või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele.
Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada.
Andmesubjektil peaks olema võimalik seda õigust kasutada, vaatamata sellele, et ta ei ole enam laps.
isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks, juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, rahvatervise valdkonna avalikes huvides, avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

- = -

(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest.
Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust.
Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(98) Vastutavate töötlejate ja volitatud töötlejate eri kategooriaid esindavaid ühendusi ja muid asutusi tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse teatavates sektorites toimuva töötlemise eriomadusi ning mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.
Eelkõige võiks selliste toimimisjuhenditega kindlaks määrata vastutavate töötlejate ja volitatud töötlejate kohustused, võttes arvesse isikuandmete töötlemisest tõenäoliselt tekkivat ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(127) Järelevalveasutus, kes ei tegutse juhtiva järelevalveasutusena, peaks olema pädev käsitlema kohalikke juhtumeid, kui vastutava töötleja või volitatud töötleja tegevuskoht asub rohkem kui ühes liikmesriigis, kuid konkreetne töötlemine puudutab ainult ühes liikmesriigis toimuvat töötlemist ja hõlmab ainult selles ühes liikmesriigis asuvaid andmesubjekte, näiteks kui tegemist on töötajate isikuandmete töötlemisega asjaomase liikmesriigi konkreetses töösuhete kontekstis.
Sellistel juhtudel peaks järelevalveasutus teavitama juhtivat järelevalveasutust viivitamata sellest küsimusest.
Pärast teavituse saamist peaks juhtiv järelevalveasutus otsustama, kas ta tegeleb juhtumiga vastavalt juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vahelist koostööd käsitlevatele sätetele („ühtse kontaktpunkti mehhanism“) või peaks juhtumiga tegelema teda teavitanud järelevalveasutus kohalikul tasandil.
Selle üle otsustamisel, kas ta tegeleb juhtumiga, peaks juhtiv järelevalveasutus arvesse võtma seda, kas teda teavitanud järelevalveasutuse liikmesriigis on vastutava töötleja või volitatud töötleja tegevuskoht, et tagada vastutava töötleja või volitatud töötleja suhtes tehtud otsuse tõhus täitmine.
Kui juhtiv järelevalveasutus otsustab juhtumiga tegeleda, peaks teda teavitanud järelevalveasutusel olema võimalik esitada otsuse eelnõu, mida juhtiv järelevalveasutus peaks oma ühtse kontaktpunkti mehhanismi raames tehtava otsuse ettevalmistamisel täiel määral arvesse võtma.

- = -

(156) Avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes tuleks kohaldada kooskõlas käesoleva määrusega asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks.
Nende kaitsemeetmetega tuleks tagada tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine.
Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil peab toimuma siis, kui vastutav töötleja on hinnanud nende eesmärkide täitmise teostatavust, töödeldes isikuandmeid, mis ei võimalda või enam ei võimalda andmesubjekte tuvastada, tingimusel et olemas on asjakohased kaitsemeetmed (näiteks isikuandmete pseudonümiseerimine).
Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmete töötlemisele, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.
Liikmesriikidel peaks olema õigus määrata konkreetsetel tingimustel ja andmesubjektidele mõeldud asjakohaste kaitsemeetmete olemasolul spetsifikatsioonid ja erandid seoses teabenõuetega, õigusega andmeid parandada ja kustutada, õigusega olla unustatud, andmete töötlemise piiranguga ja andmete ülekandmise õigusega ning õigusega esitada vastuväiteid isikuandmete töötlemisel, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.
Kõnealused tingimused ja kaitsemeetmed võivad sisaldada andmesubjektidele mõeldud konkreetseid menetlusi nende õiguste kasutamiseks, kui see on asjakohane konkreetse töötlemise eesmärkide alusel, ning tehnilisi ja korralduslikke meetmeid, mille eesmärk on vähendada miinimumini isikuandmete töötlemist kooskõlas proportsionaalsuse ja vajalikkuse põhimõttega.
Isikuandmete töötlemine teadusuuringute eesmärgil peaks samuti olema kooskõlas muude asjakohaste õigusaktidega, näiteks kliinilisi uuringuid käsitlevate õigusaktidega.

- = -

(159) Kui isikuandmeid töödeldakse teadusuuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes.
Käesoleva määruse tähenduses tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada laialt nii, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid.
Lisaks tuleks seejuures arvesse võtta ELi toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum.
Teadusuuringute eesmärk peaks hõlmama ka rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringuid.
Teadusuuringute eesmärgil isikuandmete töötlemise eripära arvessevõtmiseks tuleks kohaldada eritingimusi eelkõige seoses isikuandmete avaldamise või muul viisil avalikustamisega teadusuuringute eesmärgi kontekstis.
Kui teadusuuringute tulemus eelkõige tervishoiu kontekstis loob aluse täiendavateks meetmeteks andmesubjekti huvides, tuleks nende meetmete suhtes kohaldada käesoleva määruse üldiseid eeskirju.

- = -

(162) Kui isikuandmeid töödeldakse statistilisel eesmärgil, tuleks käesolevat määrust kohaldada sellise töötlemise suhtes.
Liidu või liikmesriigi õiguses tuleks käesoleva määruse piires määrata kindlaks statistiline sisu, juurdepääsukontroll, statistilisel eesmärgil andmete töötlemise spetsifikatsioonid ja asjakohased meetmed, et kaitsta andmesubjekti õigusi ja vabadusi ning tagada statistika konfidentsiaalsus.
Statistiline eesmärk tähendab kõiki isikuandmete kogumise ja töötlemise toiminguid, mis on vajalikud statistikauuringute või statistika koostamise jaoks.
Koostatud statistikat võib edasi kasutada muudel eesmärkidel, sealhulgas teadusuuringute eesmärgil.
Statistiline eesmärk eeldab, et statistilisel eesmärgil toimuva töötlemise tulemus ei ole isikuandmed, vaid koondandmed, ning et seda tulemust või isikuandmeid ei kasutata ühtegi konkreetset füüsilist isikut puudutavate meetmete või otsuste toetamiseks.

- = -

dal 2004 diritto e informatica