interactive GDPR 2016/0679 ET

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)	isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)	isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

Artikkel 6

Isikuandmete töötlemise seaduslikkus

1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)	andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)	isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)	isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;

d)	isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

e)	isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)	isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

2. Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis.

3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

a)	liidu õigusega või

b)	vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.

4. Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

a)	seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)	isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)	isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 9 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 10;

d)	kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)	asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.

Artikkel 7

Nõusoleku andmise tingimused

1. Kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega.

2. Kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist käesoleva määruse rikkumisega, ei ole siduv.

3. Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest enne nõusoleku andmist. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine.

4. Selle hindamisel, kas nõusolek anti vabatahtlikult, tuleb võimalikult suurel määral võtta arvesse asjaolu, kas lepingu täitmise, sealhulgas teenuse osutamise tingimuseks on muu hulgas seatud nõusoleku isikuandmine andmete töötlemiseks, mis ei ole vajalik kõnealuse lepingu täitmiseks.

Artikkel 20

Andmete ülekandmise õigus

1. Andmesubjektil on õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale töötlejale, ilma et vastutav töötleja, kellele kõnealused isikuandmed on esitatud, seda takistaks, kui

a)	töötlemine põhineb artikli 6 lõike 1 punktis a või artikli 9 lõike 2 punktis a osutatud nõusolekul või artikli 6 lõike 1 punktis b osutatud lepingul ning

b)	töödeldakse automatiseeritult.

2. Kui andmesubjekt kasutab lõike 1 kohaselt andmete ülekandmise õigust, on tal õigus nõuda, et vastutav töötleja edastab andmed otse teisele vastutavale töötlejale, kui see on tehniliselt teostatav.

3. Käesoleva artikli lõikes 1 nimetatud õiguse kasutamine ei piira artikli 17 kohaldamist. Seda õigust ei kohaldata töötlemise suhtes, mis on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

4. Lõikes 1 osutatud õigus ei kahjusta teiste isikute õigusi ja vabadusi.

4. jagu

Õigus esitada vastuväiteid ja automatiseeritud töötlusel põhinevate üksikotsuste tegemine

Artikkel 21

Õigus esitada vastuväiteid

1. Andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, mis toimub artikli 6 lõike 1 punkti e või f alusel, sealhulgas nendele sätetele tugineva profiilianalüüsi suhtes. Vastutav töötleja ei töötle isikuandmeid edasi, välja arvatud juhul, kui vastutav töötleja tõendab, et töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused, või õigusnõuete koostamise, esitamise või kaitsmise eesmärgil.

2. Isikuandmete töötlemisel otseturunduse eesmärgil on andmesubjektil õigus esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sealhulgas profiilianalüüsi suhtes sel määral mil see on seotud kõnealuse otseturundusega.

3. Kui andmesubjekt esitab vastuväiteid otseturunduse eesmärgil toimuva andmete töötlemise suhtes, ei tohi isikuandmeid sellisel eesmärgil enam töödelda.

4. Hiljemalt andmesubjekti esmakordsel teavitamisel juhitakse andmesubjekti tähelepanu selgesõnaliselt lõigetes 1 ja 2 osutatud õigusele ning vastav teave esitatakse selgelt ja eraldi igasugusest muust teabest.

5. Infoühiskonna teenuste kasutamisega seoses ja direktiivi 2002/58/EÜ sätetest olenemata võib andmesubjekt kasutada oma õigust esitada vastuväiteid, tehes seda automatiseeritud vahendite teel, mis põhinevad tehnilistel kirjeldustel.

6. Kui isikuandmeid töödeldakse teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes, välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks.

Artikkel 22

Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs

1. Andmesubjektil on õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

2. Lõiget 1 ei kohaldata, kui otsus

a)	on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks;

b)	on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitsmiseks, või

c)	põhineb andmesubjekti selgesõnalisel nõusolekul.

3. Lõike 3 punktides a ja c osutatud juhtudel rakendab vastutav töötleja asjakohaseid meetmeid, et kaitsta andmesubjekti õigusi ja vabadusi ning õigustatud huve, vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga, et väljendada oma seisukohta ja vaidlustada otsus.

4. Lõikes 2 osutatud otsused ei tohi põhineda artikli 9 lõikes 1 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui kohaldatakse artikli 9 lõike 2 punkti a või g ning kehtestatud on asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

5. jagu

Piirangud

Artikkel 38

Andmekaitseametniku ametiseisund

1. Vastutav töötleja ja volitatud töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.

2. Vastutav töötleja ja volitatud töötleja toetavad andmekaitseametnikku artiklis 39 osutatud ülesannete täitmisel, andes talle nende ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja isikuandmete töötlemise toimingutele.

3. Vastutav töötleja ja volitatud töötleja tagavad, et andmekaitseametnik ei saa nende ülesannete täitmise suhtes juhiseid. Vastutav töötleja või volitatud töötleja ei saa teda tema ülesannete täitmise eest ametist vabastada ega karistada. Andmekaitseametnik allub otse vastutava töötleja või volitatud töötleja kõrgeimale juhtimistasandile.

4. Andmesubjektid võivad pöörduda andmekaitseametniku poole kõigis küsimustes, mis on seotud nende isikuandmete töötlemise ning nende käesolevast määrusest tulenevate õiguste kasutamisega.

5. Andmekaitseametniku suhtes kehtib tema ülesannete täitmisel vastavalt liidu või liikmesriigi õigusele saladuse hoidmise või konfidentsiaalsuse nõue.

6. Andmekaitseametnik võib täita muid ülesandeid ja kohustusi. Vastutav töötleja või volitatud töötleja tagab, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti.

Artikkel 49

Erandid konkreetsetes olukordades

1. Artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult ühel järgmistest tingimustest:

a)	andmesubjekt on edastamiseks andnud selgesõnalise nõusoleku pärast seda, kui teda teavitati sellise edastamisega tema jaoks kaasnevatest võimalikest ohtudest, mis tulenevad kaitse piisavuse otsuse ja asjaomaste kaitsemeetmete puudumisest;

b)	edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotluse alusel võetavate lepingueelsete meetmete rakendamiseks;

c)	edastamine on vajalik, et andmesubjekti huvides sõlmida vastutava töötleja ja muu füüsilise või juriidilise isiku vahel leping või seda lepingut täita;

d)	edastamine on vajalik avalikust huvist tulenevatel kaalukatel põhjustel;

e)	edastamine on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks;

f)	edastamine on vajalik, et kaitsta andmesubjekti või muude isikute olulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

edastamine tehakse registrist, mis liidu või liikmesriigi õiguse kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud kas laiemale avalikkusele või kõigile, kes suudavad tõendada õigustatud huvi, kuid ainult sellisel määral, nagu konkreetsel juhul on täidetud tutvumist käsitlevad tingimused, mis on liidu või liikmesriigi õigusega ette nähtud.

Kui edastamise aluseks ei saa olla artikli 45 või 46 sätted, sealhulgas siduvaid kontsernisiseseid eeskirju käsitlevad sätted, ning kui ükski käesoleva lõike esimese lõigu kohane konkreetseks olukorraks ette nähtud erand ei ole kohaldatav, võib kolmandale riigile või rahvusvahelisele organisatsioonile andmeid edastada üksnes juhul, kui edastamine ei ole korduv, puudutab ainult piiratud arvu andmesubjekte, on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks. Vastutav töötleja teatab edastamisest järelevalveasutusele. Lisaks artiklites 13 ja 14 osutatud teabele teavitab vastutav töötleja andmesubjekte edastamisest ja vastutava töötleja poolt kaitstavatest õigustatud huvidest.

2. Lõike 1 esimese lõigu punkti g kohane edastamine ei hõlma kõiki registris sisalduvaid isikuandmeid ega kõiki isikuandmete liike. Kui register on ette nähtud tutvumiseks õigustatud huviga isikutele, toimub edastamine vaid nende isikute taotlusel või juhul, kui nemad on vastuvõtjad.

3. Lõike 1 esimese lõigu punkte a, b ja c ning lõike 1 teist lõiku ei kohaldata avalikku võimu teostavate riigiasutuste toimingute suhtes.

4. Lõike 1 esimese lõigu punktis d osutatud avalik huvi on tunnustatud liidu õiguses või selle liikmesriigi õiguses, mida vastutava töötaja suhtes kohaldatakse.

5. Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piirangud eri liiki isikuandmete edastamiseks kolmandale riigile või rahvusvahelisele organisatsioonile. Liikmesriigid teatavad sellistest sätetest komisjonile.

6. Vastutav töötleja või volitatud töötleja kannab artiklis 30 osutatud registrisse hindamise ja käesoleva artikli lõike 1 teises lõigus osutatud sobivad kaitsemeetmed.

Artikkel 52

Sõltumatus

1. Järelevalveasutus tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2. Järelevalveasutuse liige või liikmed on oma käesoleva määrusega kooskõlas olevate ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning ei küsi ega võta vastu juhiseid mitte kelleltki.

3. Järelevalveasutuse liige või liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul sobimatul tasustatud või tasustamata ametikohal.

4. Liikmesriik tagab, et järelevalveasutusel oleks inim-, tehnilised ja rahalised ressursid ning ruumid ja infrastruktuur oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.

5. Liikmesriik tagab, et järelevalveasutusel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele.

6. Liikmesriik tagab, et järelevalveasutuse üle teostatakse finantskontrolli, mis ei mõjuta asutuse sõltumatust ning et igal järelevalveasutusel on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest.

Artikkel 53

Järelevalveasutuse liikmetele esitatavad üldtingimused

1. Liikmesriigid tagavad, et nende järelevalveasutuste liikme peab läbipaistva menetluse teel ametisse nimetama kas

—	asjaomase liikmesriigi parlament;

—	asjaomase liikmesriigi valitsus;

—	asjaomase liikmesriigi riigipea või

—	asjaomase liikmesriigi õiguse kohaselt ametisse nimetama volitatud sõltumatu asutus.

2. Igal liikmel on oma kohustuste täitmiseks ja volituste kasutamiseks vajalik kvalifikatsioon, kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.

3. Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või kohustusliku pensionilemineku korral kooskõlas asjaomase liikmesriigi õigusega.

4. Liige vabastatakse ametist ainult tõsise üleastumise korral või juhul, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele.

Artikkel 58

Volitused

1. Järelevalveasutusel on järgmised uurimisvolitused:

a)	anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

b)	viia läbi uurimisi andmekaitseauditi kujul;

c)	vaadata läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

d)	teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

e)	saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, ning

f)	saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja mis tahes ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2. Järelevalveasutusel on järgmised parandusvolitused:

a)	hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)	teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)	anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)	anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

e)	anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

f)	kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

g)	anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

h)	võtta sertifikaat tagasi või anda sertifitseerimisasutusele korraldus võtta tagasi artiklite 42 ja 43 alusel väljastatud sertifikaat või anda sertifitseerimisasutusele korraldus jätta sertifikaat väljastamata, kui sertifitseerimise nõuded ei ole täidetud või ei ole enam täidetud;

i)	määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

j)	anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3. Järelevalveasutusel on järgmised lubavad ja nõuandvad volitused:

a)	nõustada vastutavat töötlejat kooskõlas artiklis 36 osutatud eelneva konsulteerimise menetlusega;

b)	esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele;

c)	anda luba artikli 36 lõikes 5 osutatud töötlemiseks, kui liikmesriigi õigus sellist eelnevat luba nõuab;

d)	esitada arvamus ja kiita heaks toimimisjuhendite kavandid vastavalt artikli 40 lõikele 5;

e)	akrediteerida sertifitseerimisasutused vastavalt artiklile 43;

f)	väljastada sertifikaate ja kiita heaks sertifitseerimise kriteeriumid kooskõlas artikli 42 lõikega 5;

g)	võtta vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud andmekaitse tüüpklauslid;

h)	kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused;

i)	kinnitada artikli 46 lõike 3 punktis b osutatud halduskokkulepped;

j)	kiita heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad.

4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

5. Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.

6. Liikmesriik võib seadusega ette näha, et tema järelevalveasutusel on täiendavad volitused lisaks lõigetes 1, 1b ja 1c osutatud volitustele. Volituste kasutamine ei tohi kahjustada VII peatüki tõhusat toimimist.

Artikkel 60

Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö

1. Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.

2. Juhtiv järelevalveasutus võib teistelt asjaomastelt järelevalveasutustelt igal ajal nõuda artikli 61 kohase vastastikuse abi osutamist ning läbi viia artikli 62 kohaseid ühisoperatsioone, eelkõige uurimiste läbiviimiseks või teises liikmesriigis asuva vastutava töötleja või volitatud töötleja suhtes võetud meetme rakendamise järelevalveks.

3. Juhtiv järelevalveasutus edastab küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele. Ta esitab otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võtab asjakohaselt arvesse nende seisukohti.

4. Kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on käesoleva artikli lõike 3 kohaselt otsuse eelnõu osas konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks artiklis 63 osutatud järjepidevuse mehhanismi raames.

5. Kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse lõikes 4 osutatud menetlust kahe nädala jooksul.

6. Juhul kui ükski teine asjaomane järelevalveasutus ei ole juhtiva järelevalveasutuse esitatud otsuse eelnõule lõigetes 4 ja 5 osutatud tähtaja jooksul vastuväidet esitanud, loetakse, et juhtiv järelevalveasutus ja asjaomased järelevalveasutused on otsuse eelnõus kokkuleppele jõudnud ja see on nende jaoks siduv.

7. Juhtiv järelevalveasutus võtab otsuse vastu ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitab teisi asjaomaseid järelevalveasutusi ja andmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjustest. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.

8. Erandina lõikest 7, juhul kui kaebus jäetakse rahuldamata või lükatakse tagasi, võtab järelevalveasutus, kellele kaebus esitati, otsuse vastu ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat.

9. Kui juhtiv järelevalveasutus ja asjaomased järelevalveasutused nõustuvad, et osa kaebusest jäetakse rahuldamata või lükatakse tagasi ja asjaomase kaebuse teine osa võetakse menetlusse, siis võetakse vastu otsus kaebuse menetletava osa kohta. Juhtiv järelevalveasutus võtab vastu otsuse vastutavat töötlejat puudutavate menetlustega seotud osa kohta ja teeb selle teatavaks oma liikmesriigis asuva vastutava töötleja või volitatud töötleja peamisele või ainsale tegevuskohale ning teavitab sellest kaebuse esitajat, samas kui kaebuse esitaja liikmesriigi järelevalveasutus võtab vastu otsuse asjaomase kaebuse rahuldamata jäetud või tagasi lükatud osa kohta ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat või volitatud töötlejat.

10. Pärast seda, kui juhtiva järelevalveasutuse otsus on lõigete 7 ja 9 kohaselt vastutavale töötlejale või volitatud töötlejale teatavaks tehtud, võtab vastutav töötleja või volitatud töötleja vajalikud meetmed isikuandmete töötlemise toimingute osas tehtud otsuse täitmise tagamiseks kõigis liidus asuvates tegevuskohtades. Vastutav töötleja või volitatud töötleja teavitab otsuse täitmiseks võetud meetmetest juhtivat järelevalveasutust, kes teavitab teisi asjaomaseid järelevalveasutusi.

11. Kui asjaomasel järelevalveasutusel on erandlike asjaolude korral põhjust arvata, et andmesubjektide huvide kaitsmiseks tuleb tegutseda kiiresti, kohaldatakse artiklis 66 osutatud kiirmenetlust.

12. Juhtiv järelevalveasutus ja teised asjaomased järelevalveasutused esitavad kõnealuse artikli alusel nõutava teabe üksteisele elektroonilisel teel, kasutades selleks tüüpvormi.

Artikkel 86

Isikuandmete töötlemine ja üldsuse juurdepääs ametlikele dokumentidele

Avaliku sektori asutus või avaliku sektori organ või erasektori organ võib avalikes huvides oleva ülesande täitmiseks avaldada tema valduses olevates ametlikes dokumentides sisalduvaid isikuandmeid kooskõlas liidu õigusega või kõnealusele avaliku sektori asutusele või organile kohaldatava liikmesriigi õigusega, et ühitada üldsuse juurdepääs sellistele ametlikele dokumentidele ja käesoleva määruse kohane õigus isikuandmete kaitsele.

Artikkel 89

Kaitsemeetmed ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil

1. Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

2. Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

3. Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18, 19, 20 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4. Kui lõigetes 2 ja 3 osutatud töötlemist kasutatakse samal ajal muudel eesmärkidel, võib tehtavaid erandeid kohaldada üksnes nendes lõigetes osutatud eesmärgil tehtavale töötlemisele.

whereas

(10) Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel.
Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus.
Seoses isikuandmete töötlemisega juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks peaks liikmesriikidel olema lubatud säilitada või kehtestada õigusnormid käesoleva määruse eeskirjade kohaldamise täpsustamiseks.
Koostoimes andmekaitset käsitlevate üldiste ja horisontaalsete õigusaktidega, millega rakendatakse direktiivi 95/46/EÜ, on liikmesriikidel mitmeid sektoripõhiseid õigusakte valdkondades, mis vajavad spetsiifilisemaid sätted.
Samuti nähakse käesoleva määrusega liikmesriikidele ette manööverdamisruum oma eeskirjade, sealhulgas isikuandmete eriliikide töötlemise eeskirjade täpsustamiseks.
Sellega seoses ei välista käesolev määrus sellist liikmesriigi õigust, millega määratletakse konkreetsete töötlemisjuhtude asjaolud, sealhulgas määratakse täpsemalt kindlaks tingimused, mille alusel isikuandmete töötlemine on seaduslik.

- = -

(43) Selle tagamiseks, et nõusolek on antud vabatahtlikult, ei tohiks nõusolek anda isikuandmete töötlemiseks kehtivat õiguslikku alust konkreetsel juhul, kui andmesubjekt ja vastutav töötleja on selgelt ebavõrdses olukorras, eriti juhul kui vastutav töötleja on avaliku sektori asutus, ning seega on ebatõenäoline, et nõusolek anti selle konkreetse olukorra kõigi asjaolude puhul vabatahtlikult.
Nõusolekut ei loeta vabatahtlikuks, kui ei ole võimalik anda erinevatele isikuandmete töötlemise toimingutele eraldi nõusolekut, ehkki see on üksikutel juhtudel asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on pandud sõltuma sellisest nõusolekust, ehkki see ei ole lepingu täitmiseks vajalik.

- = -

(45) Kui töödeldakse vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemise alus olema sätestatud liidu või liikmesriigi õigusaktis.
Käesolevas määruses ei nõuta iga üksiku isikuandmete töötlemise toimingu reguleerimiseks eraldi õigusakti.
Piisata võib õigusaktist, mille alusel tehakse mitu isikuandmete töötlemise toimingut vastavalt vastutava töötleja juriidilisele kohustusele või kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks.
Samuti peaks töötlemise eesmärk olema kindlaks määratud liidu või liikmesriigi õigusaktis.
Lisaks võiks nimetatud õigusaktis olla sätestatud käesoleva määruse üldtingimused, millega reguleeritakse isikuandmete töötlemise seaduslikkust, kehtestatakse tingimused vastutava töötleja kindlaksmääramiseks, töötlemisele kuuluvate isikuandmete liik, asjaomased andmesubjektid, üksused, kellele võib andmeid avaldada, eesmärgi piirangud, säilitamise aeg ja muud meetmed seadusliku ja õiglase töötlemise tagamiseks.
See, kas avaliku huvi või avaliku võimu teostamisega seotud ülesannet täitev vastutav töötleja peaks olema avaliku sektori asutus või muu avalik-õiguslik või eraõiguslik füüsiline või juriidiline isik, näiteks kutseliit, tuleks samuti kindlaks määrata liidu õiguses või kui see on avalikust huvist lähtuvalt põhjendatud, sealhulgas tervishoiuga seotud eesmärkidel, nagu rahvatervis ja sotsiaalkaitse ning tervishoiuteenuste juhtimine, siis liikmesriigi õiguses.

- = -

(47) Töötlemise õiguslikuks aluseks võib olla vastutava töötleja (sealhulgas sellise vastutava töötleja, kellele võidakse isikuandmeid avaldada, või kolmanda isiku) õigustatud huvi, tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse andmesubjekti mõistlikke ootusi, mis põhinevad tema suhtel vastutava töötlejaga.
Selline õigustatud huvi võib olemas olla näiteks siis, kui andmesubjekti ja vastutava töötleja vahel on asjakohane ja sobiv suhe, näiteks kui andmesubjekt on vastutava töötleja klient või töötab tema teenistuses.
Igal juhul tuleks õigustatud huvi olemasolu hoolikalt hinnata, sealhulgas seda, kas andmesubjekt võib andmete kogumise ajal ja kontekstis mõistlikkuse piires eeldada, et isikuandmeid võidakse sellel otstarbel töödelda.
Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada edasist töötlemist.
Arvestades, et avaliku sektori asutuste jaoks peab isikuandmete töötlemise õigusliku aluse kehtestama seadusandja õigusaktiga, ei tohiks töötlemise puhul kohaldada sellist õiguslikku alust, mida avaliku sektori asutused teostavad oma ülesannete täitmiseks.
Pettuste vältimiseks rangelt vajalik isikuandmete töötlemine on samuti asjaomase vastutava töötleja õigustatud huvi.
Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.

- = -

(50) Isikuandmete töötlemine muudel eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti.
Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist.
Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu või liikmesriigi õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks.
Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena.
Liidu või liikmesriigis õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks.
Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

- = -

(51) Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada.
Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu.
Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud üksnes biomeetriliste andmete määratlusega, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida.
Selliseid isikuandmeid ei tohiks töödelda, välja arvatud käesolevas määruses sätestatud konkreetsetel juhtudel, kui töötlemine on lubatud, võttes arvesse seda, et liikmesriikide õiguses võib kehtestada konkreetseid andmekaitse-eeskirju, et kohandada käesoleva määruse eeskirjade kohaldamist juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.
Lisaks sellise töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid eeskirju, eelkõige seoses seadusliku töötlemise tingimustega.
Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

- = -

(65) Andmesubjektil peaks olema õigus nõuda teda käsitlevate isikuandmete parandamist ja „õigus olla unustatud“ juhul, kui selliste andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu või liikmesriigi õigust.
Andmesubjektil peaks olema õigus oma isikuandmete kustutamisele ja nende töötlemise lõpetamisele eelkõige siis, kui isikuandmed ei ole enam vajalikud eesmärkidel, mille jaoks need koguti või neid muul viisil töödeldi, kui andmesubjekt on töötlemisele antud nõusoleku tagasi võtnud või kui ta on vastu oma isikuandmete töötlemisele või kui nende isikuandmete töötlemine muul viisil ei vasta käesoleva määruse nõuetele.
Kõnealune õigus on asjakohane eelkõige siis, kui andmesubjekt andis nõusoleku lapsena, olemata täielikult teadlik töötlemisega kaasnevatest ohtudest, ja hiljem soovib need isikuandmed eelkõige internetist kustutada.
Andmesubjektil peaks olema võimalik seda õigust kasutada, vaatamata sellele, et ta ei ole enam laps.
isikuandmete jätkuv säilitamine peaks olema seaduslik aga juhul, kui see on vajalik sõna- ja teabevabaduse kasutamiseks, juriidilise kohustuse täitmiseks, avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, rahvatervise valdkonna avalikes huvides, avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.

- = -

(68) Selleks et veelgi tugevdada kontrolli oma andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada neid teisele vastutavale töötlejale.
Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust.
See õigus peaks olema kasutatav juhul, kui andmesubjekt esitas isikuandmed omaenda nõusoleku alusel või kui töötlemine on vajalik lepingu täitmiseks.
See nõue ei peaks olema kohaldatav, kui töötlemine põhineb muul õiguslikul alusel kui nõusolek või leping.
Seda õigust ei tohiks selle laadi tõttu kasutada vastutavate töötlejate suhtes, kes töötlevad isikuandmeid oma avalike kohustuste täitmisel.
Seda ei tuleks seega kohaldada eelkõige siis, kui isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu kasutamiseks.
Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme.
Kui teatud isikuandmed puudutavad enam kui üht andmesubjekti, ei tohiks isikuandmete saamise õigus piirata teiste andmesubjektide käesoleva määruse kohaseid õigusi ja vabadusi.
Lisaks ei tohiks see õigus piirata andmesubjekti käesoleva määruse kohast õigust nõuda oma isikuandmete kustutamist ja selle õiguse piiranguid ning ei tohiks eelkõige tähendada andmesubjekti poolt lepingu täitmiseks esitatud teda käsitlevate isikuandmete kustutamist sel määral ja nii kaua, kui isikuandmed on vajalikud selle lepingu täitmiseks.
Kui see on tehniliselt teostatav, peaks andmesubjektil olema õigus sellele, et isikuandmed edastatakse otse ühelt vastutavalt töötlejalt teisele.

- = -

(69) Kui isikuandmeid võidakse seaduslikult töödelda sellepärast, et töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või seoses vastutava töötleja või kolmanda isiku õigustatud huviga, peaks andmesubjektil olema ikkagi õigus tema konkreetse olukorraga seotud isikuandmete töötlemine vaidlustada.
Vastutav töötleja peaks tõendama, et tema mõjuvad õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

- = -

(71) Andmesubjektil peaks olema õigus sellele, et tema suhtes ei tehta üksnes andmete automatiseeritud töötlemisele toetuvat isiklike aspektide hindamisel põhinevat ja meedet sisaldada võivat otsust, millel on teda puudutavad õiguslikud tagajärjed või mis avaldab talle samamoodi märkimisväärset mõju, nagu veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta.
Selline töötlemine hõlmab igasuguses isikuandmete automatiseeritud töötlemises seisnevat profiilianalüüsi, mille käigus hinnatakse füüsilise isikuga seotud isiklikke aspekte, mille eesmärk on eelkõige selliste aspektide analüüsimine ja prognoosimine, mis on seotud töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega, kui see toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle samamoodi märkimisväärset mõju.
Sellisel töötlemisel, sealhulgas profiilianalüüsil põhinev otsuste tegemine peaks aga olema lubatud siis, kui see on sõnaselgelt lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, sealhulgas pettuste ja maksudest kõrvalehoidumise järelevalve ja ennetamise eesmärkidel, mida teostatakse vastavalt liidu institutsioonide või riiklike järelevalveasutuste normidele, standarditele ja soovitustele, ning vastutava töötleja osutatava teenuse turvalisuse ja usaldusväärsuse tagamiseks, või kui see on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu sõlmimiseks või täitmiseks või siis, kui andmesubjekt on andnud selleks oma selgesõnalise nõusoleku.
Igal juhul tuleks sellise töötlemise korral kehtestada sobivaid kaitsemeetmeid, mis peaksid hõlmama andmesubjektile konkreetse teabe andmist ja õigust otsesele isiklikule kontaktile, õigust väljendada oma seisukohta, õigust saada selgitust otsuse kohta, mis tehti pärast sellist hindamist, ning õigust seda otsust vaidlustada.
Selline meede ei tohiks puudutada last.

- = -

(78) Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete täitmine.
Selleks et olla võimeline tõendama käesoleva määruse täitmist, peaks vastutav töötleja võtma vastu sise-eeskirjad ja rakendama meetmeid, mis vastavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele.
Sellised meetmed võivad koosneda muu hulgas isikuandmete töötlemise miinimumini viimisest, isikuandmete võimalikult kiirest pseudonümiseerimisest, läbipaistvusest seoses isikuandmete eesmärgi ja töötlemisega, andmesubjektile andmete töötlemise jälgimise võimaluse andmisest, vastutavale töötlejale võimaluse andmisest luua ja parandada turvameetmeid.
Selliste rakenduste, teenuste ja toodete väljatöötamisel, kavandamisel, valimisel ja kasutamisel, mis põhinevad isikuandmete töötlemisel või mille käigus töödeldakse isikuandmeid nende ülesannete täitmiseks, tuleks nende toodete, teenuste ja rakenduste tootjaid innustada võtma selliste toodete, teenuste ja rakenduste väljatöötamisel ja kavandamisel arvesse õigust andmekaitsele ning tagama asjakohaselt teaduse ja tehnoloogia viimast arengut arvestades, et vastutavad töötlejad ja volitatud töötlejad saaksid täita oma andmekaitsealaseid kohustusi.
Riigihangete kontekstis tuleks samuti võtta arvesse lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid.

- = -

(120) Igale järelevalveasutusele tuleks anda rahalised ja inimressursid, ruumid ja infrastruktuur, mis on vajalikud nende ülesannete, sealhulgas kogu liidus teiste järelevalveasutustega tehtava koostöö ja vastastikuse abiga seotud ülesannete täitmiseks.
Igal järelevalveasutusel peaks olema eraldi avalik aastaeelarve, mis võib olla regiooni või riigi üldeelarve osa.

- = -

(139) Käesoleva määruse ühtse kohaldamise huvides tuleks luua andmekaitsenõukogu sõltumatu liidu ametina.
Oma eesmärkide täitmiseks peaks andmekaitsenõukogul olema juriidilise isiku staatus.
Andmekaitsenõukogu peaks esindama selle eesistuja.
Andmekaitsenõukogu peaks asendama direktiivi 95/46/EÜ alusel loodud töörühma füüsiliste isikute kaitseks seoses isikuandmete töötlemisega.
Sinna peaksid kuuluma liikmesriigi järelevalveasutuse juht ja Euroopa andmekaitseinspektor või nende vastavad esindajad.
Komisjon peaks osalema andmekaitsenõukogu tegevuses ilma hääleõiguseta ja Euroopa andmekaitseinspektoril peaks olema kindlaksmääratud hääleõigus.
Andmekaitsenõukogu peaks aitama kaasa käesoleva määruse ühtsele kohaldamisele kogu liidus, sealhulgas nõustades komisjoni, eelkõige seoses kolmandate riikide või rahvusvaheliste organisatsioonide isikuandmete kaitse tasemega, ning edendades järelevalveasutuste koostööd kogu liidus.
Andmekaitsenõukogu peaks täitma oma ülesandeid sõltumatult.

- = -

dal 2004 diritto e informatica