interactive GDPR 2016/0679 ET

1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva määruse nõudeid ja kaitsta andmesubjektide õigusi.

2. Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta määramata füüsiliste isikute ringile kättesaadavaks.

3. Käesoleva artikli lõigetes 1 ja 2 sätestatud nõuete järgimise tõendamise elemendina võib kasutada artikli 42 kohast heakskiidetud sertifitseerimismehhanismi.

Artikkel 32

Töötlemise turvalisus

1. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning arvestades isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohte füüsiliste isikute õigustele ja vabadustele, rakendavad vastutav töötleja ja volitatud töötleja ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, hõlmates muu hulgas vastavalt vajadusele järgmist:

a)	isikuandmete pseudonümiseerimine ja krüpteerimine;

b)	võime tagada isikuandmeid töötlevate süsteemide ja teenuste kestev konfidentsiaalsus, terviklus, kättesaadavus ja vastupidavus;

c)	võime taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral;

d)	tehniliste ja korralduslike meetmete tõhususe korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

2. Vajaliku turvalisuse taseme hindamisel võetakse eelkõige arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

3. Käesoleva artikli lõikes 1 osutatud nõuete järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

4. Vastutav töötleja ja volitatud töötleja võtavad meetmeid selleks, et tagada, et vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, töötlevad isikuandmeid ainult vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.

Artikkel 45

Edastamine kaitse piisavuse otsuse alusel

1. Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.

2. Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ning andmesubjektide tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja nende täitmise tagamise eest, sealhulgas piisavate täitmise tagamise volituste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

3. Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Kõnealune rakendusakt võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

4. Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada käesoleva artikli lõike 3 kohaselt vastu võetud otsuste ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsuste toimimist.

5. Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon vastu otsuse, et kolmas riik, territoorium või nimetatud riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab rakendusaktidega käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.

6. Komisjon alustab asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.

7. Käesoleva artikli lõike 5 kohane otsus ei mõjuta artiklite 46–49 kohaseid isikuandmete edastamisi kõnealusele kolmandale riigile, territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.

8. Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil kolmandate riikide, territooriumide, kolmanda riigi kindlaksmääratud sektorite ja rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.

9. Otsused, mille komisjon on vastu võtnud direktiivi 95/46/EÜ artikli 25 lõike 6 alusel, jäävad jõusse, kuni neid käesoleva artikli lõike 3 või 5 kohaselt vastu võetud komisjoni otsusega muudetakse, need asendatakse või kehtetuks tunnistatakse.

Artikkel 46

Edastamine asjakohaste kaitsemeetmete kohaldamisel

1. Artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.

2. Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha

a)	õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

b)	siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47;

c)	komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

d)	järelevalveasutuse poolt vastu võetud ja komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

e)	artikli 40 kohase heakskiidetud toimimisjuhendiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas, või

f)	artikli 42 kohase heakskiidetud sertifitseerimismehhanismiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas.

3. Pädeva järelevalveasutuse loal võib lõikes 1 osutatud asjakohased kaitsemeetmed sätestada ka eelkõige

a)	vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

b)	sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

4. Käesoleva artikli lõikes 3 osutatud juhtudel kohaldab järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi.

5. Liikmesriigi või järelevalveasutuse poolt direktiivi 95/46/EÜ artikli 26 lõike 2 alusel antud load jäävad kehtima, kuni järelevalveasutus neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab. Otsused, mille komisjon on vastu võtnud vastavalt direktiivi 95/46/EÜ artikli 26 lõikele 4, jäävad jõusse, kuni neid käesoleva artikli lõike 2 kohaselt vastu võetud komisjoni otsusega vajaduse korral muudetakse, need asendatakse või kehtetuks tunnistatakse.

Artikkel 50

Isikuandmete kaitseks tehtav rahvusvaheline koostöö

Komisjon ja järelevalveasutused võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et

a)	töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusa täitmise tagamist;

b)	osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitsemeetmeid ning muid põhiõigusi ja -vabadusi;

c)	kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;

d)	edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvuse osas valitsevate lahkarvamuste küsimuses.

VI PEATÜKK

Sõltumatud järelevalveasutused

1. jagu

Sõltumatus

Artikkel 52

Sõltumatus

1. Järelevalveasutus tegutseb talle käesoleva määrusega kooskõlas antud ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.

2. Järelevalveasutuse liige või liikmed on oma käesoleva määrusega kooskõlas olevate ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning ei küsi ega võta vastu juhiseid mitte kelleltki.

3. Järelevalveasutuse liige või liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul sobimatul tasustatud või tasustamata ametikohal.

4. Liikmesriik tagab, et järelevalveasutusel oleks inim-, tehnilised ja rahalised ressursid ning ruumid ja infrastruktuur oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.

5. Liikmesriik tagab, et järelevalveasutusel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele.

6. Liikmesriik tagab, et järelevalveasutuse üle teostatakse finantskontrolli, mis ei mõjuta asutuse sõltumatust ning et igal järelevalveasutusel on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest.

Artikkel 58

Volitused

1. Järelevalveasutusel on järgmised uurimisvolitused:

a)	anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

b)	viia läbi uurimisi andmekaitseauditi kujul;

c)	vaadata läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

d)	teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

e)	saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, ning

f)	saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja mis tahes ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2. Järelevalveasutusel on järgmised parandusvolitused:

a)	hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)	teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)	anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)	anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

e)	anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

f)	kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

g)	anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

h)	võtta sertifikaat tagasi või anda sertifitseerimisasutusele korraldus võtta tagasi artiklite 42 ja 43 alusel väljastatud sertifikaat või anda sertifitseerimisasutusele korraldus jätta sertifikaat väljastamata, kui sertifitseerimise nõuded ei ole täidetud või ei ole enam täidetud;

i)	määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

j)	anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3. Järelevalveasutusel on järgmised lubavad ja nõuandvad volitused:

a)	nõustada vastutavat töötlejat kooskõlas artiklis 36 osutatud eelneva konsulteerimise menetlusega;

b)	esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele;

c)	anda luba artikli 36 lõikes 5 osutatud töötlemiseks, kui liikmesriigi õigus sellist eelnevat luba nõuab;

d)	esitada arvamus ja kiita heaks toimimisjuhendite kavandid vastavalt artikli 40 lõikele 5;

e)	akrediteerida sertifitseerimisasutused vastavalt artiklile 43;

f)	väljastada sertifikaate ja kiita heaks sertifitseerimise kriteeriumid kooskõlas artikli 42 lõikega 5;

g)	võtta vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud andmekaitse tüüpklauslid;

h)	kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused;

i)	kinnitada artikli 46 lõike 3 punktis b osutatud halduskokkulepped;

j)	kiita heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad.

4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

5. Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.

6. Liikmesriik võib seadusega ette näha, et tema järelevalveasutusel on täiendavad volitused lisaks lõigetes 1, 1b ja 1c osutatud volitustele. Volituste kasutamine ei tohi kahjustada VII peatüki tõhusat toimimist.

Artikkel 61

Vastastikune abi

1. Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.

2. Järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise läbiviimise kohta.

3. Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatavat teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.

4. Taotluse saanud järelevalveasutus ei või abitaotluse täitmisest keelduda, välja arvatud juhul, kui

a)	ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või

b)	taotluse täitmine rikuks käesolevat määrust või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigusega.

5. Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse rahuldamisest keeldumise põhjendused vastavalt lõikele 4.

6. Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe reeglina elektroonilisel teel, kasutades selleks tüüpvormi.

7. Taotluse saanud järelevalveasutused vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta. Järelevalveasutused võivad kokku leppida eeskirjades, mille kohaselt nad hüvitavad üksteisele vastastikuse abi osutamisel erandjuhtudel tekkivad konkreetsed kulud.

8. Kui järelevalveasutus ei esita käesoleva artikli lõikes 5 osutatud teavet ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, võib taotluse esitanud järelevalveasutus võtta oma liikmesriigi territooriumil kooskõlas artikli 55 lõikega 1 vastu ajutise meetme. Sellisel juhul loetakse, et täidetud on artikli 66 lõike 1 kohane kiireloomulise tegutsemise vajadus ning andmekaitsenõukogu peab kiiresti vastu võtma artikli 66 lõike 2 kohase siduva otsuse.

9. Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige käesoleva artikli lõikes 6 osutatud tüüpvormi. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 70

Andmekaitsenõukogu ülesanded

1. Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)	jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)	nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)	nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)	annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)	vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)	koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)	jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)	ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)	täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)	esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)	esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)	esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)	edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)	edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)	edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)	esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)	peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2. Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3. Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4. Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

Artikkel 78

Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu

1. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.

2. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artiklite 55 ja 56 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 77 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.

3. Järelevalveasutuse vastu algatatakse menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub.

4. Kui menetlus algatatakse järelevalveasutuse otsuse vastu, millele eelnes järjepidevuse mehhanismi kohane andmekaitsenõukogu arvamus või otsus, edastab järelevalveasutus selle arvamuse või otsuse kohtule.

Artikkel 79

Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu

1. Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.

2. Vastutava töötleja või volitatud töötleja vastu algatatakse menetlus selle liikmesriigi kohtus, kus vastutav töötleja või volitatud töötleja asub. Menetluse võib algatada ka selle liikmesriigi kohtus, kus asub andmesubjekti alaline elukoht, välja arvatud juhul, kui vastutav töötleja või volitatud töötleja on liikmesriigi avalikku võimu teostav avaliku sektori asutus.

Artikkel 82

Õigus hüvitisele ja vastutus

1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.

3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

4. Kui sama töötlemisega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja või nii vastutav kui ka volitatud töötleja ning nad on lõigete 2 ja 3 kohaselt vastutavad töötlemisega tekitatud kahju eest, võetakse vastutav töötleja või volitatud töötleja vastutusele kogu kahju eest, et tagada andmesubjektile tõhus hüvitamine.

5. Kui vastutav töötleja või volitatud töötleja on tekitatud kahju kooskõlas lõikega 4 täielikult hüvitanud, on sellel vastutaval töötlejal või volitatud töötlejal õigus nõuda teistelt sama töötlemisega seotud vastutavatelt või volitatud töötlejatelt tagasi see hüvitise osa, mis vastab lõikes 2 sätestatud tingimuste kohaselt sellele osale kahjust, mille eest nemad vastutavad.

6. Kohtumenetlus hüvitise saamise õiguse kasutamiseks algatatakse artikli 79 lõikes 2 osutatud liikmesriigi õiguse kohaselt pädevas kohtus.

Artikkel 83

Trahvide määramise üldtingimused

1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2. Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)	rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)	kas rikkumine pandi toime tahtlikult või hooletusest;

c)	vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)	vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)	vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)	järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)	rikkumisest mõjutatud isikuandmete liigid;

h)	millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)	kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)	artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)	juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)	sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)	järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

5. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)	andmesubjektide õigused artiklite 12–22 alusel;

c)	isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)	mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)	järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

6. Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7. Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8. Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

9. Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja järelevalveasutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul on määratavad trahvid tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni oma käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 84

Karistused

1. Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.

2. Liikmesriik teavitab komisjoni hiljemalt 25. maiks 2018 vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist neid õigusnorme mõjutavatest muudatustest.

IX PEATÜKK

Isikuandmete töötlemise eriolukordi käsitlevad sätted

whereas

(4) Isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele.
Käesolevas määruses austatakse kõiki põhiõigusi ning peetakse kinni aluslepingutes sätestatud ja hartas tunnustatud põhimõtetest, eelkõige õigusest era- ja perekonnaelu, kodu ja edastatavate sõnumite saladuse austamisele, isikuandmete kaitsest, mõtte-, südametunnistuse- ja usuvabadusest, sõna- ja teabevabadusest, ettevõtlusvabadusest, õigusest tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuurilisele, usulisele ja keelelisele mitmekesisusele.

- = -

(7) Nende muudatuste tõttu on liidus vaja tugevat ja ühtsemat andmekaitseraamistikku ning selle täitmise tõhusat tagamist, kuna tähtis on luua usaldus, mis võimaldab digitaalsel majandusel areneda kogu siseturu ulatuses.
Füüsiliste isikutel peaks olema kontroll oma isikuandmete üle ning tugevdada tuleks õigus- ja tegelikku kindlust füüsiliste isikute, ettevõtjate ja avaliku sektori asutuste seisukohast.

- = -

(11) tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.

- = -

(13) Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö.
Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel.
Et võtta arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erilist olukorda, on käesolevas määruses ette nähtud erand andmete kogumisele kuni 250 töötajaga ettevõtete poolt.
Lisaks kutsutakse liidu institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse kohaldamisel arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.
Mikro-, väikeste ja keskmise suurusega ettevõtjate määratlus peaks tuginema komisjoni soovituse 2003/361/EÜ (5) lisa artiklile 2.

- = -

(74) Tuleks kehtestada vastutava töötleja vastutus tema poolt ja tema nimel toimuva isikuandmete mis tahes töötlemise eest.
Eelkõige peaks vastutav töötleja olema kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning olema võimeline tõendama isikuandmete töötlemise toimingute kooskõla käesoleva määrusega, sealhulgas meetmete tõhusust.
Nende meetmete puhul tuleks arvestada töötlemise laadi, ulatust, konteksti ja eesmärke ning ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(88) Isikuandmetega seotud rikkumisest teatamise vormide ja menetluste kohta üksikasjalike eeskirjade koostamisel tuleks nõuetekohaselt arvesse võtta ka nimetatud rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid või ei olnud kaitstud asjakohaste tehnoloogilise kaitse meetmetega, mis vähendab tõhusalt identiteedipettuse või muu väärkasutuse tõenäosust.
Lisaks tuleks sellistes eeskirjades ja menetlustes arvesse võtta õiguskaitseasutuste õigustatud huve juhtudel, kui varajane avalikustamine võib tarbetult takistada isikuandmetega seotud rikkumise asjaolude uurimist.

- = -

(89) Direktiivis 95/46/EÜ nähti ette üldine kohustus teatada isikuandmete töötlemisest järelevalveasutustele.
Kõnealune kohustus põhjustab haldus- ja finantskoormust, kuid ei ole alati aidanud parandada isikuandmete kaitset.
Seega tuleks selline valimatu üldise teatamise kohustus kaotada ning asendada tõhusate menetluste ja mehhanismidega, mille raames keskendutakse hoopis neile isikuandmete töötlemise toimingute liikidele, mis kujutavad oma laadi, ulatuse, konteksti ja eesmärkide poolest tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.
Sellised isikuandmete töötlemise toimingute liigid võivad olla need, mis hõlmavad eelkõige uue tehnoloogia kasutamist või on uut tüüpi ning mille puhul vastutav töötleja ei ole varem andmekaitsealast mõjuhinnangut teostanud või kus toimingud muutuvad vajalikuks seoses esmasest töötlemisest möödunud ajaga.

- = -

(98) Vastutavate töötlejate ja volitatud töötlejate eri kategooriaid esindavaid ühendusi ja muid asutusi tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse teatavates sektorites toimuva töötlemise eriomadusi ning mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.
Eelkõige võiks selliste toimimisjuhenditega kindlaks määrata vastutavate töötlejate ja volitatud töötlejate kohustused, võttes arvesse isikuandmete töötlemisest tõenäoliselt tekkivat ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(104) Kooskõlas põhiväärtustega, millele liit on rajatud, eelkõige inimõiguste kaitsmisega, peaks komisjon kolmanda riigi või territooriumi või kindlaksmääratud sektori hindamisel arvesse võtma seda, kuidas konkreetne kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest ning oma üldistest ja valdkondlikest õigusaktidest, sealhulgas õigusaktidest, mis käsitlevad avalikku julgeolekut, riigikaitset ja riiklikku julgeolekut, samuti avalikku korda ja kriminaalõigust.
Võttes vastu kaitse piisavuse otsust seoses territooriumi või kindlaksmääratud sektoriga kolmandas riigis, tuleks arvesse võtta selgeid ja objektiivseid kriteeriume, näiteks konkreetseid isikuandmete töötlemise toiminguid ja kohaldatavate õigusnormide kohaldamisala ning kolmandas riigis kehtivaid õigusakte.
Kolmas riik peaks võtma kohustusi, millega tagatakse piisav kaitse tase, mis sisuliselt vastab liidus tagatava kaitse tasemele, eelkõige juhul, kui isikuandmeid töödeldakse ühes või mitmes konkreetses sektoris.
Eelkõige peaks kolmas riik tagama andmete kaitse tõhusa ja sõltumatu järelevalve ja nägema ette liikmesriikide andmekaitseasutustega tehtava koostöö mehhanismid, samuti tuleks andmesubjektidele tagada tõhusad ja kohtulikult kaitstavad õigused ning tõhus haldus- ja õiguskaitse.

- = -

(108) Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega.
Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad kontsernisisesed eeskirjad, komisjoni vastu võetud standardsed andmekaitseklauslid, järelevalveasutuse vastu võetud standardsed andmekaitseklauslid või järelevalveasutuse heaks kiidetud lepingu tüüptingimused.
Need kaitsemeetmed peaksid tagama liidu siseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis.
Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele.
Andmeid võivad edastada ka avaliku sektori asutused või organid koos kolmandate riikide avaliku sektori asutuste või organitega või rahvusvaheliste organisatsioonidega, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, nähes ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele.
Pädeva järelevalveasutuse luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

- = -

(114) Igal juhul, kui komisjon ei ole teinud otsust kolmanda riigi andmekaitse taseme piisavuse kohta, peaks vastutav töötleja või volitatud töötleja kasutama lahendusi, millega antakse andmesubjektidele neid puudutava töötlemise korral liidus kohtulikult kaitstavad ja tõhusad õigused pärast selliste andmete edastamist, nii et neil on jätkuvalt samad põhiõigused ja nende suhtes kohaldatakse samu kaitsemeetmeid.

- = -

(119) Kui liikmesriik loob mitu järelevalveasutust, peaks ta seadusega kehtestama mehhanismid, millega tagatakse nende järelevalveasutuste tõhus osalemine järjepidevuse mehhanismis.
Eelkõige peaks kõnealune liikmesriik määrama järelevalveasutuse, kes tegutseb keskse kontaktpunktina nende asutuste tõhusaks osalemiseks mehhanismis, et tagada kiire ja takistusteta koostöö teiste järelevalveasutustega, andmekaitsenõukogu ja komisjoniga.

- = -

(127) Järelevalveasutus, kes ei tegutse juhtiva järelevalveasutusena, peaks olema pädev käsitlema kohalikke juhtumeid, kui vastutava töötleja või volitatud töötleja tegevuskoht asub rohkem kui ühes liikmesriigis, kuid konkreetne töötlemine puudutab ainult ühes liikmesriigis toimuvat töötlemist ja hõlmab ainult selles ühes liikmesriigis asuvaid andmesubjekte, näiteks kui tegemist on töötajate isikuandmete töötlemisega asjaomase liikmesriigi konkreetses töösuhete kontekstis.
Sellistel juhtudel peaks järelevalveasutus teavitama juhtivat järelevalveasutust viivitamata sellest küsimusest.
Pärast teavituse saamist peaks juhtiv järelevalveasutus otsustama, kas ta tegeleb juhtumiga vastavalt juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vahelist koostööd käsitlevatele sätetele („ühtse kontaktpunkti mehhanism“) või peaks juhtumiga tegelema teda teavitanud järelevalveasutus kohalikul tasandil.
Selle üle otsustamisel, kas ta tegeleb juhtumiga, peaks juhtiv järelevalveasutus arvesse võtma seda, kas teda teavitanud järelevalveasutuse liikmesriigis on vastutava töötleja või volitatud töötleja tegevuskoht, et tagada vastutava töötleja või volitatud töötleja suhtes tehtud otsuse tõhus täitmine.
Kui juhtiv järelevalveasutus otsustab juhtumiga tegeleda, peaks teda teavitanud järelevalveasutusel olema võimalik esitada otsuse eelnõu, mida juhtiv järelevalveasutus peaks oma ühtse kontaktpunkti mehhanismi raames tehtava otsuse ettevalmistamisel täiel määral arvesse võtma.

- = -

(129) Selleks et tagada kogu liidus ühtlane järelevalve käesoleva määruse üle ja selle ühtlane täitmine, peaksid järelevalveasutustel olema kõikides liikmesriikides samad ülesanded ja tõhusad volitused, sealhulgas uurimis-, parandus- ja karistuste kehtestamise volitused ning loaandmis- ja nõuandvad volitused, eelkõige füüsiliste isikute esitatud kaebuste puhul, ning ilma et see piiraks süüdistuse ettevalmistamise eest vastutava asutuse liikmesriigi õiguse kohaseid volitusi, õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ja volitused osaleda kohtumenetlustes.
Need volitused peaksid hõlmama ka õigust kehtestada ajutine või alaline töötlemispiirang, sealhulgas töötlemiskeeld.
Liikmesriigid võivad kindlaks määrata muud käesoleva määruse kohased isikuandmete kaitsega seotud ülesanded.
Järelevalveasutuste volitusi tuleks kasutada kooskõlas liidu ja liikmesriikide õiguses sätestatud asjakohaste menetluslike kaitsemeetmetega ning erapooletult, õiglaselt ja mõistliku aja jooksul.
Eelkõige peaks meede olema asjakohane, vajalik ja proportsionaalne käesoleva määruse järgimise tagamise seisukohast, võttes arvesse iga üksikjuhtumi asjaolusid; austama isiku õigust ärakuulamisele, enne kui teda kahjustada võiv meede vastu võetakse, ning vältima liigseid kulusid ja liigseid ebamugavusi asjaomastele isikutele.
Ruumidele juurdepääsuga seotud uurimisvolitusi tuleks kasutada kooskõlas liikmesriigi menetlusõiguses kehtestatud konkreetsete nõuetega, nagu kohtu eelneva loa hankimise nõue.
Järelevalveasutuse õiguslikult siduv meede peaks olema esitatud kirjalikult, olema selge ja ühemõtteline, selles peaks olema märgitud meetme esitanud järelevalveasutus ja meetme esitamise kuupäev ning järelevalveasutuse juhi või tema poolt volitatud liikme allkiri, selles tuleks esitada meetme põhjused ning osutada õigusele tõhusale õiguskaitsevahendile.
See ei tohiks välistada liikmesriigi menetlusnormidest tulenevaid täiendavaid nõudeid.
Selliste õiguslikult siduvate otsuste vastuvõtmine viitab võimalusele, et see võib otsuse vastu võtnud järelevalveasutuse liikmesriigis tuua kaasa kohtuliku kontrolli.

- = -

(141) Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, ja õigus tõhusale õiguskaitsevahendile kooskõlas harta artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks.
Kaebuse esitamisele järgnev uurimine peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle tulemust peaks olema võimalik kohtulikult kontrollida.
Järelevalveasutus peaks teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja jooksul.
Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise järelevalveasutusega, tuleks sellest teatada andmesubjektile.
Järelevalveasutus peaks võtma meetmed kaebuste esitamise lihtsustamiseks, koostades näiteks kaebuste esitamiseks ka elektrooniliselt täidetava vormi, ilma muude sidevahendite kasutamist välistamata.

- = -

(142) Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel järelevalveasutusele kaebust või kasutama andmesubjektide nimel õigust õiguskaitsevahendile või kasutama andmesubjektide nimel õigust saada hüvitist, kui hüvitis on asjaomase liikmesriigi õiguses ette nähtud.
Liikmesriigid võivad sätestada, et sellisel asutusel, organisatsioonil või ühingul oleks õigus esitada andmesubjekti poolsest volitamisest sõltumata sellises liikmesriigis kaebus ja tal peaks olema õigus tõhusale õiguskaitsevahendile, kui tal on põhjust arvata, et andmesubjekti õigusi on rikutud isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.
Sellisele asutusele, organisatsioonile või ühingule ei või anda õigust nõuda andmesubjekti nimel hüvitist, kui andmesubjekt ei ole selleks volitust andnud.

- = -

(143) Igal füüsilisel või juriidilisel isikul on õigus esitada Euroopa Kohtule andmekaitsenõukogu otsuste tühistamiseks hagi ELi toimimise lepingu artiklis 263 sätestatud tingimustel.
Kui selliste otsuste adressaadiks olevad asjaomased järelevalveasutused soovivad esitada hagi otsuste tühistamiseks, peavad nad tegema seda kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates sellest, kui otsused neile teatavaks tehti.
Kui andmekaitsenõukogu otsused puudutavad otseselt ja isiklikult vastutavat töötlejat, volitatud töötlejat või kaebuse esitajat, võivad nad esitada hagi selliste otsuste tühistamiseks kooskõlas ELi toimimise lepingu artikliga 263 kahe kuu jooksul alates asjaomaste otsuste avaldamisest andmekaitsenõukogu veebisaidil.
Ilma et see piiraks seda ELi toimimise lepingu artiklist 263 tulenevat õigust, peaks igal füüsilisel või juriidilisel isikul olema õigus pöörduda liikmesriigi pädeva kohtu poole tõhusa õiguskaitsevahendi saamiseks järelevalveasutuse otsuse vastu, millel on selle isiku suhtes õiguslikud tagajärjed.
Selline otsus on eelkõige seotud järelevalveasutuse uurimis-, parandus- ja loaandmisvolitustega või kaebuste rahuldamata jätmise või tagasilükkamisega. Õigus tõhusale õiguskaitsevahendile ei hõlma siiski järelevalveasutuste õiguslikult mittesiduvaid meetmeid, näiteks järelevalveasutuse esitatud arvamusi või nõuandeid.
Järelevalveasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus järelevalveasutus asub, ning see tuleks viia läbi kooskõlas asjaomase liikmesriigi menetlusõigusega.
Nendel kohtutel peaks olema täielik pädevus, mis peaks hõlmama pädevust vaadata läbi kõik arutatava kohtuasja seisukohast asjakohased faktilised ja õiguslikud asjaolud.

- = -

(146) Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas.
Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav.
Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke.
See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid.
Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju.
Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.
Kui vastutavad töötlejad või volitatud töötlejad on seotud sama töötlemisega, tuleks vastutav töötleja või volitatud töötleja võtta vastutusele kogu kahju eest.
Ent kui nad on kooskõlas liikmesriigi õigusega ühendatud sama kohtumenetlusega, võib hüvitamise jagada vastavalt vastutava töötleja või volitatud töötleja vastutusele töötlemisel tekitatud kahju eest, tingimusel et tagatud on andmesubjekti kantud kahju täielik ja tõhus hüvitamine.
Vastutav töötleja või volitatud töötleja, kes on maksnud täieliku hüvitise, võib hiljem algatada regressihagi teiste sama töötlemisega seotud vastutavate töötlejate või volitatud töötlejate vastu.

- = -

(148) Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve lisaks käesoleva määruse kohaselt järelevalveasutuse poolt kehtestatud asjakohastele meetmetele või nende asemel.
Väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, võib trahvi asemel teha noomituse.
Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele.
Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetlust.

- = -

(151) Taani ja Eesti õigussüsteem ei võimalda määrata trahve käesolevas määruses sätestatu kohaselt.
Trahve käsitlevaid eeskirju saab kohaldada selliselt, et Taanis määrab trahvi pädev riiklik kohus kriminaalkaristusena ning Eestis määrab trahvi järelevalveasutus väärteomenetluse raames, tingimusel et eeskirjade sellisel kohaldamisel nimetatud liikmesriikides on samaväärne toime nagu järelevalveasutuste määratud trahvidel.
Sellepärast peaksid pädevad riiklikud kohtud võtma arvesse trahvi algatava järelevalveasutuse soovitust.
Igal juhul peaksid määratavad trahvid olema tõhusad, proportsionaalsed ja heidutavad.

- = -

(152) Kui käesolevas määruses ei ühtlustata väärteokaristusi või vajaduse korral muudel juhtudel, näiteks määruse tõsise rikkumise puhul, peaksid liikmesriigid rakendama süsteemi, mis näeb ette tõhusad, proportsionaalsed ja heidutavad karistused.
Selliste karistuste laad, kriminaal- või väärteokaristus, tuleks kindlaks määrata liikmesriigi õigusega.

- = -

(157) Registritest saadava teabe sidumise teel võivad teadlased saada uusi väärtuslikke teadmisi näiteks selliste laialtlevinud terviseseisundite kohta nagu südame-veresoonkonna haigused, vähk ja depressioon jne.
Registrite alusel saab uuringutulemusi parendada, kuna need saadakse suuremast valimist.
Sotsiaalteaduste valdkonnas võimaldavad registritel põhinevad teadusuuringud teadlastel saada olulisi teadmisi paljude sotsiaalsete tingimuste nagu näiteks töötus, ja haridus pikaajalisest vastavusest muude elutingimustega.
Registrite alusel saadud uuringutulemused annavad usaldusväärseid ja kvaliteetseid teadmisi, mis võivad olla aluseks teadmistepõhise poliitika sõnastamisele ja rakendamisele, parandada paljude inimeste elukvaliteeti ja suurendada sotsiaalteenuste tõhusust.
Teadusuuringute hõlbustamiseks võib isikuandmeid töödelda teadusuuringute eesmärgil, mille suhtes kohaldatakse asjakohaseid tingimusi ja kaitsemeetmeid, mis on sätestatud liidu või liikmesriigi õiguses.

- = -

dal 2004 diritto e informatica