interactive GDPR 2016/0679 ET

1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2. Käesolevat määrust ei kohaldata, kui

a)	isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;

b)	liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;

c)	isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus;

d)	isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.

3. Liidu institutsioonide, organite ja asutuste poolt isikuandmete töötlemise suhtes kohaldatakse määrust (EÜ) nr 45/2001. Määrust (EÜ) nr 45/2001 ja muid sellisele isikuandmete töötlemisele kohaldatavaid liidu õigusakte tuleb kooskõlas artikliga 98 kohandada vastavalt käesoleva määruse põhimõtetele ja normidele.

4. Käesolev määrus ei piira direktiivi 2000/31/EÜ, eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate õigusnormide kohaldamist.

Artikkel 4

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)	„isikuandmete töötlemise piiramine“ – säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)	„andmete kogum“ – isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)	„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

10)	„kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

11)	andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

12)	„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

13)

„geneetilised andmed“ – isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

14)

„biomeetrilised andmed“ – konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

15)	„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

16)

„peamine tegevuskoht“ –

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

17)	„esindaja“ – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja või volitatud töötleja on kirjalikult artikli 27 kohaselt määranud ja kes esindab vastutavat töötlejat või volitatud töötlejat seoses nende käesolevast määrusest tulenevate vastavate kohustustega;

18)	„ettevõtja“ – majandustegevusega tegelev füüsiline või juriidiline isik, olenemata selle õiguslikust vormist, sealhulgas partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

19)	„kontsern“ – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

20)

„siduvad kontsernisisesed eeskirjad“ – isikuandmete kaitse põhimõtted, millest vastutav töötleja või volitatud töötleja, kelle asukoht on liikmesriigi territooriumil, lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus või ühise majandustegevusega tegelevate ettevõtjate rühmas tegutsevale vastutavale töötajale või volitatud töötlejale;

21)	„järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

22)

„asjaomane järelevalveasutus“ – järelevalveasutus, kes on isikuandmete töötlemisega seotud, kuna

a)	vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)	asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)	kõnealusele järelevalveasutusele on esitatud kaebus;

23)

„isikuandmete piiriülene töötlemine“ –

kas

a)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

24)

„asjakohane ja põhjendatud vastuväide“ – vastuväide kavandatavale otsusele seoses sellega, kas käesolevat määrust on rikutud või kas seoses vastutava töötleja või volitatud töötlejaga kavandatud meede on määrusega kooskõlas, mis näitab selgelt, kui suurt ohtu kujutab endast kavandatav otsus seoses andmesubjektide põhiõiguste ja -vabadustega ning, kui see on asjakohane, isikuandmete vaba liikumisega liidus;

25)	„infoühiskonna teenus“ – teenus, mis vastab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (19) artikli 1 lõike 1 punktile b;

26)	„rahvusvaheline organisatsioon“ – organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või mis tahes muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.

II PEATÜKK

Põhimõtted

Artikkel 6

Isikuandmete töötlemise seaduslikkus

1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a)	andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

b)	isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele;

c)	isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;

d)	isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;

e)	isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;

f)	isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

Esimese lõigu punkti f ei kohaldata, kui isikuandmeid töötleb avaliku sektori asutus oma ülesannete täitmisel.

2. Liikmesriigid võivad säilitada või kehtestada konkreetsemad sätted, et kohandada käesoleva määruse sätete kohaldamist seoses isikuandmete töötlemisega lõike 1 punktide c ja e täitmiseks, määrates üksikasjalikumalt kindlaks töötlemise konkreetsed nõuded ja teised meetmed, et tagada seaduslik ja õiglane töötlemine, sealhulgas teiste andmetöötluse eriolukordade jaoks, nagu see on sätestatud IX peatükis.

3. Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

a)	liidu õigusega või

b)	vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses või see on lõike 1 punktis e osutatud isikuandmete töötlemise osas vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.

4. Kui isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid koguti, ei põhine andmesubjekti nõusolekul või liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada artikli 23 lõikes 1 osutatud eesmärkide täitmine, võtab vastutav töötleja selle kindlakstegemiseks, kas muul eesmärgil töötlemine on kooskõlas eesmärgiga, mille jaoks isikuandmeid algselt koguti, muu hulgas arvesse

a)	seost nende eesmärkide, mille jaoks isikuandmeid koguti, ja kavandatava edasise töötlemise eesmärkide vahel;

b)	isikuandmete kogumise konteksti, eelkõige andmesubjektide ja vastutava töötleja vahelist seost;

c)	isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike vastavalt artiklile 9 või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmeid vastavalt artiklile 10;

d)	kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;

e)	asjakohaste kaitsemeetmete olemasolu, milleks võivad olla näiteks krüpteerimine ja pseudonümiseerimine.

Artikkel 9

Isikuandmete eriliikide töötlemine

1. Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2. Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

a)	andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada;

töötlemine on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või liikmesriigi õiguse kohase kollektiivlepinguga, millega kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks;

c)	töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;

töödeldakse poliitilise, filosoofilise, religioosse või ametiühingulise suunitlusega sihtasutuse, ühenduse või muu mittetulundusühingu õiguspärase tegevuse raames, mille suhtes kohaldatakse vajalikke kaitsemeetmeid, ning tingimusel, et töötlemine käsitleb ainult asjaomase ühingu liikmeid või endisi liikmeid või isikuid, kes on kõnealuse ühinguga püsivalt seotud tema tegevuse eesmärkide tõttu, ning et isikuandmeid ei avalikustata väljaspool seda ühingut ilma andmesubjekti nõusolekuta;

e)	töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud;

f)	töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni;

g)	töötlemine on vajalik olulise avaliku huviga seotud põhjustel liidu või liikmesriigi õiguse alusel ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ja tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks;

töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud;

töötlemine on vajalik rahvatervise valdkonna avalikes huvides, nagu kaitse suure piiriülese terviseohu korral või kõrgete kvaliteedi- ja ohutusnõuete tagamine tervishoiu ning ravimite või meditsiiniseadmete puhul, tuginedes liidu või liikmesriigi õigusele, millega nähakse ette sobivad ja konkreetsed meetmed andmesubjekti õiguste ja vabaduste kaitseks, eelkõige ametisaladuse hoidmine,

töötlemine on vajalik avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 83 lõikele 1, tuginedes liidu või liikmesriigi õigusele, ning on proportsionaalne saavutatava eesmärgiga, austab isikuandmete kaitse õiguse olemust ning tagatud on sobivad ja konkreetsed meetmed andmesubjekti põhiõiguste ja huvide kaitseks.

3. Lõikes 1 osutatud isikuandmeid võib töödelda lõike 2 punktis h osutatud eesmärkidel, kui neid andmeid töötleb töötaja, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus, või kui neid andmeid töödeldakse sellise isiku vastutusel või kui neid andmeid töötleb mõni teine isik, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel samuti saladuse hoidmise kohustus.

4. Liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega.

Artikkel 11

Töötlemine, mille käigus ei nõuta isiku tuvastamist

1. Kui vastutav töötleja töötleb isikuandmeid eesmärkidel, mille puhul ei nõuta või enam ei nõuta andmesubjekti tuvastamist vastutava töötleja poolt, ei ole vastutav töötleja kohustatud säilitama, hankima ega töötlema lisateavet, et tuvastada andmesubjekt ainult käesoleva määruse järgimiseks.

2. Kui vastutav töötleja on käesolevas artikli lõikes 1 osutatud juhtudel võimeline tõendama, et ta ei suuda andmesubjekti tuvastada, teavitab ta vastavalt andmesubjekti, kui see on võimalik. Sellistel juhtudel ei kohaldata artikleid 15–20, välja arvatud juhul, kui andmesubjekt esitab enda tuvastamist võimaldavat lisateavet, et kasutada nende artiklite kohaseid õigusi.

III PEATÜKK

Andmesubjekti õigused

1. jagu

Läbipaistvus ja sellega seotud kord

Artikkel 28

Volitatud töötleja

1. Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2. Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)	tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)	võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)	järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)	võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)	aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)	pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)	teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5. Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6. Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7. Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8. Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9. Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10. Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

Artikkel 37

Andmekaitseametniku määramine

1. Vastutav töötleja ja volitatud töötleja määravad andmekaitseametniku, kui

a)	isikuandmeid töötleb avaliku sektori asutus või organ, välja arvatud oma õigust mõistvat funktsiooni täitvad kohtud;

b)	vastutava töötleja või volitatud töötleja põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille laad, ulatus ja/või eesmärk tingivad ulatusliku andmesubjektide korrapärase ja süstemaatilise jälgimise, või

c)	vastutava töötleja või volitatud töötleja põhitegevuse moodustab artiklis 9 osutatud andmete eriliikide ja artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine.

2. Kontsern võib määrata ühe andmekaitseametniku, tingimusel et andmekaitseametnik on hõlpsasti kättesaadav kõikidest tegevuskohtadest.

3. Kui vastutav töötleja või volitatud töötleja on avaliku sektori asutus või organ, võib mitme sellise asutuse või organi jaoks määrata ühe andmekaitseametniku olenevalt nende organisatsioonilisest struktuurist ja suurusest.

4. Muudel kui lõikes 1 osutatud juhtudel võivad vastutav töötleja või volitatud töötleja või nende kategooriaid esindavad ühendused ja muud organid määrata andmekaitseametniku või nad peavad seda tegema, kui see on nõutav liidu või liikmesriigi õigusega. Andmekaitseametnik võib tegutseda selliste vastutavaid töötlejaid või volitatud töötlejaid esindavate ühenduste ja muude organite heaks.

5. Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 39 osutatud ülesandeid.

6. Andmekaitseametnik võib olla vastutava töötleja või volitatud töötleja koosseisuline töötaja või täita ülesandeid teenuslepingu alusel.

7. Vastutav töötleja või volitatud töötleja avaldab andmekaitseametniku kontaktandmed ning teatab need järelevalveasutusele.

whereas

(36) Vastutava töötleja peamine tegevuskoht liidus peaks olema tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja mujal liidus asuvas tegevuskohas.
Sellisel juhul tuleks nimetatud muud tegevuskohta pidada peamiseks tegevuskohaks.
Vastutava töötleja peamine tegevuskoht liidus tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks eeldama püsiva korra alusel läbi viidavat tegelikku ja tulemuslikku juhtimistegevust töötlemise eesmärki ja vahendeid käsitlevate peamiste otsuste vastuvõtmisel.
See kriteerium ei tohiks sõltuda sellest, kas isikuandmeid töödeldakse kõnealuses kohas.
Isikuandmete töötlemise või isikuandmete töötlemise toimingute teostamise tehniliste vahendite ja tehnoloogia olemasolu ja kasutamine iseenesest ei kujuta endast sellist peamist tegevuskohta, seega ei ole need peamise tegevuskoha määravad kriteeriumid.
Volitatud töötleja peamine tegevuskoht peaks olema tema juhatuse asukoht liidus või, kui tal ei ole liidus juhatuse asukohta, see koht, kus sooritatakse peamised isikuandmete töötlemise toimingud liidus.
Juhul kui kaasatud on nii vastutav töötleja kui ka volitatud töötleja, peaks pädevaks juhtivaks järelevalveasutuseks jääma selle liikmesriigi järelevalveasutus, kus asub vastutava töötleja peamine tegevuskoht, kuid volitatud töötleja järelevalveasutust tuleks käsitada asjaomase järelevalveasutusena ja nimetatud järelevalveasutus peaks osalema käesolevas määruses sätestatud koostöömenetluses.
Kui otsuse eelnõu puudutab ainult vastutavat töötlejat, ei tuleks selle liikmesriigi või nende liikmesriikide järelevalveasutusi, kus asub volitatud töötleja üks või mitu tegevuskohta, käsitada ühelgi juhul asjaomaste järelevalveasutustena.
Kui andmeid töötleb kontsern, siis tuleks kontserni peamiseks tegevuskohaks lugeda kontrolliva ettevõtja peamist tegevuskohta, välja arvatud juhul, kui töötlemise eesmärgi ja vahendid määrab kindlaks teine ettevõtja.

- = -

(57) Juhul kui vastutav töötleja töötleb selliseid isikuandmeid, mille alusel ei saa füüsilisi isikuid tuvastada, ei tohiks ta olla kohustatud hankima andmesubjekti tuvastamiseks täiendavat teavet ainult käesoleva määruse sätete järgimiseks.
Vastutav töötleja ei tohiks aga keelduda sellise täiendava teabe vastuvõtmisest, mida andmesubjekt esitab oma õiguste kasutamise toetamiseks.
Tuvastamine peaks hõlmama andmesubjekti digitaalset tuvastamist, näiteks sellise autentimise mehhanismi abil nagu samad volitused, mida andmesubjekt kasutab vastutava töötleja pakutavasse sidusteenusesse sisselogimiseks.

- = -

(63) Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada.
See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised.
Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate.
Võimaluse korral peaks vastutav töötleja saama anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega.
See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust.
Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine.
Kui vastutav töötleja töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et andmesubjekt täpsustaks enne andmete esitamist, millise teabe või milliste isikuandmete töötlemise toimingutega taotlus seotud on.

- = -

(80) Kui väljaspool liitu asuv vastutav töötleja või volitatud töötleja töötleb liidus olevate andmesubjektide isikuandmeid ja tema isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele liidus, olenemata sellest, kas andmesubjekt peab nende eest maksma, või selliste andmesubjektide käitumise jälgimisega, kui see käitumine toimub liidus, peaks vastutav töötleja või volitatud töötleja nimetama esindaja, välja arvatud juhul, kui ta töödeldakse juhtumipõhiselt, ei hõlma isikuandmete eriliikide suures ulatuses töötlemist või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist ning selle tulemusel ei ohustata tõenäoliselt füüsiliste isikute õigusi ja vabadusi, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või kui vastutav töötleja on avaliku sektori asutus või organ.
Esindaja peaks tegutsema vastutava töötleja või volitatud töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused.
Esindaja peaks olema vastutava töötleja või volitatud töötleja kirjaliku volitusega selgesõnaliselt määratud tegutsema vastutava töötleja või volitatud töötleja nimel seoses kohustustega, mida nad peavad käesoleva määruse kohaselt täitma.
Sellise esindaja määramine ei mõjuta vastutava töötleja või volitatud töötleja käesoleva määruse kohaseid kohustusi.
Selline esindaja peaks täitma oma ülesandeid vastavalt vastutavalt töötlejalt või volitatud töötlejalt saadud volitustele, sealhulgas tegema pädevate järelevalveasutustega koostööd igasugustes meetmetes, mis võetakse käesoleva määruse täitmise tagamiseks.
Määratud esindaja suhtes tuleks kohaldada täitemenetlust, kui vastutav töötleja ega volitatud töötleja ei täida käesoleva määruse sätteid.

- = -

(81) Kui vastutava töötleja nimel töötleb andmeid volitatud töötleja, peaks vastutav töötleja kasutama käesoleva määruse nõuete täitmise tagamiseks isikuandmete töötlemise toimingute usaldamisel volitatud töötlejale ainult selliseid volitatud töötlejaid, kes annavad piisavad tagatised, eelkõige seoses erialaste teadmiste, usaldusväärsuse ja vahenditega, et nad suudavad rakendada tehnilisi ja korralduslikke meetmeid, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele kehtestatud nõuetele.
Seda, et volitatud töötleja järgib heakskiidetud toimimisjuhendit või heakskiidetud sertifitseerimismehhanismi, võib kasutada elemendina, mis tõendab vastutava töötleja kohustuste täitmist.
Volitatud töötleja peaks andmeid töötlema volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärgid, isikuandmete liik ja andmesubjektide kategooriad ning peaks arvesse võtma volitatud töötleja konkreetseid ülesandeid ja kohustusi seoses teostatava töötlemisega ning ohtu andmesubjekti õigustele ja vabadustele.
Vastutav töötleja ja volitatud töötleja võivad teha otsuse kasutada individuaalset lepingut või lepingu tüüptingimusi, mille on vastu võtnud kas otseselt komisjon või järelevalveasutus kooskõlas järjepidevuse mehhanismiga ja seejärel komisjon.
Pärast vastutava töötleja nimel töötlemise lõpetamist peaks volitatud töötleja isikuandmed vastutava töötleja valikul kas tagastama või kustutama, välja arvatud juhul, kui volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õiguse kohaselt tuleb isikuandmeid säilitada.

- = -

dal 2004 diritto e informatica