interactive GDPR 2016/0679 ET

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

3)	„isikuandmete töötlemise piiramine“ – säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist;

„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud asjaomase füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega;

„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid;

6)	„andmete kogum“ – isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud;

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

8)	„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

10)	„kolmas isik“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või organ, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad isikuandmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses;

11)	andmesubjekti „nõusolek“ – vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selge nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega;

12)	„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;

13)

„geneetilised andmed“ – isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest;

14)

„biomeetrilised andmed“ – konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed;

15)	„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

16)

„peamine tegevuskoht“ –

kui vastutaval töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused võetakse vastu vastutava töötleja liidus asuvas muus tegevuskohas ning sellel tegevuskohal on volitused neid otsuseid rakendada – sellisel juhul loetakse peamiseks tegevuskohaks tegevuskohta, kus sellised otsused vastu võetakse;

kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus või kui volitatud töötlejal ei ole juhatust liidus, siis volitatud töötleja tegevuskoht liidus, kus toimub peamine töötlemistegevus seoses volitatud töötleja tegevusega sellises ulatuses, et volitatud töötleja suhtes kehtivad käesoleva määruse kohased konkreetsed kohustused;

17)	„esindaja“ – liidus asuv füüsiline või juriidiline isik, kelle vastutav töötleja või volitatud töötleja on kirjalikult artikli 27 kohaselt määranud ja kes esindab vastutavat töötlejat või volitatud töötlejat seoses nende käesolevast määrusest tulenevate vastavate kohustustega;

18)	„ettevõtja“ – majandustegevusega tegelev füüsiline või juriidiline isik, olenemata selle õiguslikust vormist, sealhulgas partnerlused ja ühendused, kes tegelevad korrapäraselt majandustegevusega;

19)	„kontsern“ – kontrolliv ettevõtja ja tema kontrolli all olevad ettevõtjad;

20)

„siduvad kontsernisisesed eeskirjad“ – isikuandmete kaitse põhimõtted, millest vastutav töötleja või volitatud töötleja, kelle asukoht on liikmesriigi territooriumil, lähtub isikuandmete ühekordsel või korduval edastamisel ühes või mitmes kolmandas riigis kontserni koosseisus või ühise majandustegevusega tegelevate ettevõtjate rühmas tegutsevale vastutavale töötajale või volitatud töötlejale;

21)	„järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

22)

„asjaomane järelevalveasutus“ – järelevalveasutus, kes on isikuandmete töötlemisega seotud, kuna

a)	vastutava töötleja või volitatud töötleja tegevuskoht asub kõnealuse järelevalveasutuse liikmesriigi territooriumil;

b)	asjaomase järelvalveasutuse liikmesriigis elavad andmesubjektid on töötlemisest oluliselt või tõenäoliselt oluliselt mõjutatud või

c)	kõnealusele järelevalveasutusele on esitatud kaebus;

23)

„isikuandmete piiriülene töötlemine“ –

kas

a)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või

b)	isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis;

24)

„asjakohane ja põhjendatud vastuväide“ – vastuväide kavandatavale otsusele seoses sellega, kas käesolevat määrust on rikutud või kas seoses vastutava töötleja või volitatud töötlejaga kavandatud meede on määrusega kooskõlas, mis näitab selgelt, kui suurt ohtu kujutab endast kavandatav otsus seoses andmesubjektide põhiõiguste ja -vabadustega ning, kui see on asjakohane, isikuandmete vaba liikumisega liidus;

25)	„infoühiskonna teenus“ – teenus, mis vastab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/1535 (19) artikli 1 lõike 1 punktile b;

26)	„rahvusvaheline organisatsioon“ – organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või mis tahes muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel.

II PEATÜKK

Põhimõtted

Artikkel 5

Isikuandmete töötlemise põhimõtted

1. Isikuandmete töötlemisel tagatakse, et

a)	töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)	isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)	isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

2. Lõike 1 täitmise eest vastutab ja on võimeline selle täitmist tõendama vastutav töötleja („vastutus“).

Artikkel 13

Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt

1. Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

a)	vastutava töötleja ning kui kohaldatav, siis vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta,

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

c)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

d)	teave õiguse kohta esitada kaebus järelevalveasutusele;

e)	teave selle kohta, kas isikuandmete esitamine on õigusaktist või lepingust tulenev kohustus või lepingu sõlmimiseks vajalik nõue, samuti selle kohta, kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama, ning selliste andmete esitamata jätmise võimalike tagajärgede kohta, ning

f)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne andmete edasist isikuandmete töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

4. Lõikeid 1, 2 ja 3 ei kohaldata, kui ja sel määral mil andmesubjektil on see teave juba olemas.

Artikkel 14

Teave, mis tuleb esitada juhul, kui isikuandmed ei ole saadud andmesubjektilt

1. Kui isikuandmed ei ole saadud andmesubjektilt, teeb vastutav töötleja andmesubjektile teatavaks järgmise teabe:

a)	vastutava töötleja ning asjakohasel juhul vastutava töötleja esindaja nimi ja kontaktandmed;

b)	asjakohasel juhul andmekaitseametniku kontaktandmed;

c)	isikuandmete töötlemise eesmärk ja õiguslik alus;

d)	asjaomaste isikuandmete liigid;

e)	asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta;

asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja andmesubjektile järgmise teabe, mis on vajalik andmesubjekti suhtes õiglase ja läbipaistva töötlemise tagamiseks:

a)	isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

b)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

c)	teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist ning esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

d)	kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud isikuandmete töötlemise seaduslikkust;

e)	teave õiguse kohta esitada kaebus järelevalveasutusele;

f)	teave isikuandmete päritoluallika ning asjakohasel juhul selle kohta, kas need pärinevad avalikult kättesaadavatest allikatest,

g)	teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

3. Vastutav töötleja esitab lõigetes 1 ja 2 osutatud teabe:

a)	mõistliku aja jooksul pärast isikuandmete saamist, kuid hiljemalt ühe kuu jooksul, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid, või

b)	kui isikuandmeid kasutatakse andmesubjekti teavitamiseks, siis hiljemalt asjaomase andmesubjekti esmakordse teavitamise ajal, või

c)	kui isikuandmeid kavatsetakse avaldada teisele vastuvõtjale, siis hiljemalt andmete esimese avaldamise ajal.

4. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne isikuandmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

5. Lõikeid 1–4 ei kohaldata, kui ja sel määral mil

a)	andmesubjektil on see teave juba olemas;

selle teabe esitamine osutub võimatuks või eeldaks ebaproportsionaalseid jõupingutusi, eelkõige kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil, eeldusel, et artikli 89 lõikes 1 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud, või sel määral mil käesoleva artikli lõikes 1 osutatud kohustus tõenäoliselt muudab sellise isikuandmete töötlemise eesmärgi saavutamise võimatuks või häirib seda suurel määral. Sellistel juhtudel võtab vastutav töötleja asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks, sealhulgas teeb teabe avalikult kättesaadavaks;

c)	isikuandmete saamine või avaldamine on selgesõnaliselt sätestatud vastutava töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses, milles nähakse ette asjakohased meetmed andmesubjekti õigustatud huvide kaitsmiseks, või

d)	isikuandmed peavad jääma salajaseks liidu või liikmesriigi õigusega reguleeritava ametisaladuse hoidmise kohustuse, sealhulgas põhikirjajärgse saladuse hoidmise kohustuse tõttu.

Artikkel 18

Õigus isikuandmete töötlemise piiramisele

1. Andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist järgmistel juhtudel:

a)	andmesubjekt vaidlustab isikuandmete õigsuse, ajaks, mis võimaldab vastutaval töötlejal isikuandmete õigsust kontrollida;

b)	isikuandmete töötlemine on ebaseaduslik, kuid andmesubjekt ei taotle isikuandmete kustutamist, vaid kasutamise piiramist;

c)	vastutav töötleja ei vaja isikuandmeid enam töötlemise eesmärkidel, kuid need on andmesubjektile vajalikud õigusnõuete koostamiseks, esitamiseks või kaitsmiseks,

d)	andmesubjekt on esitanud isikuandmete töötlemise suhtes artikli 21 lõike 1 kohaselt vastuväite, ajaks, kuni kontrollitakse, kas vastutava töötleja õiguspärased põhjused kaaluvad üles andmesubjekti põhjused.

2. Kui isikuandmete töötlemist on lõike 1 kohaselt piiratud, võib selliseid isikuandmeid töödelda (välja arvatud säilitamine) ainult andmesubjekti nõusolekul või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks või teise füüsilise või juriidilise isiku õiguste kaitsmiseks või seoses liidu või liikmesriigi olulise avaliku huviga.

3. Vastutav töötleja teavitab lõike 1 kohaselt isikuandmete töötlemise piiramist nõudnud andmesubjekti enne isikuandmete töötlemise piiramise lõpetamist.

Artikkel 24

Vastutava töötleja vastutus

1. Arvestades töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab vastutav töötleja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja suuta tõendada isikuandmete töötlemist kooskõlas käesoleva määrusega. Vajaduse korral vaadatakse need meetmed läbi ja ajakohastatakse neid.

2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.

3. Vastutava töötleja kohustuste järgimise tõendamise elemendina võib kasutada artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist.

Artikkel 27

Väljaspool liitu asuvate vastutavate töötlejate või volitatud töötlejate esindajad

1. Kui kohaldatakse artikli 3 lõiget 2, siis määrab vastutav töötleja või volitatud töötleja kirjalikult oma esindaja liidus.

2. Nõuet ei kohaldata:

kui isikuandmete töötlemine on juhtumipõhine, see ei hõlma artikli 9 lõikes 1 osutatud isikuandmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist ning ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või

b)	avaliku sektori asutuse või organi suhtes.

3. Esindaja asukoht peab olema ühes liikmesriikidest, kus asuvad andmesubjektid, kelle isikuandmeid töödeldakse neile kaupade või teenuste pakkumise korral või kelle käitumist jälgitakse.

4. Vastutav töötleja või volitatud töötleja volitab esindajat suhtlema lisaks vastutavale töötlejale või volitatud töötlejale või tema asemel eelkõige järelevalveasutuste ja andmesubjektidega kõigis isikuandmete töötlemisega seotud küsimustes, et tagada käesoleva määruse järgimine.

5. Vastutava töötleja või volitatud töötleja poolt esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja või volitatud töötleja enda suhtes.

Artikkel 28

Volitatud töötleja

1. Kui töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.

2. Volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa korral teavitab volitatud töötleja vastutavat töötlejat kõigist kavandatavatest muudatustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.

3. Volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat omavahel siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, mis on volitatud töötleja suhtes siduv ning milles sätestatakse töötlemise sisu ja kestus, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad, vastutava töötleja kohustused ja õigused. Kõnealuses lepingus või muus õigusaktis sätestatakse eelkõige see, et volitatud töötleja:

töötleb isikuandmeid ainult vastutava töötleja dokumenteeritud juhiste alusel, sealhulgas seoses isikuandmete edastamisega kolmandale riigile või rahvusvahelisele organisatsioonile, välja arvatud juhul, kui ta on kohustatud seda tegema volitatud töötleja suhtes kohaldatava liidu või liikmesriigi õigusega; sellisel juhul teatab volitatud töötleja selle õigusliku nõude enne isikuandmete töötlemist vastutavale töötlejale, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud;

b)	tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane põhikirjajärgne konfidentsiaalsuskohustus;

c)	võtab kõik artikli 32 kohaselt nõutavad meetmed;

d)	järgib lõigetes 2 ja 4 osutatud tingimusi teise volitatud töötleja kaasamiseks;

e)	võttes arvesse isikuandmete töötlemise laadi, aitab võimaluse piires vastutaval töötlejal asjakohaste tehniliste ja korralduslike meetmete abil täita vastutava töötleja kohustust vastata taotlustele III peatükis sätestatud andmesubjekti õiguste teostamiseks;

f)	aitab vastutaval töötlejal täita artiklites 32–36 sätestatud kohustusi, võttes arvesse isikuandmete töötlemise laadi ja volitatud töötlejale kättesaadavat teavet;

g)	pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse andmete säilitamist;

h)	teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesolevas artiklis sätestatud kohustuste täitmise tõendamiseks, ning võimaldab vastutaval töötlejal või tema poolt volitatud muul audiitoril teha auditeid, sealhulgas kontrolle, ja panustab sellesse.

Esimese lõigu punkti h osas teavitab volitatud töötleja vastutavat töötlejat kohe, kui korraldus läheb tema arvates vastuollu käesoleva määruse või liikmesriigi või liidu muude andmekaitsealaste sätetega.

4. Kui volitatud töötleja kaasab vastutava töötleja nimel konkreetsete isikuandmete töötlemise toimingute tegemiseks teise volitatud töötleja, nähakse lepingus või muus liidu või liikmesriigi õiguse kohases õigusaktis asjaomase teise volitatud töötleja suhtes ette samad andmekaitsekohustused, mis on sätestatud lõikes 3 osutatud vastutava töötleja ja volitatud töötleja vahelises lepingus või muus õigusaktis; eelkõige annab see piisava tagatise, et rakendatakse asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastaks käesoleva määruse nõuetele. Kui see teine volitatud töötleja ei täida oma andmekaitsekohustusi, jääb algne volitatud töötleja vastutava töötleja ees täielikult vastutavaks kõnealuse teise volitatud töötleja kohustuste täitmise eest.

5. Volitatud töötleja poolt artiklis 40 osutatud heakskiidetud toimimisjuhendite või artiklis 42 osutatud heakskiidetud sertifitseerimismehhanismi järgimist võib kasutada elemendina selleks, et tõendada käesoleva artikli lõigetes 1 ja 4 osutatud piisava tagatise olemasolu.

6. Ilma et see mõjutaks vastutava töötleja ja volitatud töötleja vahelist individuaalset lepingut, võib käesoleva artikli lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument põhineda täielikult või osaliselt käesoleva artikli lõigetes 7 ja 8 osutatud lepingu tüüptingimustel, sealhulgas kui need on osa vastutavale töötlejale või volitatud töötlejale artiklite 42 ja 43 kohaselt antud sertifikaadist.

7. Komisjon võib sätestada lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

8. Järelevalveasutus võib vastu võtta lepingu tüüptingimused käesoleva artikli lõigetes 3 ja 4 osutatud küsimustes ja kooskõlas artiklis 63 osutatud järjepidevuse mehhanismiga.

9. Lõigetes 3 ja 4 osutatud leping või muu õigusliku toimega dokument peab olema kirjalik, sealhulgas elektroonilisel kujul.

10. Kui volitatud töötleja määrab käesolevat määrust rikkudes andmete töötlemise eesmärgid ja vahendid, siis loetakse volitatud töötleja selle töötlemise suhtes vastutavaks töötlejaks, ilma et see piiraks artiklite 82, 83 ja 84 kohaldamist.

Artikkel 35

Andmekaitsealane mõjuhinnang

1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2. Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.

3. Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:

a)	füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)	artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)	avalike alade ulatuslik süstemaatiline jälgimine.

4. Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.

5. Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.

6. Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.

7. Mõjuhinnang peab hõlmama vähemalt järgmist:

a)	kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)	isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)	lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)	ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8. Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.

9. Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10. Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.

11. Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

Artikkel 36

Eelnev konsulteerimine

1. Vastutav töötleja konsulteerib enne isikuandmete töötlemist järelevalveasutusega, kui artikli 35 kohasest andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohu leevendamiseks võetavate meetmete puudumise korral suur oht.

2. Kui järelevalveasutus on seisukohal, et lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesolevat määrust, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, siis annab järelevalveasutus hiljemalt kaheksa nädala jooksul alates konsulteerimise taotluse kättesaamisest vastutavale töötlejale ja asjakohasel juhul volitatud töötlejale kirjalikult nõu ja ta võib kasutada artiklis 58 osutatud õigusi. Seda tähtaega võib pikendada kuue nädala võrra, arvestades kavandatava isikuandmete töötlemise keerukust. Järelevalveasutus teavitab pikendatud tähtaja kohaldamise korral vastutavat töötlejat ja asjakohasel juhul volitatud töötlejat kõigist sellistest pikendamistest ühe kuu jooksul alates konsulteerimise taotluse kättesaamisest, sealhulgas viivituse põhjustest. Need tähtajad võib peatada seniks, kuni järelevalveasutus on saanud kogu teabe, mida ta on küsinud seoses konsulteerimisega.

3. Järelevalveasutusega lõike 1 kohaselt konsulteerimisel esitab vastutav töötleja järelevalveasutusele järgmise teabe:

a)	kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad, eelkõige seoses töötlemisega kontsernis;

b)	kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)	ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)	kui see on asjakohane, siis andmekaitseametniku kontaktandmed;

e)	artiklis 35 sätestatud andmekaitsealane mõjuhinnang ning

f)	kogu muu järelevalveasutuse taotletud teave.

4. Liikmesriik konsulteerib järelevalveasutusega, kui koostamisel on riigi parlamendis vastu võetava õigusliku meetme ettepanek või sellisel õiguslikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.

5. Olenemata lõikest 1 võib liikmesriigi õigusega ette näha, et vastutavad töötlejad peavad konsulteerima järelevalveasutustega ja saama neilt eelneva loa, kui vastutav töötleja kavatseb töödelda isikuandmeid vastutava töötleja poolt avalikes huvides täidetava ülesande raames, mis hõlmab sellist isikuandmete töötlemist seoses sotsiaalkaitse ja rahvatervisega.

4. jagu

Andmekaitseametnik

Artikkel 40

Toimimisjuhendid

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

a)	isikuandmete õiglane ja läbipaistev töötlemine;

b)	vastutava töötleja õigustatud huvid teatud kontekstis;

c)	isikuandmete kogumine;

d)	isikuandmete pseudonümiseerimine;

e)	üldsuse ja andmesubjektide teavitamine;

f)	andmesubjektide õiguste kasutamine;

g)	laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)	artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)	isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)	isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)	vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

3. Peale selle, et käesoleva artikli lõike 5 kohaselt heaks kiidetud ja käesoleva artikli lõike 9 kohaselt terves liidus kehtivaks tunnistatud toimimisjuhendeid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võivad neid järgida ka vastutavad töötlejad ja volitatud töötlejad, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, et tagada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus artikli 46 lõike 2 punktis e osutatud tingimustel asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

4. Käesoleva artikli lõike 2 kohane toimimisjuhend peab sisaldama mehhanisme, mis võimaldavad artikli 41 lõikes 1 osutatud asutusel teha kohustuslikku järelevalvet selle üle, et toimimisjuhendit täitma kohustunud vastutav töötleja või volitatud töötleja järgib seda, ilma et see piiraks artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

6. Kui toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend kiidetakse vastavalt lõikele 5 heaks ning kui asjaomane toimimisjuhend ei ole seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, registreerib ja avaldab järelevalveasutus toimimisjuhendi.

7. Kui toimimisjuhendi kavand on seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, siis esitab artikli 55 kohaselt pädev järelevalveasutus toimimisjuhendi enne selle heakskiitmist artiklis 63 osutatud menetluse kohaselt andmekaitsenõukogule, kes esitab arvamuse selle kohta, kas toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab käesoleva artikli lõikes 3 osutatud olukorras asjakohased kaitsemeetmed.

8. Kui lõikes 7 osutatud arvamuses kinnitatakse, et toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab lõikes 3 osutatud olukorras asjakohased kaitsemeetmed, siis esitab andmekaitsenõukogu oma arvamuse komisjonile.

9. Komisjon võib rakendusaktidega otsustada, et talle vastavalt käesoleva artikli lõikele 8 esitatud heakskiidetud toimimisjuhendid, muudatused ja laiendused kehtivad terves liidus. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

10. Komisjon tagab asjakohase teavituse lõike 9 kohase otsusega terves liidus kehtivaks tunnistatud heakskiidetud toimimisjuhenditest.

11. Andmekaitsenõukogu koondab kõik heakskiidetud toimimisjuhendid, muudatused ja laiendused registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 42

Sertifitseerimine

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3. Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4. Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6. Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7. Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8. Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 47

Siduvad kontsernisisesed eeskirjad

1. Pädev järelevalveasutus kiidab kooskõlas artiklis 63 sätestatud järjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et

a)	need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist;

b)	nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning

c)	need vastavad lõikes 2 sätestatud nõuetele.

2. Lõikes 1 osutatud siduvates kontsernisisestes eeskirjades määratakse kindlaks vähemalt järgmised elemendid:

a)	kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed;

b)	isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed;

c)	nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;

andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni;

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav;

g)	kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta;

kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle;

i)	kaebuse esitamise menetlused;

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad;

k)	mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi;

l)	mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused;

mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning

n)	asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs.

3. Komisjon võib määratleda vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

Artikkel 58

Volitused

1. Järelevalveasutusel on järgmised uurimisvolitused:

a)	anda korraldus, et vastutav töötleja või volitatud töötleja või vajaduse korral vastutava töötleja või volitatud töötleja esindaja annab teavet, mis on vajalik tema ülesannete täitmiseks;

b)	viia läbi uurimisi andmekaitseauditi kujul;

c)	vaadata läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

d)	teavitada vastutavat töötlejat või volitatud töötlejat käesoleva määruse väidetavast rikkumisest;

e)	saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, ning

f)	saada kooskõlas liidu või liikmesriigi menetlusõigusega juurdepääs vastutava töötleja ja volitatud töötleja mis tahes ruumidele, sealhulgas kõikidele andmetöötlusseadmetele ja -vahenditele.

2. Järelevalveasutusel on järgmised parandusvolitused:

a)	hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesoleva määruse sätteid;

b)	teha vastutavale töötlejale või volitatud töötlejale noomitusi, kui isikuandmete töötlemise toimingud on rikkunud käesoleva määruse sätteid;

c)	anda korraldus, et vastutav töötleja või volitatud töötleja rahuldaks andmesubjekti taotlused seoses tema käesoleva määruse kohaste õiguste kasutamisega;

d)	anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse käesoleva määruse sätetega;

e)	anda korraldus, et vastutav töötleja teavitaks andmesubjekti tema isikuandmetega seotud rikkumisest;

f)	kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas töötlemiskeeld;

g)	anda korraldus isikuandmeid parandada või need kustutada või isikuandmete töötlemist piirata artiklite 16, 17 ja 18 alusel ning teavitada nimetatud meetmetest vastuvõtjaid, kellele isikuandmed on artikli 17 lõike 2 ja artikli 19 kohaselt avaldatud;

h)	võtta sertifikaat tagasi või anda sertifitseerimisasutusele korraldus võtta tagasi artiklite 42 ja 43 alusel väljastatud sertifikaat või anda sertifitseerimisasutusele korraldus jätta sertifikaat väljastamata, kui sertifitseerimise nõuded ei ole täidetud või ei ole enam täidetud;

i)	määrata artikli 83 kohaselt trahve lisaks käesolevas lõikes osutatud meetmetele või nende asemel, sõltuvalt konkreetse juhtumi asjaoludest,

j)	anda korraldus peatada kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile suunatud andmevoog.

3. Järelevalveasutusel on järgmised lubavad ja nõuandvad volitused:

a)	nõustada vastutavat töötlejat kooskõlas artiklis 36 osutatud eelneva konsulteerimise menetlusega;

b)	esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi riigi parlamendile, liikmesriigi valitsusele või, kooskõlas liikmesriigi õigusega, muudele institutsioonidele ja asutustele ning samuti avalikkusele;

c)	anda luba artikli 36 lõikes 5 osutatud töötlemiseks, kui liikmesriigi õigus sellist eelnevat luba nõuab;

d)	esitada arvamus ja kiita heaks toimimisjuhendite kavandid vastavalt artikli 40 lõikele 5;

e)	akrediteerida sertifitseerimisasutused vastavalt artiklile 43;

f)	väljastada sertifikaate ja kiita heaks sertifitseerimise kriteeriumid kooskõlas artikli 42 lõikega 5;

g)	võtta vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud andmekaitse tüüpklauslid;

h)	kinnitada artikli 46 lõike 3 punktis a osutatud lepingutingimused;

i)	kinnitada artikli 46 lõike 3 punktis b osutatud halduskokkulepped;

j)	kiita heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad.

4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.

5. Liikmesriik näeb seadusega ette, et tema järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ning alustada vajaduse korral kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva määruse sätete täitmine.

6. Liikmesriik võib seadusega ette näha, et tema järelevalveasutusel on täiendavad volitused lisaks lõigetes 1, 1b ja 1c osutatud volitustele. Volituste kasutamine ei tohi kahjustada VII peatüki tõhusat toimimist.

Artikkel 81

Menetluse peatamine

1. Kui liikmesriigi pädeval kohtul on teavet, et teise liikmesriigi kohtus toimub sama vastutava töötleja või volitatud töötleja töötlemistegevusega seoses samasisuline menetlus, võtab ta ühendust teise liikmesriigi kohtuga, et saada kinnitust sellise menetluse olemasolust.

2. Kui teise liikmesriigi kohtus toimub sama vastutava töötleja või volitatud töötleja töötlemistegevusega seoses samasisuline menetlus, võib pädev kohus, välja arvatud kohus, kuhu pöörduti esimesena, oma menetluse peatada.

3. Kui menetlus toimub esimese astme kohtus, võib kohus, välja arvatud kohus, kuhu pöörduti esimesena, ühe menetlusosalise taotlusel ka pädevusest keelduda, kui kohus, kuhu pöörduti esimesena, on kõnealustes asjades pädev ja kui asjaomase liikmesriigi õigus võimaldab neid kohtuasju liita.

Artikkel 89

Kaitsemeetmed ja erandid seoses isikuandmete töötlemisega avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil

1. Isikuandmete töötlemise suhtes avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil kohaldatakse asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks kooskõlas käesoleva määrusega. Nende kaitsemeetmetega tagatakse tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine. Need meetmed võivad hõlmata pseudonümiseerimist, kui kõnealuseid eesmärke on võimalik saavutada sellisel viisil. Kui kõnealuseid eesmärke saab täita täiendava töötlemisega, mis ei võimalda või ei võimalda enam andmesubjektide tuvastamist, täidetakse need eesmärgid sel viisil.

2. Kui isikuandmeid töödeldakse teadus- ja ajaloouuringute või statistilisel eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

3. Kui isikuandmeid töödeldakse avalikes huvides toimuva arhiveerimise eesmärgil, võib liidu või liikmesriigi õigusega ette näha erandid artiklites 15, 16, 18, 19, 20 ja 21 osutatud õigustest, olenevalt käesoleva artikli lõikes 1 osutatud tingimustest ja kaitsemeetmetest, niivõrd kui sellised õigused võivad tõenäoliselt muuta võimatuks konkreetsete eesmärkide saavutamise või seda tõsiselt takistada ning sellised erandid on vajalikud nende eesmärkide täitmiseks.

4. Kui lõigetes 2 ja 3 osutatud töötlemist kasutatakse samal ajal muudel eesmärkidel, võib tehtavaid erandeid kohaldada üksnes nendes lõigetes osutatud eesmärgil tehtavale töötlemisele.

Artikkel 99

Jõustumine ja kohaldamine

1. Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2. Seda kohaldatakse alates 25. maist 2018.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 27. aprill 2016

Euroopa Parlamendi nimel

president

M. SCHULZ

Nõukogu nimel

eesistuja

J.A. HENNIS-PLASSCHAERT

(1) ELT C 229, 31.7.2012, lk 90.

(2) ELT C 391, 18.12.2012, lk 127.

(3) Euroopa Parlamendi 12. märtsi 2014. aasta seisukoht (Euroopa Liidu Teatajas seni avaldamata) ja nõukogu 8. aprilli 2016. aasta esimese lugemise seisukoht (Euroopa Liidu Teatajas seni avaldamata). Euroopa Parlamendi 14. aprilli 2016. aasta seisukoht.

(4) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31).

(5) Komisjoni 6. mai 2003. aasta soovitus mikro-, väikeste ja keskmiste suurusega ettevõtjate määratluse kohta (C(2003)1422) (ELT L 124, 20.5.2003, lk 36).

(6) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1).

(7) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680 füüsiliste isikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (vt käesoleva Euroopa Liidu Teataja lk 89).

(8) Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiiv 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (EÜT L 178, 17.7.2000, lk 1).

(9) Euroopa Parlamendi ja nõukogu 9. märtsi 2011. aasta direktiiv 2011/24/EL patsiendiõiguste kohaldamise kohta piiriüleses tervishoius (ELT L 88, 4.4.2011, lk 45).

(10) Nõukogu 5. aprilli 1993. aasta direktiiv 93/13/EMÜ ebaõiglaste tingimuste kohta tarbijalepingutes (EÜT L 95, 21.4.1993, lk 29).

(11) Euroopa Parlamendi ja nõukogu 16. detsembri 2008. aasta määrus (EÜ) nr 1338/2008 rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta (ELT L 354, 31.12.2008, lk 70).

(12) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13).

(13) Euroopa Parlamendi ja nõukogu 12. detsembri 2012. aasta määrus (EL) nr 1215/2012 kohtualluvuse ning kohtuotsuste tunnustamise ja täitmise kohta tsiviil- ja kaubandusasjades (ELT L 351, 20.12.2012, lk 1).

(14) Euroopa Parlamendi ja nõukogu 17. novembri 2003. aasta direktiiv 2003/98/EÜ avaliku sektori valduses oleva teabe taaskasutamise kohta (ELT L 345, 31.12.2003, lk 90).

(15) Euroopa Parlamendi ja nõukogu 16. aprilli 2014. aasta määrus (EL) nr 536/2014, milles käsitletakse inimtervishoius kasutatavate ravimite kliinilisi uuringuid ja millega tunnistatakse kehtetuks direktiiv 2001/20/EÜ (ELT L 158, 27.5.2014, lk 1).

(16) Euroopa Parlamendi ja nõukogu 11. märtsi 2009. aasta määrus (EÜ) nr 223/2009 Euroopa statistika kohta ning Euroopa Parlamendi ja nõukogu määruse (EÜ, Euratom) nr 1101/2008 (konfidentsiaalsete statistiliste andmete Euroopa Ühenduste Statistikaametile edastamise kohta), nõukogu määruse (EÜ) nr 322/97 (ühenduse statistika kohta) ja nõukogu otsuse 89/382/EMÜ, Euratom (millega luuakse Euroopa ühenduste statistikaprogrammi komitee) kehtetuks tunnistamise kohta (ELT L 87, 31.3.2009, lk 164).

(17) ELT C 192, 30.6.2012, lk 7.

(18) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(19) Euroopa Parlamendi ja nõukogu 9. septembri 2015. aasta direktiiv (EL) 2015/1535, millega nähakse ette tehnilistest eeskirjadest ning infoühiskonna teenuste eeskirjadest teatamise kord (ELT L 241, 17.9.2015, lk 1).

(20) Euroopa Parlamendi ja nõukogu 9. juuli 2008. aasta määrus (EÜ) nr 765/2008, millega sätestatakse akrediteerimise ja turujärelevalve nõuded seoses toodete turustamisega ja tunnistatakse kehtetuks määrus (EMÜ) nr 339/93 (ELT L 218, 13.8.2008, lk 30).

(21) Euroopa Parlamendi ja nõukogu 30. mai 2001. aasta määrus (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele (EÜT L 145, 31.5.2001, lk 43).

whereas

(16) Käesolevas määruses ei käsitleta põhiõiguste ja -vabaduste kaitse küsimusi ega andmete vaba liikumist, mis on seotud väljapoole liidu õiguse kohaldamisala jääva tegevusega, näiteks riigi julgeolekut puudutava tegevusega, ega isikuandmete töötlemist liikmesriikide poolt liidu ühise välis- ja julgeolekupoliitikaga seonduva tegevuse läbiviimisel.

- = -

(20) Kui käesolevat määrust kohaldatakse muu hulgas kohtute ja muude õigusasutuste tegevuse suhtes, võiks liidu või liikmesriigi õiguses täpsustada isikuandmete töötlemise toimingud ja -menetlused, mis on seotud isikuandmete töötlemisega kohtute ja muude õigusasutuste poolt.
Kohtusüsteemi sõltumatuse kaitsmiseks kohtumenetlusega seotud ülesannete täitmisel, sealhulgas otsusetegemisel, ei peaks järelevalveasutuste pädevus hõlmama isikuandmete töötlemist juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni.
Selliste andmetöötlustoimingute järelevalve peaks olema võimalik teha ülesandeks liikmesriigi kohtusüsteemi konkreetsetele asutustele, kes peaksid eelkõige tagama käesoleva määruse eeskirjade järgimise, teavitama kohtunikke nende käesoleva määruse kohastest kohustustest ning käsitlema selliste andmetöötlusega seotud toimingute suhtes esitatud kaebusi.

- = -

(26) Andmekaitse põhimõtteid tuleks kohaldada tuvastatud või tuvastatavat füüsilist isikut puudutava igasuguse teabe suhtes.
Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta.
Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine.
Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogilisi arenguid.
Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada.
Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.

- = -

(37) Kontsern peaks hõlmama kontrollivat ettevõtjat ja tema kontrolli all olevaid ettevõtjaid, kusjuures kontrolliv ettevõtja peaks saama kasutada teiste ettevõtjate üle valitsevat mõju näiteks omanikuna, rahalise osaluse kaudu, põhikirja alusel või volituse kaudu rakendada isikuandmete kaitse norme.
Ettevõtjat, kes kontrollib isikuandmete töötlemist temaga seotud ettevõtjate puhul, tuleks vaadelda koos nende ettevõtjatega ühe kontsernina.

- = -

(46) Isikuandmete töötlemist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või muu füüsilise isiku eluliste huvide kaitsmiseks.
Muu füüsilise isiku eluliste huvide alusel saaks isikuandmeid põhimõtteliselt töödelda üksnes siis, kui töötlemist ei saa ilmselgelt teostada muul õiguslikul alusel.
Mõnda liiki isikuandmetöötlus võib teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.

- = -

(47) Töötlemise õiguslikuks aluseks võib olla vastutava töötleja (sealhulgas sellise vastutava töötleja, kellele võidakse isikuandmeid avaldada, või kolmanda isiku) õigustatud huvi, tingimusel et andmesubjekti huvid või põhiõigused ja -vabadused ei ole tähtsamad, võttes arvesse andmesubjekti mõistlikke ootusi, mis põhinevad tema suhtel vastutava töötlejaga.
Selline õigustatud huvi võib olemas olla näiteks siis, kui andmesubjekti ja vastutava töötleja vahel on asjakohane ja sobiv suhe, näiteks kui andmesubjekt on vastutava töötleja klient või töötab tema teenistuses.
Igal juhul tuleks õigustatud huvi olemasolu hoolikalt hinnata, sealhulgas seda, kas andmesubjekt võib andmete kogumise ajal ja kontekstis mõistlikkuse piires eeldada, et isikuandmeid võidakse sellel otstarbel töödelda.
Andmesubjekti huvid ja põhiõigused võivad olla vastutava töötleja huvidest tähtsamad eelkõige juhul, kui isikuandmeid töödeldakse olukorras, kus andmesubjektil ei ole mõistlik eeldada edasist töötlemist.
Arvestades, et avaliku sektori asutuste jaoks peab isikuandmete töötlemise õigusliku aluse kehtestama seadusandja õigusaktiga, ei tohiks töötlemise puhul kohaldada sellist õiguslikku alust, mida avaliku sektori asutused teostavad oma ülesannete täitmiseks.
Pettuste vältimiseks rangelt vajalik isikuandmete töötlemine on samuti asjaomase vastutava töötleja õigustatud huvi.
Isikuandmete töötlemist otseturunduse eesmärgil võib lugeda õigustatud huviga töötlemiseks.

- = -

(50) Isikuandmete töötlemine muudel eesmärgil kui need, milleks isikuandmed algselt koguti, peaks olema lubatud üksnes juhul, kui töötlemine on kooskõlas eesmärkidega, mille jaoks isikuandmed algselt koguti.
Sellisel juhul ei ole nõutav, et õiguslik alus oleks erinev õiguslikust alusest, mis võimaldas isikuandmete kogumist.
Kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks, võib liidu või liikmesriigi õiguses kindlaks määrata ja täpsustada need ülesanded ja eesmärgid, mille puhul tuleks pidada edasist töötlemist eesmärkidele vastavaks ja seaduslikuks.
Edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil tuleks käsitada eesmärkidele vastavate seaduslike isikuandmete töötlemise toimingutena.
Liidu või liikmesriigis õiguses sätestatud õiguslik alus isikuandmete töötlemiseks võib olla ka edasise töötlemise õiguslikuks aluseks.
Selleks et teha kindlaks, kas edasise töötlemise eesmärk vastab eesmärgile, mille jaoks isikuandmed algselt koguti, peaks vastutav töötleja võtma pärast kõikide esialgse töötlemise seaduslikkuse seisukohast vajalike nõuete täitmist muu hulgas arvesse mis tahes seoseid sellise eesmärgi ja kavandatava edasise töötlemise eesmärgi vahel, isikuandmete kogumise konteksti, eelkõige andmesubjekti ja vastutava töötleja vahelisel suhtel põhinevaid andmesubjekti mõistlikke ootusi andmete edasise kasutamise suhtes, isikuandmete laadi, kavandatava edasise töötlemise tagajärgi andmesubjekti jaoks ning asjakohaste kaitsemeetmete olemasolu nii esialgsetes kui ka kavandatavates edasistes isikuandmete töötlemise toimingutes.

- = -

(51) Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada.
Need isikuandmed peaksid hõlmama ka niisuguseid isikuandmeid, millest ilmneb rassiline või etniline päritolu, kusjuures mõiste „rassiline päritolu“ kasutamine käesolevas määruses ei osuta sellele, et liit aktsepteerib teooriaid, millega püütakse määrata kindlaks eraldi inimrasside olemasolu.
Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud üksnes biomeetriliste andmete määratlusega, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida.
Selliseid isikuandmeid ei tohiks töödelda, välja arvatud käesolevas määruses sätestatud konkreetsetel juhtudel, kui töötlemine on lubatud, võttes arvesse seda, et liikmesriikide õiguses võib kehtestada konkreetseid andmekaitse-eeskirju, et kohandada käesoleva määruse eeskirjade kohaldamist juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.
Lisaks sellise töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid eeskirju, eelkõige seoses seadusliku töötlemise tingimustega.
Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

- = -

(52) Isikuandmete eriliikide töötlemise keelust peaks olema lubatud kõrvale kalduda ka juhul, kui see on sätestatud liidu või liikmesriigi õiguses, ja eeldusel, et kehtestatakse asjakohased kaitsemeetmed, et kaitsta isikuandmeid ja muid põhiõigusi, kui see on avalikes huvides, eelkõige isikuandmete töötlemine tööõiguse, sotsiaalkaitseõiguse, sealhulgas pensionide valdkonnas ning terviseturbe, -seire ja hoiatamisega seotud eesmärkidel, nakkushaiguste ennetamine ja tõrje ning muud tõsised terviseohud.
Sellise erandi võib teha tervisega seotud eesmärkidel, sealhulgas rahvatervise ja tervishoiuteenuste korraldamise valdkonnas, eelkõige selleks, et tagada tervisekindlustussüsteemis hüvitisi ja teenuseid puudutavate nõuete rahuldamiseks kasutatavate menetluste kvaliteet ja kulutasuvus, või avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil.
Erand peaks võimaldama selliste isikuandmete töötlemist ka siis, kui see on vajalik õigusnõuete koostamiseks, esitamiseks või kaitsmiseks sõltumata sellest, kas see toimub kohtumenetluse, haldusmenetluse või kohtuvälise menetluse raames.

- = -

(61) Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle juhtumi asjaoludest olenevalt kas andmesubjektilt andmete kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid hangitakse muust allikast.
Kui isikuandmeid võib õiguspäraselt avaldada muule vastuvõtjale, tuleks andmesubjekti sellest teavitada andmete esmakordsel avaldamisel.
Kui vastutav töötleja kavatseb isikuandmeid töödelda muul eesmärgil kui see, milleks neid koguti, peaks vastutav töötleja esitama andmesubjektile enne andmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu vajaliku teabe.
Kui andmesubjektile ei saa esitada isikuandmete päritolu, sest kasutatud on mitut allikat, tuleks esitada üldteave.

- = -

(72) Profiilianalüüsi suhtes kohaldatakse käesolevas määruses sätestatud isikuandmete töötlemist reguleerivaid eeskirju, näiteks töötlemise õiguslikke aluseid või andmekaitse põhimõtteid.
Käesoleva määrusega loodud Euroopa Andmekaitsenõukogul („andmekaitsenõukogu“) peaks olema võimalik andma sellekohaseid suuniseid.

- = -

(80) Kui väljaspool liitu asuv vastutav töötleja või volitatud töötleja töötleb liidus olevate andmesubjektide isikuandmeid ja tema isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega sellistele andmesubjektidele liidus, olenemata sellest, kas andmesubjekt peab nende eest maksma, või selliste andmesubjektide käitumise jälgimisega, kui see käitumine toimub liidus, peaks vastutav töötleja või volitatud töötleja nimetama esindaja, välja arvatud juhul, kui ta töödeldakse juhtumipõhiselt, ei hõlma isikuandmete eriliikide suures ulatuses töötlemist või süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist ning selle tulemusel ei ohustata tõenäoliselt füüsiliste isikute õigusi ja vabadusi, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või kui vastutav töötleja on avaliku sektori asutus või organ.
Esindaja peaks tegutsema vastutava töötleja või volitatud töötleja nimel ja tema poole võivad pöörduda kõik järelevalveasutused.
Esindaja peaks olema vastutava töötleja või volitatud töötleja kirjaliku volitusega selgesõnaliselt määratud tegutsema vastutava töötleja või volitatud töötleja nimel seoses kohustustega, mida nad peavad käesoleva määruse kohaselt täitma.
Sellise esindaja määramine ei mõjuta vastutava töötleja või volitatud töötleja käesoleva määruse kohaseid kohustusi.
Selline esindaja peaks täitma oma ülesandeid vastavalt vastutavalt töötlejalt või volitatud töötlejalt saadud volitustele, sealhulgas tegema pädevate järelevalveasutustega koostööd igasugustes meetmetes, mis võetakse käesoleva määruse täitmise tagamiseks.
Määratud esindaja suhtes tuleks kohaldada täitemenetlust, kui vastutav töötleja ega volitatud töötleja ei täida käesoleva määruse sätteid.

- = -

(84) Käesoleva määruse järgimise parandamiseks juhtudel, kus isikuandmete töötlemise toimingud kujutavad endast füüsiliste isikute õigustele ja vabadustele tõenäoliselt suurt ohtu, peaks vastutav töötleja vastutama andmekaitsealase mõjuhinnangu tegemise eest, et hinnata eelkõige selle ohu päritolu, laadi, eripära ja tõsidust.
Hinnangu tulemust tuleks arvestada asjakohaste meetmete kindlaksmääramisel, mis tuleb võtta selle tõendamiseks, et isikuandmete töötlemine on käesoleva määrusega kooskõlas.
Kui andmekaitsealane mõjuhinnang näitab, et isikuandmete töötlemise toimingutega kaasneb suur oht, mida vastutav töötleja ei saa leevendada kättesaadava tehnoloogia ja rakendamise maksumuse osas asjakohaste meetmetega, tuleks enne töötlemist konsulteerida järelevalveasutusega.

- = -

(90) Sellistel juhtudel peaks vastutav töötleja suure ohu konkreetse tõenäosuse ja tõsiduse hindamiseks, võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke ning ohu tõsidust, koostama enne töötlemist andmekaitsealase mõjuhinnangu.
Nimetatud mõjuhinnang peaks eelkõige sisaldama kavandatavaid meetmeid, kaitsemeetmeid ja mehhanisme selle ohu leevendamiseks ja isikuandmete kaitse tagamiseks ning käesoleva määruse täitmise tõendamiseks.

- = -

(91) Seda tuleks eelkõige kohaldada ulatuslike isikuandmete töötlemise toimingute puhul, mille eesmärk on töödelda suurt hulka isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil ja mis võivad mõjutada paljusid andmesubjekte ning mis kujutavad endast tõenäoliselt suurt ohtu, näiteks nende andmete tundlikkuse tõttu, kui vastavalt tehnoloogiliste teadmiste tasemele kasutatakse ulatuslikult uut tehnoloogiat, samuti muude isikuandmete töötlemise toimingute puhul, mis kujutavad endast suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige juhul, kui andmesubjektidel on nende toimingute tõttu raskem oma õigusi kasutada.
Andmekaitsealane mõjuhinnang tuleks teha ka juhtudel, kus isikuandmeid töödeldakse selleks, et võtta vastu otsuseid konkreetsete füüsiliste isikute kohta pärast millist tahes füüsiliste isikutega seotud isiklike aspektide profiilianalüüsil põhinevat süstemaatilist ja põhjalikku hindamist või pärast seda, kui töödeldakse eriliikidesse kuuluvaid isikuandmeid, biomeetrilisi andmeid või andmeid süüteoasjades süüdimõistvate kohtuotsuste ja rikkumiste või nendega seotud turvameetmete kohta.
Andmekaitsealast mõjuhinnangut on samuti vaja avalike alade ulatusliku jälgimise puhul, eriti kui kasutatakse elektroonilisi optikaseadmeid, või mis tahes muude toimingute puhul, kui pädev järelevalveasutus leiab, et töötlemine võib kujutada endast tõenäoliselt suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige sellepärast, et need takistavad andmesubjektidel õiguse või teenuse või lepingu kasutamist, või sellepärast, et neid teostatakse süstemaatiliselt suures ulatuses.
Isikuandmete töötlemist ei tuleks lugeda ulatuslikuks, kui töötlemine puudutab patsientide või klientide isikuandmete töötlemist üksiku arsti, muu tervishoiutöötaja või juristi poolt.
Sellistel juhtudel ei peaks andmekaitsealane mõjuhinnang olema kohustuslik.

- = -

(97) Kui töötlemist teostab avaliku sektori asutus, välja arvatud kohtud või sõltumatud õigusasutused, kui nad teevad menetlusotsuseid, töötlejaks on erasektoris vastutava töötleja, kelle põhitegevus hõlmab isikuandmete töötlemise toiminguid, mis eeldavad ulatuslikku regulaarset ja süstemaatilist järelevalvet andmesubjektide üle, või kui vastutava töötleja või volitatud töötleja põhitegevus hõlmab isikuandmete eriliikide ja süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist, peaks vastutavat töötlejat või volitatud töötlejat abistama andmekaitsealaseid õigusakte ja tavasid eksperdi tasandil tundev isik, kes kontrollib käesoleva määruse täitmist asutuse või töötleja poolt.
Erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena.
Erialaste teadmiste vajalik tase tuleks määrata kindlaks eelkõige vastavalt teostatavatele andmetöötlustoimingutele ning vastutava töötleja või volitatud töötleja töödeldavate isikuandmete kaitsmise nõuetele.
Sellistel andmekaitseametnikel, sõltumata sellest, kas nad on vastutava töötleja töötajad või mitte, peaks olema võimalik täita oma kohustusi ja ülesandeid sõltumatul viisil.

- = -

(122) Järelevalveasutus peaks olema oma liikmesriigi territooriumil pädev täitma talle käesoleva määrusega antud volitusi ja ülesandeid.
Eelkõige peaks see hõlmama töötlemist, mis leiab aset vastutava töötleja või volitatud töötleja tegevuskoha tegevuse raames tema liikmesriigi territooriumil, isikuandmete töötlemist, mida teostavad avaliku sektori või eraõiguslikud asutused avalikes huvides, töötlemist, mis mõjutab andmesubjekte tema liikmesriigi territooriumil, või töötlemist, mida teostab vastutav töötleja või volitatud töötleja, kelle tegevuskoht ei asu liidus, kuid sihtandmesubjektide elukoht on tema territooriumil.
See peaks hõlmama andmesubjektide esitatud kaebuste menetlemist, käesoleva määruse kohaldamist käsitlevate uurimiste läbiviimist ning avalikkuse teadlikkuse tõstmist isikuandmete töötlemisega seotud ohtudest, eeskirjadest, tagatistest ja õigustest.

- = -

(126) Otsuses peaksid ühiselt kokku leppima juhtiv järelevalveasutus ja asjaomased järelevalveasutused ning see peaks olema suunatud vastutava töötleja ja volitatud töötleja peamisele või ainsale tegevuskohale ning olema vastutava töötleja ja volitatud töötleja jaoks siduv.
Vastutav töötleja või volitatud töötleja peaksid võtma vajalikud meetmed, et tagada käesoleva määruse järgimine ning juhtiva järelevalveasutuse poolt vastutava töötleja ja volitatud töötleja peamisele tegevuskohale teatavaks tehtud liidu töötlemistegevust käsitleva otsuse rakendamine.

- = -

(127) Järelevalveasutus, kes ei tegutse juhtiva järelevalveasutusena, peaks olema pädev käsitlema kohalikke juhtumeid, kui vastutava töötleja või volitatud töötleja tegevuskoht asub rohkem kui ühes liikmesriigis, kuid konkreetne töötlemine puudutab ainult ühes liikmesriigis toimuvat töötlemist ja hõlmab ainult selles ühes liikmesriigis asuvaid andmesubjekte, näiteks kui tegemist on töötajate isikuandmete töötlemisega asjaomase liikmesriigi konkreetses töösuhete kontekstis.
Sellistel juhtudel peaks järelevalveasutus teavitama juhtivat järelevalveasutust viivitamata sellest küsimusest.
Pärast teavituse saamist peaks juhtiv järelevalveasutus otsustama, kas ta tegeleb juhtumiga vastavalt juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vahelist koostööd käsitlevatele sätetele („ühtse kontaktpunkti mehhanism“) või peaks juhtumiga tegelema teda teavitanud järelevalveasutus kohalikul tasandil.
Selle üle otsustamisel, kas ta tegeleb juhtumiga, peaks juhtiv järelevalveasutus arvesse võtma seda, kas teda teavitanud järelevalveasutuse liikmesriigis on vastutava töötleja või volitatud töötleja tegevuskoht, et tagada vastutava töötleja või volitatud töötleja suhtes tehtud otsuse tõhus täitmine.
Kui juhtiv järelevalveasutus otsustab juhtumiga tegeleda, peaks teda teavitanud järelevalveasutusel olema võimalik esitada otsuse eelnõu, mida juhtiv järelevalveasutus peaks oma ühtse kontaktpunkti mehhanismi raames tehtava otsuse ettevalmistamisel täiel määral arvesse võtma.

- = -

(131) Kui vastutava töötleja või volitatud töötleja töötlemistegevuse suhtes peaks juhtiva järelevalveasutusena tegutsema mõni muu järelevalveasutus, kuid kaebuse või võimaliku rikkumise sisu puudutab vastutava töötleja või volitatud töötleja töötlemistegevust ainult selles liikmesriigis, kus kaebus esitati või võimalik rikkumine tuvastati, ja see ei mõjuta oluliselt või tõenäoliselt ei mõjuta oluliselt andmesubjekte teistes liikmesriikides, siis peaks järelevalveasutus, kellele kaebus esitati või kes tuvastas olukorra või sai muul viisil teada olukorrast, mis võib tuua kaasa käesoleva määruse rikkumise, püüdma saavutada volitatud töötlejaga kokkuleppe ning kui see ei õnnestu, kasutama kõiki oma volitusi.
See peaks hõlmama konkreetset töötlemist, mis toimub järelevalveasutuse liikmesriigi territooriumil või seoses selle liikmesriigi territooriumil asuvate andmesubjektidega; töötlemist, mis toimub seoses järelevalveasutuse liikmesriigi territooriumil asuvatele andmesubjektidele spetsiaalselt suunatud kaupade või teenuste pakkumisega; või töötlemist, mida peab hindama liikmesriigi õiguse kohaseid juriidilisi kohustusi arvestades.

- = -

(144) Kui kohtul, kus algatati menetlus järelevalveasutuse otsuse vastu, on põhjust arvata, et teise liikmesriigi pädevas kohtus on algatatud menetlus seoses sama töötlemisega, näiteks sama vastutava töötleja või volitatud töötleja töötlemistegevusega seotud samas asjas või kasutades sama hagi alust, peaks ta võtma ühendust selle kohtuga, et kinnitada sellise seotud menetluse olemasolu.
Kui need seotud menetlused on käimas teise liikmesriigi kohtus, võib mis tahes kohus, välja arvatud kohus, kuhu pöörduti esimesena, peatada oma menetluse, või võib ühe osapoole taotlusel loobuda pädevusest esimesena hagi saanud kohtu kasuks, kui nimetatud kohtul on kõnealuse menetluse suhtes pädevus ja tema asukohariigi õigus võimaldab selliste seotud menetluste liitmist.
Menetlused loetakse omavahel seotuks, kui nad on sedavõrd tihedalt seotud, et eri menetlustest tulenevate vastuoluliste otsuste ohu vältimiseks oleks soovitav neid menetleda ning otsuseid teha üheskoos.

- = -

(146) Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas.
Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav.
Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke.
See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid.
Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju.
Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.
Kui vastutavad töötlejad või volitatud töötlejad on seotud sama töötlemisega, tuleks vastutav töötleja või volitatud töötleja võtta vastutusele kogu kahju eest.
Ent kui nad on kooskõlas liikmesriigi õigusega ühendatud sama kohtumenetlusega, võib hüvitamise jagada vastavalt vastutava töötleja või volitatud töötleja vastutusele töötlemisel tekitatud kahju eest, tingimusel et tagatud on andmesubjekti kantud kahju täielik ja tõhus hüvitamine.
Vastutav töötleja või volitatud töötleja, kes on maksnud täieliku hüvitise, võib hiljem algatada regressihagi teiste sama töötlemisega seotud vastutavate töötlejate või volitatud töötlejate vastu.

- = -

(155) Liikmesriigi õiguses või kollektiivlepingutes (sealhulgas ettevõttesisesed lepingud) võib ette näha erieeskirjad, millega reguleeritakse töötajate isikuandmete töötlemist töösuhete kontekstis, eelkõige tingimused, mille kohaselt võib töösuhete kontekstis isikuandmeid töödelda töötaja nõusolekul, seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ja töösuhte lõppemisega.

- = -

(156) Avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil toimuva isikuandmete töötlemise suhtes tuleks kohaldada kooskõlas käesoleva määrusega asjakohaseid kaitsemeetmeid andmesubjekti õiguste ja vabaduste kaitseks.
Nende kaitsemeetmetega tuleks tagada tehniliste ja korralduslike meetmete olemasolu, eelkõige selleks, et tagada võimalikult väheste andmete kogumise põhimõtte järgimine.
Isikuandmete edasine töötlemine avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil peab toimuma siis, kui vastutav töötleja on hinnanud nende eesmärkide täitmise teostatavust, töödeldes isikuandmeid, mis ei võimalda või enam ei võimalda andmesubjekte tuvastada, tingimusel et olemas on asjakohased kaitsemeetmed (näiteks isikuandmete pseudonümiseerimine).
Liikmesriigid peaksid kehtestama asjakohased kaitsemeetmed isikuandmete töötlemisele, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.
Liikmesriikidel peaks olema õigus määrata konkreetsetel tingimustel ja andmesubjektidele mõeldud asjakohaste kaitsemeetmete olemasolul spetsifikatsioonid ja erandid seoses teabenõuetega, õigusega andmeid parandada ja kustutada, õigusega olla unustatud, andmete töötlemise piiranguga ja andmete ülekandmise õigusega ning õigusega esitada vastuväiteid isikuandmete töötlemisel, mis toimub avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil.
Kõnealused tingimused ja kaitsemeetmed võivad sisaldada andmesubjektidele mõeldud konkreetseid menetlusi nende õiguste kasutamiseks, kui see on asjakohane konkreetse töötlemise eesmärkide alusel, ning tehnilisi ja korralduslikke meetmeid, mille eesmärk on vähendada miinimumini isikuandmete töötlemist kooskõlas proportsionaalsuse ja vajalikkuse põhimõttega.
Isikuandmete töötlemine teadusuuringute eesmärgil peaks samuti olema kooskõlas muude asjakohaste õigusaktidega, näiteks kliinilisi uuringuid käsitlevate õigusaktidega.

- = -

(158) Kui isikuandmeid töödeldakse arhiveerimise eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes, pidades silmas, et käesolevat määrust ei tuleks kohaldada surnuid puudutavate isikuandmete suhtes.
Avaliku sektori asutustel või avalik-õiguslikel või eraõiguslikel organitel, kellel on avalikku huvi pakkuvad andmed, peaksid olema teenistused, kellel on kooskõlas liidu või liikmesriigi õigusega juriidiline kohustus omandada, säilitada, hinnata, korraldada, kirjeldada, edendada ja levitada üldist avalikku huvi pakkuvaid püsiva väärtusega andmeid ning anda nende kohta teavet ja tagada neile juurdepääs.
Liikmesriikidel peaks samuti olema lubatud ette näha isikuandmete täiendavat täiendavat töötlemist arhiveerimise eesmärgil näiteks selleks, et anda konkreetset teavet seoses endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevuse, genotsiidi, inimsusevastaste kuritegude, eelkõige holokausti, või sõjakuritegudega.

- = -

(159) Kui isikuandmeid töödeldakse teadusuuringute eesmärgil, tuleks käesolevat määrust kohaldada ka sellise töötlemise suhtes.
Käesoleva määruse tähenduses tuleks teadusuuringute eesmärgil toimuvat isikuandmete töötlemist tõlgendada laialt nii, et see hõlmab näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori vahenditest rahastatavaid uuringuid.
Lisaks tuleks seejuures arvesse võtta ELi toimimise lepingu artikli 179 lõikes 1 sätestatud liidu eesmärki luua Euroopa teadusruum.
Teadusuuringute eesmärk peaks hõlmama ka rahvatervise valdkonnas avalikust huvist lähtuvalt tehtud uuringuid.
Teadusuuringute eesmärgil isikuandmete töötlemise eripära arvessevõtmiseks tuleks kohaldada eritingimusi eelkõige seoses isikuandmete avaldamise või muul viisil avalikustamisega teadusuuringute eesmärgi kontekstis.
Kui teadusuuringute tulemus eelkõige tervishoiu kontekstis loob aluse täiendavateks meetmeteks andmesubjekti huvides, tuleks nende meetmete suhtes kohaldada käesoleva määruse üldiseid eeskirju.

- = -

(171) Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks.
Käesoleva määruse kohaldamise alguskuupäeval juba teostatav töötlemine tuleks viia käesoleva määrusega kooskõlla kahe aasta jooksul pärast käesoleva määruse jõustumist.
Kui töödeldakse direktiivi 95/46/EÜ kohase nõusoleku alusel, ei ole, juhul kui nõusolek on antud kooskõlas käesoleva määruste tingimustega, andmesubjektil vaja oma nõusolekut uuesti anda selleks, et vastutav töötleja saaks jätkata sellist töötlemist pärast käesoleva määruse kohaldamise alguskuupäeva.
Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load jäävad kehtima nende muutmise, asendamise või kehtetuks tunnistamiseni.

- = -

dal 2004 diritto e informatica