interactive GDPR 2016/0679 ET

1. Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada

a)	riigi julgeolek;

b)	riigikaitse;

c)	avalik julgeolek;

d)	süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

e)	liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;

f)	kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;

g)	reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

h)	jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a – e ja g osutatud juhtudel;

i)	andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

j)	tsiviilõiguslike nõuete täitmise tagamine.

2. Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:

a)	töötlemise või selle kategooriate eesmärgid;

b)	isikuandmete liigid;

c)	kehtestatud piirangute ulatus;

d)	kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)	vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)	säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;

g)	andmesubjektide õigusi ja vabadusi ähvardavad ohud ning

h)	andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.

IV PEATÜKK

Vastutav töötleja ja volitatud töötleja

1. jagu

Üldkohustused

Artikkel 26

Kaasvastutavad töötlejad

1. Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad kaasvastutava töötleja vastutusvaldkonna käesoleva määruse kohaste kohustuste täitmisel – eelkõige mis puudutab andmesubjekti õiguste kasutamist ja kaasvastutava töötleja kohustust esitada artiklites 13 ja 14 osutatud teavet – läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral mil vastutavate töötlejate vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Sellise kokkuleppe osana võib määrata andmesubjektide jaoks kontaktpunkti.

2. Lõikes 1 osutatud kokkuleppes võetakse asjakohaselt arvesse kaasvastutava töötleja vastavaid rolle ja suhteid seoses andmesubjektidega. Kokkuleppe põhitingimused tehakse andmesubjektile teatavaks.

3. Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võib andmesubjekt kasutada oma käesoleva määruse kohaseid õigusi vastutava töötleja suhtes ja vastu.

Artikkel 27

Väljaspool liitu asuvate vastutavate töötlejate või volitatud töötlejate esindajad

1. Kui kohaldatakse artikli 3 lõiget 2, siis määrab vastutav töötleja või volitatud töötleja kirjalikult oma esindaja liidus.

2. Nõuet ei kohaldata:

kui isikuandmete töötlemine on juhtumipõhine, see ei hõlma artikli 9 lõikes 1 osutatud isikuandmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslikku töötlemist ning ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või

b)	avaliku sektori asutuse või organi suhtes.

3. Esindaja asukoht peab olema ühes liikmesriikidest, kus asuvad andmesubjektid, kelle isikuandmeid töödeldakse neile kaupade või teenuste pakkumise korral või kelle käitumist jälgitakse.

4. Vastutav töötleja või volitatud töötleja volitab esindajat suhtlema lisaks vastutavale töötlejale või volitatud töötlejale või tema asemel eelkõige järelevalveasutuste ja andmesubjektidega kõigis isikuandmete töötlemisega seotud küsimustes, et tagada käesoleva määruse järgimine.

5. Vastutava töötleja või volitatud töötleja poolt esindaja määramine ei piira võimalust võtta õiguslikke meetmeid vastutava töötleja või volitatud töötleja enda suhtes.

Artikkel 36

Eelnev konsulteerimine

1. Vastutav töötleja konsulteerib enne isikuandmete töötlemist järelevalveasutusega, kui artikli 35 kohasest andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohu leevendamiseks võetavate meetmete puudumise korral suur oht.

2. Kui järelevalveasutus on seisukohal, et lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesolevat määrust, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, siis annab järelevalveasutus hiljemalt kaheksa nädala jooksul alates konsulteerimise taotluse kättesaamisest vastutavale töötlejale ja asjakohasel juhul volitatud töötlejale kirjalikult nõu ja ta võib kasutada artiklis 58 osutatud õigusi. Seda tähtaega võib pikendada kuue nädala võrra, arvestades kavandatava isikuandmete töötlemise keerukust. Järelevalveasutus teavitab pikendatud tähtaja kohaldamise korral vastutavat töötlejat ja asjakohasel juhul volitatud töötlejat kõigist sellistest pikendamistest ühe kuu jooksul alates konsulteerimise taotluse kättesaamisest, sealhulgas viivituse põhjustest. Need tähtajad võib peatada seniks, kuni järelevalveasutus on saanud kogu teabe, mida ta on küsinud seoses konsulteerimisega.

3. Järelevalveasutusega lõike 1 kohaselt konsulteerimisel esitab vastutav töötleja järelevalveasutusele järgmise teabe:

a)	kui see on asjakohane, siis isikuandmete töötlemisega seotud vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastavad vastutusvaldkonnad, eelkõige seoses töötlemisega kontsernis;

b)	kavandatava isikuandmete töötlemise eesmärk ja vahendid;

c)	ettenähtud meetmed ja tagatised, et kaitsta käesoleva määruse kohaselt andmesubjektide õigusi ja vabadusi;

d)	kui see on asjakohane, siis andmekaitseametniku kontaktandmed;

e)	artiklis 35 sätestatud andmekaitsealane mõjuhinnang ning

f)	kogu muu järelevalveasutuse taotletud teave.

4. Liikmesriik konsulteerib järelevalveasutusega, kui koostamisel on riigi parlamendis vastu võetava õigusliku meetme ettepanek või sellisel õiguslikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.

5. Olenemata lõikest 1 võib liikmesriigi õigusega ette näha, et vastutavad töötlejad peavad konsulteerima järelevalveasutustega ja saama neilt eelneva loa, kui vastutav töötleja kavatseb töödelda isikuandmeid vastutava töötleja poolt avalikes huvides täidetava ülesande raames, mis hõlmab sellist isikuandmete töötlemist seoses sotsiaalkaitse ja rahvatervisega.

4. jagu

Andmekaitseametnik

Artikkel 40

Toimimisjuhendid

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad toimimisjuhendite koostamist, mille eesmärk on aidata kaasa käesoleva määruse nõuetekohasele kohaldamisele, võttes arvesse erinevate töötlussektorite eripära ning mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. vastutavate töötlejate ja volitatud töötlejate kategooriaid esindavad ühendused ja muud organid võivad koostada toimimisjuhendeid või muuta või laiendada neid toimimisjuhendeid, et täpsustada käesoleva määruse kohaldamist seoses järgmisega:

a)	isikuandmete õiglane ja läbipaistev töötlemine;

b)	vastutava töötleja õigustatud huvid teatud kontekstis;

c)	isikuandmete kogumine;

d)	isikuandmete pseudonümiseerimine;

e)	üldsuse ja andmesubjektide teavitamine;

f)	andmesubjektide õiguste kasutamine;

g)	laste teavitamine ja kaitsmine ning lapse suhtes vanemliku vastutusega isiku nõusoleku saamise viis;

h)	artiklites 24 ja 25 osutatud meetmed ja menetlused ning meetmed artiklis 32 osutatud isikuandmete töötlemise turvalisuse tagamiseks;

i)	isikuandmetega seotud rikkumistest teatamine järelevalveasutustele ja andmesubjektide teavitamine isikuandmetega seotud rikkumistest;

j)	isikuandmete edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele, ja

k)	vastutavate töötlejate ja andmesubjektide vaheliste isikuandmete töötlemist käsitlevate kohtuväliste menetluste ja muude vaidluste lahendamise kord, ilma et see piiraks andmesubjektide õigusi vastavalt artiklitele 77 ja 79.

3. Peale selle, et käesoleva artikli lõike 5 kohaselt heaks kiidetud ja käesoleva artikli lõike 9 kohaselt terves liidus kehtivaks tunnistatud toimimisjuhendeid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võivad neid järgida ka vastutavad töötlejad ja volitatud töötlejad, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, et tagada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus artikli 46 lõike 2 punktis e osutatud tingimustel asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

4. Käesoleva artikli lõike 2 kohane toimimisjuhend peab sisaldama mehhanisme, mis võimaldavad artikli 41 lõikes 1 osutatud asutusel teha kohustuslikku järelevalvet selle üle, et toimimisjuhendit täitma kohustunud vastutav töötleja või volitatud töötleja järgib seda, ilma et see piiraks artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli lõikes 2 osutatud ühendused ja muud organid, kes kavatsevad koostada toimimisjuhendi või muuta või laiendada olemasolevat juhendit, esitavad vastavalt artiklile 55 kompetentsele järelevalveasutusele toimimisjuhendi kavandi. Järelevalveasutus esitab arvamuse selle kohta, kas juhendi kavand või muudetud või laiendatud juhend vastab käesolevale määrusele, ning kui ta leiab, et see tagab piisavad asjakohased kaitsemeetmed, kiidab ta selle kavandi või muudetud või laiendatud juhendi heaks.

6. Kui toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend kiidetakse vastavalt lõikele 5 heaks ning kui asjaomane toimimisjuhend ei ole seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, registreerib ja avaldab järelevalveasutus toimimisjuhendi.

7. Kui toimimisjuhendi kavand on seotud isikuandmete töötlemise toimingutega mitmes liikmesriigis, siis esitab artikli 55 kohaselt pädev järelevalveasutus toimimisjuhendi enne selle heakskiitmist artiklis 63 osutatud menetluse kohaselt andmekaitsenõukogule, kes esitab arvamuse selle kohta, kas toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab käesoleva artikli lõikes 3 osutatud olukorras asjakohased kaitsemeetmed.

8. Kui lõikes 7 osutatud arvamuses kinnitatakse, et toimimisjuhendi kavand või muudetud või laiendatud toimimisjuhend vastab käesolevale määrusele või tagab lõikes 3 osutatud olukorras asjakohased kaitsemeetmed, siis esitab andmekaitsenõukogu oma arvamuse komisjonile.

9. Komisjon võib rakendusaktidega otsustada, et talle vastavalt käesoleva artikli lõikele 8 esitatud heakskiidetud toimimisjuhendid, muudatused ja laiendused kehtivad terves liidus. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

10. Komisjon tagab asjakohase teavituse lõike 9 kohase otsusega terves liidus kehtivaks tunnistatud heakskiidetud toimimisjuhenditest.

11. Andmekaitsenõukogu koondab kõik heakskiidetud toimimisjuhendid, muudatused ja laiendused registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 41

Heakskiidetud toimimisjuhendite järgimise järelevalve

1. Ilma et see mõjutaks artiklite 57 ja 58 kohaseid pädeva järelevalveasutuse ülesandeid ja volitusi, võib artikli 40 kohase toimimisjuhendi järgimise üle järelevalvet teostada asutus, kellel on toimimisjuhendi sisu osas asjakohased ekspertteadmised ja kes on selleks pädeva järelevalveasutuse poolt akrediteeritud.

2. Lõikes 1 osutatud asutust võib akrediteerida teostama toimimisjuhendi järgimise üle järelevalvet, kui nimetatud asutus:

a)	on pädeva järelevalveasutuse jaoks rahuldavalt tõendanud oma sõltumatust ja ekspertteadmisi toimimisjuhendi sisu osas;

b)	on kehtestanud menetlused, mis võimaldavad tal hinnata vastutavate töötlejate ja volitatud töötlejate sobivust toimimisjuhendi kohaldamiseks, teostada järelevalvet selle sätete järgimise üle ja vaadata korrapäraselt üle selle toimimist;

on kehtestanud menetlused ja struktuurid selleks, et käsitleda kaebusi vastutava töötleja või volitatud töötleja poolt toimimisjuhendi rikkumise või selle varasema või käimasoleva rakendamise viisi suhtes, ning selleks, et muuta need menetlused ja struktuurid andmesubjektidele ja üldsusele läbipaistvaks, ning

d)	tõendab pädeva järelevalveasutuse jaoks rahuldavalt, et tema ülesanded ja kohustused ei põhjusta huvide konflikti.

3. Pädev järelevalveasutus esitab käesoleva artikli lõikes 1 osutatud asutuse akrediteerimise kriteeriumide kavandi andmekaitsenõukogule vastavalt artiklis 63 osutatud järjepidevuse mehhanismile.

4. Ilma et see mõjutaks pädeva järelevalveasutuse ülesandeid ja volitusi ning VIII peatüki sätete kohaldamist, võtab käesoleva artikli lõikes 1 osutatud asutus toimimisjuhendi rikkumise korral vastutava töötleja või volitatud töötleja poolt piisavaid kaitsemeetmeid kasutades asjakohased meetmed, sealhulgas vastutava töötleja või volitatud töötleja toimimisjuhendis osalemise peatamine või välistamine. Asutus teavitab pädevat järelevalveasutust sellistest meetmetest ja nende võtmise põhjustest.

5. Pädev järelevalveasutus tühistab lõikes 1 osutatud asutuse akrediteerimise, kui akrediteerimise tingimused ei ole täidetud või ei ole enam täidetud või asutuse poolt võetavad meetmed ei vasta käesolevale määrusele.

6. Käesolevat artiklit ei kohaldata isikuandmete töötlemisele avaliku sektori asutuste ja organite poolt.

Artikkel 42

Sertifitseerimine

1. Liikmesriigid, järelevalveasutused, andmekaitsenõukogu ja komisjon julgustavad eelkõige liidu tasandil andmekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kasutuselevõttu selle tõendamiseks, et vastutavate töötlejate ja volitatud töötlejate isikuandmete töötlemise toimingud vastavad käesolevale määrusele. Arvesse võetakse mikro-, väikeste ja keskmise suurusega ettevõtjate konkreetseid vajadusi.

2. Peale selle, et käesolevaid sätteid järgivad vastutavad töötlejad ja volitatud töötlejad, kelle suhtes kohaldatakse käesolevat määrust, võib käesoleva artikli lõike 5 kohaselt heaks kiidetud andmekaitse sertifitseerimise mehhanisme, pitsereid ja märgiseid kasutusele võtta ka selleks, et tõendada isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise raamistikus, et vastutav töötleja või volitatud töötleja, kelle suhtes tulenevalt artiklist 3 käesolevat määrust ei kohaldata, on artikli 46 lõike 2 punkti f kohaselt kehtestanud asjakohased kaitsemeetmed. Nende asjakohaste kaitsemeetmete, sealhulgas andmesubjektide õigustega seotud kaitsemeetmete kohaldamiseks kehtestab selline vastutav töötleja või volitatud töötleja lepingu või muu õiguslikult siduva dokumendi alusel siduvad ja täitmisele pööratavad kohustused.

3. Sertifitseerimine on vabatahtlik ning ligipääsetav protsessi kaudu, mis on läbipaistev.

4. Käesoleva artikli kohane sertifitseerimine ei vähenda vastutava töötleja või volitatud töötleja vastutust käesoleva määruse täitmise eest ega piira artikli 55 või 56 kohaselt pädeva järelevalveasutuse ülesandeid ja volitusi.

5. Käesoleva artikli kohase sertifikaadi väljastavad artiklis 43 osutatud sertifitseerimisasutused või vastavalt artikli 58 lõikele 3 pädeva järelevalveasutuse poolt heaks kiidetud kriteeriumide alusel pädev järelevalveasutus või artikli 63 kohaselt andmekaitsenõukogu. Kui kriteeriumid kiidab heaks andmekaitsenõukogu, võib tulemuseks olla ühine sertifikaat – Euroopa andmekaitsepitser.

6. Vastutav töötleja või volitatud töötleja, kes soovib oma töötlemistegevuse sertifitseerimismehhanismi abil sertifitseerida, esitab artiklis 43 osutatud sertifitseerimisasutusele või, kui see on asjakohane, pädevale järelevalveasutusele kogu teabe ja võimaldab sertifitseerimismenetluse läbiviimiseks vajaliku juurdepääsu oma isikuandmete töötlemise toimingutele.

7. Vastutava töötleja või volitatud töötleja tegevusele saab anda sertifikaadi maksimaalselt kolmeks aastaks ja selle kehtivust saab pikendada samadel tingimustel, tingimusel et vastavad nõuded on jätkuvalt täidetud. Kui sertifikaadi nõuded ei ole enam täidetud, võtab artiklis 43 osutatud sertifitseerimisasutus või, kui see on asjakohane, pädev järelevalveasutus sertifikaadi tagasi.

8. Andmekaitsenõukogu koondab kõik sertifitseerimismehhanismid ning andmekaitsepitserid ja -märgised registrisse ja teeb need sobival viisil üldsusele kättesaadavaks.

Artikkel 47

Siduvad kontsernisisesed eeskirjad

1. Pädev järelevalveasutus kiidab kooskõlas artiklis 63 sätestatud järjepidevuse mehhanismiga heaks siduvad kontsernisisesed eeskirjad, tingimusel et

a)	need on õiguslikult siduvad ja neid kohaldatakse kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma asjaomaste liikmete, sealhulgas nende töötajate suhtes, ning kõik liikmed tagavad nende täitmist;

b)	nendega antakse andmesubjektidele selgesõnaliselt nende isikuandmete töötlemist käsitlevad kohtulikult kaitstavad õigused, ning

c)	need vastavad lõikes 2 sätestatud nõuetele.

2. Lõikes 1 osutatud siduvates kontsernisisestes eeskirjades määratakse kindlaks vähemalt järgmised elemendid:

a)	kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma ja kõigi selle liikmete struktuur ja kontaktandmed;

b)	isikuandmete ühekordne või korduv edastamine, sealhulgas isikuandmete liigid, töötlemisviis ja selle eesmärgid, mõjutatud andmesubjektide liik ning kõnealuse kolmanda riigi või kõnealuste kolmandate riikide andmed;

c)	nende õiguslikult siduv olemus, nii ettevõtte siseselt kui ka väliselt;

üldiste andmekaitsepõhimõtete rakendamine, eelkõige eesmärgi piiritlemine, võimalikult väheste andmete kogumine, andmete piiratud säilitamisaeg, andmete kvaliteet, lõimitud andmekaitse ja vaikimisi andmekaitse, töötlemise õiguslik alus, isikuandmete konkreetsete liikide töötlemine, meetmed andmeturbe tagamiseks ja nõuded edasisaatmise kohta asutustele, kes ei ole seotud siduvate kontsernisiseste eeskirjadega;

andmesubjektide õigused seoses isikuandmete töötlemisega ja nende õiguste kasutamise vahendid, sealhulgas õigus sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas artikli 22 kohase profiilianalüüsi alusel, õigus esitada artikli 79 kohane kaebus liikmesriigi pädevale järelevalveasutusele ja pädevatele kohtutele ning õigus taotleda siduvate kontsernisiseste eeskirjade rikkumise korral kahju hüvitamist ja vajaduse korral kompensatsiooni;

liikmesriigi territooriumil asuva vastutava töötleja või volitatud töötleja nõusolek võtta vastutus siduvate kontsernisiseste eeskirjade rikkumise korral, kui selle paneb toime asjaomane liige, kelle asukoht ei ole liidus; vastutava töötleja või volitatud töötleja vabastatakse vastutusest täielikult või osaliselt vaid siis, kui ta tõestab, et kõnealune liige ei ole kahju tekitamise eest vastutav;

g)	kuidas lisaks artiklitega 13 ja 14 ette nähtud teabele edastatakse andmesubjektidele teavet siduvate kontsernisiseste eeskirjade, eelkõige käesoleva lõike punktides d, e ja f osutatud sätete kohta;

kooskõlas artikliga 37 ametisse nimetatud andmekaitseametniku või mis tahes muu sellise isiku või üksuse ülesanded, kes vastutab järelevalve teostamise eest siduvate kontsernisiseste eeskirjade täitmise üle kontsernis või ühise majandustegevusega tegelevate ettevõtjate rühmas ning samuti koolitamise ja kaebuste käsitlemise üle;

i)	kaebuse esitamise menetlused;

kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma sisemehhanismid, et tagada siduvate kontsernisiseste eeskirjade täitmise kontrollimine. Sellised mehhanismid hõlmavad andmekaitseauditeid ja andmesubjekti õiguste kaitseks võetavate parandusmeetmete tagamise meetodeid. Sellise kontrollimise tulemused tuleks teatavaks teha punktis h osutatud isikule või üksusele ning kontrolliva ettevõtja või ühise majandustegevusega tegelevate ettevõtjate rühma juhatusele ning need peaksid olema taotluse alusel pädevale järelevalveasutusele kättesaadavad;

k)	mehhanismid, et registreerida eeskirjades tehtavad muudatused ja teavitada neist järelevalveasutusi;

l)	mehhanism koostööks järelevalveasutusega, et tagada kõigi kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikmete nõuetele vastavus, eelkõige tehes järelevalveasutusele kättesaadavaks punktis j osutatud meetmete kontrollimise tulemused;

mehhanismid pädeva järelevalveasutuse teavitamiseks mis tahes sellistest juriidilistest nõuetest, mida kolmandas riigis kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma liikme suhtes kohaldatakse ning millel võib olla oluline negatiivne mõju siduvate kontsernisiseste eeskirjadega ettenähtud tagatistele, ning

n)	asjakohane andmekaitsekoolitus töötajatele, kellel on isikuandmetele pidev või korrapärane juurdepääs.

3. Komisjon võib määratleda vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra käesoleva artikli tähenduses. Asjaomased rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 sätestatud kontrollimenetlusega.

Artikkel 57

Ülesanded

1. Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

a)	jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

b)	suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

c)	nõustab kooskõlas liikmesriigi õigusega riigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)	edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

e)	annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 80 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)	teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

h)	toimetab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

i)	jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogiate ning kaubandustavade arengut;

j)	võtab vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud lepingu tüüptingimused;

k)	koostab ja säilitab loetelu seoses artikli 35 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

l)	annab nõu artikli 36 lõikes 2 osutatud isikuandmete töötlemise toimingute osas;

m)	ergutab artikli 40 lõike 1 kohaste toimimisjuhendite koostamist, esitab oma arvamuse piisavaid tagatisi pakkuvate toimimisjuhendite kohta ja kiidab need heaks kooskõlas artikli 40 lõikega 5;

m)	ergutab artikli 42 lõike 1 kohaselt andmetekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kehtestamist ning kiidab artikli 42 lõike 5 kohaselt sertifitseerimise kriteeriumid heaks;

o)	vaatab vajaduse korral korrapäraselt läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

p)	koostab ja avaldab artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohase sertifitseerimisasutuse akrediteerimise tingimused;

q)	akrediteerib artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohaselt sertifitseerimisasutuse;

r)	kinnitab artikli 46 lõikes 3 osutatud lepinguklauslid ja -sätted;

s)	kiidab heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad;

t)	annab panuse andmekaitsenõukogu tegevusse;

u)	peab asutusesisest registrit käesoleva määruse rikkumiste ja võetud meetmete kohta, eelkõige kooskõlas artikli 58 lõikega 2 tehtud hoiatuste ja kehtestatud karistuste kohta ning

v)	täidab mis tahes muid isikuandmete kaitsega seotud ülesandeid.

2. Järelevalveasutus võtab meetmeid lõike 1 punktis b osutatud kaebuste esitamise lihtsustamiseks, näiteks koostab kaebuste esitamise vormi, mida saab täita ka elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3. Järelevalveasutus täidab oma ülesandeid andmesubjekti ja asjakohasel juhul andmekaitseametniku jaoks tasuta.

4. Kui taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama taotluse selgelt põhjendamatut või ülemäärast iseloomu.

Artikkel 70

Andmekaitsenõukogu ülesanded

1. Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)	jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)	nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)	nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)	annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)	vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)	koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)	jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)	ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)	täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)	esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)	esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)	esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)	edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)	edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)	edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)	esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)	peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2. Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3. Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4. Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

Artikkel 82

Õigus hüvitisele ja vastutus

1. Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.

2. Kõnealuse töötlemisega seotud vastutav töötleja vastutab kahju eest, mis on tekkinud sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Volitatud töötleja vastutab töötlemise käigus tekitatud kahju eest ainult siis, kui ta ei ole täitnud käesoleva määruse nõudeid, mis on suunatud konkreetselt volitatud töötlejatele, või kui ta pole järginud vastutava töötleja seaduslikke juhiseid või on tegutsenud nende vastaselt.

3. Vastutav töötleja või volitatud töötleja vabastatakse vastutusest lõike 2 kohaselt, kui ta tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest.

4. Kui sama töötlemisega on seotud rohkem kui üks vastutav töötleja või volitatud töötleja või nii vastutav kui ka volitatud töötleja ning nad on lõigete 2 ja 3 kohaselt vastutavad töötlemisega tekitatud kahju eest, võetakse vastutav töötleja või volitatud töötleja vastutusele kogu kahju eest, et tagada andmesubjektile tõhus hüvitamine.

5. Kui vastutav töötleja või volitatud töötleja on tekitatud kahju kooskõlas lõikega 4 täielikult hüvitanud, on sellel vastutaval töötlejal või volitatud töötlejal õigus nõuda teistelt sama töötlemisega seotud vastutavatelt või volitatud töötlejatelt tagasi see hüvitise osa, mis vastab lõikes 2 sätestatud tingimuste kohaselt sellele osale kahjust, mille eest nemad vastutavad.

6. Kohtumenetlus hüvitise saamise õiguse kasutamiseks algatatakse artikli 79 lõikes 2 osutatud liikmesriigi õiguse kohaselt pädevas kohtus.

Artikkel 90

Saladuse hoidmise kohustused

1. Liikmesriigid võivad vastu võtta erieeskirju, et kehtestada artikli 58 lõike 1 punktides e ja f sätestatud järelevalveasutuste volitused seoses vastutavate töötlejate või volitatud töötlejatega, kellel on liidu või liikmesriigi õiguse või riiklike pädevate asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, kui see on vajalik ja proportsionaalne, et ühitada isikuandmete kaitse õigus ja saladuse hoidmise kohustus. Neid eeskirju kohaldatakse üksnes nende isikuandmete suhtes, mida vastutav töötleja või volitatud töötleja on saanud saladuse hoidmise kohustusega hõlmatud tegevuse käigus.

2. Liikmesriik teavitab hiljemalt 25. maiks 2018 komisjoni vastavalt käesoleva artikli lõikele 1 vastu võetud eeskirjadest ning viivitamata kõigist hilisematest neid eeskirju mõjutavatest muudatustest.

whereas

(13) Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö.
Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel.
Et võtta arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erilist olukorda, on käesolevas määruses ette nähtud erand andmete kogumisele kuni 250 töötajaga ettevõtete poolt.
Lisaks kutsutakse liidu institutsioone ja asutusi, liikmesriike ja nende järelevalveasutusi üles võtma käesoleva määruse kohaldamisel arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.
Mikro-, väikeste ja keskmise suurusega ettevõtjate määratlus peaks tuginema komisjoni soovituse 2003/361/EÜ (5) lisa artiklile 2.

- = -

(18) Käesolevat määrust ei tuleks kohaldada isikuandmete töötlemise suhtes, mida füüsiline isik teostab eranditult isiklikel või kodustel eesmärkidel ja seega väljaspool ametialast või äritegevust.
Isiklik ja kodune tegevus võiks hõlmata kirjavahetust ja aadresside loetelu või tegevust suhtlusvõrgustikes ja internetis, mida tehakse sellise isikliku või koduse tegevuse raames.
Käesolevat määrust tuleks aga kohaldada vastutavate töötlejate või volitatud töötlejate suhtes, kes pakuvad isikuandmete isiklikel või kodustel eesmärkidel töötlemise vahendeid.

- = -

(28) Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. „Pseudonümiseerimise“ selgesõnaline kasutuselevõtmine käesolevas määruses ei ole mõeldud välistama mis tahes muid andmekaitsemeetmeid.

- = -

(48) vastutavatel töötlejatel, kes on osa kontsernist või keskasutusega seotud institutsioonist, võib olla õigustatud huvi edastada isikuandmeid kontserni piires sisehalduse eesmärkidel, sealhulgas klientide või töötajate isikuandmete töötlemine.
Kontserni piires kolmandas riigis asuvale ettevõtjale isikuandmete edastamise üldpõhimõtted jäävad samaks.

- = -

(68) Selleks et veelgi tugevdada kontrolli oma andmete üle, peaks andmesubjektil isikuandmete automatiseeritud töötlemise korral samuti olema lubatud saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus ning edastada neid teisele vastutavale töötlejale.
Vastutavaid töötlejaid peaks julgustama arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust.
See õigus peaks olema kasutatav juhul, kui andmesubjekt esitas isikuandmed omaenda nõusoleku alusel või kui töötlemine on vajalik lepingu täitmiseks.
See nõue ei peaks olema kohaldatav, kui töötlemine põhineb muul õiguslikul alusel kui nõusolek või leping.
Seda õigust ei tohiks selle laadi tõttu kasutada vastutavate töötlejate suhtes, kes töötlevad isikuandmeid oma avalike kohustuste täitmisel.
Seda ei tuleks seega kohaldada eelkõige siis, kui isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu kasutamiseks.
Andmesubjekti õigus edastada või saada teda puudutavaid isikuandmeid ei peaks tekitama vastutavatele töötlejatele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme.
Kui teatud isikuandmed puudutavad enam kui üht andmesubjekti, ei tohiks isikuandmete saamise õigus piirata teiste andmesubjektide käesoleva määruse kohaseid õigusi ja vabadusi.
Lisaks ei tohiks see õigus piirata andmesubjekti käesoleva määruse kohast õigust nõuda oma isikuandmete kustutamist ja selle õiguse piiranguid ning ei tohiks eelkõige tähendada andmesubjekti poolt lepingu täitmiseks esitatud teda käsitlevate isikuandmete kustutamist sel määral ja nii kaua, kui isikuandmed on vajalikud selle lepingu täitmiseks.
Kui see on tehniliselt teostatav, peaks andmesubjektil olema õigus sellele, et isikuandmed edastatakse otse ühelt vastutavalt töötlejalt teisele.

- = -

(73) Piirangud, mis puudutavad konkreetseid põhimõtteid ja õigust saada teavet, andmetega tutvuda, nõuda nende parandamist ja kustutamist või õigust andmeid ühest süsteemist teise üle kanda, õigust esitada vastuväiteid, profiilianalüüsil põhinevaid otsuseid, samuti andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning vastutavate töötlejate teatavaid seonduvaid kohustusi, võib kehtestada liidu või liikmesriigi õiguses, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne selleks, et tagada avalik julgeolek, sealhulgas inimelude kaitsmine eelkõige loodus- ja inimtegevusest tingitud õnnetustele reageerimisel, süütegude tõkestamine, uurimine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine või nende ennetamine või reguleeritud kutsealade ametieetika rikkumise ennetamine, liidu või liikmesriigi muu üldise avaliku huvi, eelkõige liidu või liikmesriigi olulise majandus- või finantshuvi oluline eesmärk; üldisest avalikust huvist lähtuvate avalike registrite pidamine, arhiveeritud isikuandmete täiendav töötlemine endise totalitaarse riigikorra tingimustes toimunud poliitilise tegevusega seotud konkreetse teabe andmiseks, andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse, sealhulgas sotsiaalkaitse, rahvatervis ja humanitaareesmärgid.
Nimetatud piirangud peaksid vastama hartas ning Euroopa inimõiguste ja põhivabaduste kaitsekonventsioonis sätestatud nõuetele.

- = -

(79) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus muu hulgas seoses järelevalveasutuste teostatava kontrolli ja nende võetavate meetmetega eeldab käesolevas määruses sätestatud vastutusvaldkondade selget jaotamist, seda ka juhul kui vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid koos teiste vastutavate töötlejatega või kui isikuandmete töötlemise toimingut teostatakse vastutava töötleja nimel.

- = -

(98) vastutavate töötlejate ja volitatud töötlejate eri kategooriaid esindavaid ühendusi ja muid asutusi tuleks kutsuda üles koostama käesoleva määrusega kooskõlas olevaid toimimisjuhendeid, et kaasa aidata käesoleva määruse tõhusale kohaldamisele, võttes arvesse teatavates sektorites toimuva töötlemise eriomadusi ning mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.
Eelkõige võiks selliste toimimisjuhenditega kindlaks määrata vastutavate töötlejate ja volitatud töötlejate kohustused, võttes arvesse isikuandmete töötlemisest tõenäoliselt tekkivat ohtu füüsiliste isikute õigustele ja vabadustele.

- = -

(99) Toimimisjuhendi koostamisel või sellise juhendi muutmisel või laiendamisel peaksid vastutavate töötlejate või volitatud töötlejate kategooriaid esindavad ühendused ja muud asutused konsulteerima asjakohaste sidusrühmadega, sealhulgas võimaluse korral andmesubjektidega, ning võtma arvesse konsulteerimiste käigus saadud ettepanekuid ja väljendatud seisukohti.

- = -

(101) Isikuandmete piiriülene liikumine liitu mitte kuuluvatesse riikidesse ja rahvusvahelistele organisatsioonidele ning nendest riikidest ja organisatsioonidest liitu on vajalik rahvusvahelise kaubanduse ja koostöö laiendamiseks.
Selliste andmevoogude suurenemine on laiendanud isikuandmete kaitsega seonduvate väljakutsete ja probleemide ringi.
Isikuandmete edastamisel liidust vastutavatele töötlejatele, volitatud töötlejatele või muudele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele ei tohiks aga kahjustada liidus käesoleva määrusega tagatud füüsiliste isikute kaitse taset, sealhulgas juhtudel, kui kolmandast riigist või rahvusvahelisest organisatsioonist saadud isikuandmed saadetakse edasi vastutavatele töötlejatele või volitatud töötlejatele samas või muus kolmandas riigis või rahvusvahelises organisatsioonis.
Igal juhul tohib andmeid kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastada ainult käesolevat määrust täielikult järgides.
Andmeid tohiks edastada ainult siis, kui vastutav töötleja ja volitatud töötleja täidavad käesolevas määruses sätestatud tingimusi isikuandmete edastamise kohta, arvestades muid käesoleva määruse sätteid.

- = -

(112) Nimetatud erandeid tuleks kohaldada eelkõige sellise andmeedastuse puhul, mis on nõutav ja vajalik avalikust huvist tulenevatel kaalukatel põhjustel, näiteks andmete rahvusvahelisel vahetamisel konkurentsiasutuste vahel, maksu- ja tolliasutuste vahel, finantsjärelevalveasutuste vahel, sotsiaalkindlustuse või rahvatervise eest vastutavate asutuste vahel, näiteks nakkushaiguste suhtes kontaktsete isikute väljaselgitamisel või spordis dopingu kasutamise vähendamiseks ja/või kaotamiseks.
Isikuandmete edastamist tuleks pidada seaduslikuks ka siis, kui see on vajalik selliste huvide kaitsmiseks, mis on olulised andmesubjekti või muu isiku eluliste huvide, sealhulgas füüsilise puutumatuse, või elu kaitsmiseks, kui andmesubjekt ei ole võimeline nõusolekut andma.
Kaitse piisavuse otsuse puudumise korral võib avalikust huvist tulenevatel kaalukatel põhjustel liidu või liikmesriigi õigusega selgesõnaliselt seada piiranguid konkreetset liiki isikuandmete edastamisele kolmandasse riiki või rahvusvahelisele organisatsioonile.
Liikmesriigid peaksid teatama sellistest otsustest komisjonile.
Nõusoleku andmiseks füüsiliselt või õiguslikult võimetu andmesubjekti isikuandmete mis tahes edastamist rahvusvahelisele humanitaarorganisatsioonile, eesmärgiga täita Genfi konventsioonide kohast ülesannet või austada relvastatud konfliktides kohaldatavat rahvusvahelist humanitaarõigust võiks lugeda vajalikuks avalikust huvist tuleneval kaalukal põhjusel või põhjusel, et see on andmesubjekti jaoks eluliselt tähtis.

- = -

(132) Järelevalveasutuste avalikkusele suunatud teadlikkuse tõstmise meetmed peaksid hõlmama vastutavatele töötlejatele ja volitatud töötlejatele, sealhulgas mikro-, väikestele ja keskmise suurusega ettevõtjatele ning samuti füüsilistele isikutele suunatud konkreetseid meetmeid, eelkõige hariduse kontekstis.

- = -

(146) Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas.
Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav.
Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke.
See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid.
Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju.
Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.
Kui vastutavad töötlejad või volitatud töötlejad on seotud sama töötlemisega, tuleks vastutav töötleja või volitatud töötleja võtta vastutusele kogu kahju eest.
Ent kui nad on kooskõlas liikmesriigi õigusega ühendatud sama kohtumenetlusega, võib hüvitamise jagada vastavalt vastutava töötleja või volitatud töötleja vastutusele töötlemisel tekitatud kahju eest, tingimusel et tagatud on andmesubjekti kantud kahju täielik ja tõhus hüvitamine.
Vastutav töötleja või volitatud töötleja, kes on maksnud täieliku hüvitise, võib hiljem algatada regressihagi teiste sama töötlemisega seotud vastutavate töötlejate või volitatud töötlejate vastu.

- = -

(168) Kontrollimenetlust tuleks kasutada järgmiste rakendusaktide vastuvõtmiseks: vastutavate töötlejate ja volitatud töötlejate vaheliste ning volitatud töötlejate omavaheliste lepingute tüüptingimusi käsitlevad rakendusaktid; toimimisjuhendid; sertifitseerimise tehnilised standardid ja mehhanismid; kolmanda riigi, territooriumi või kindlaksmääratud sektori või rahvusvahelise organisatsiooni isikuandmete kaitse piisav tase; standardsed kaitseklauslid; vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise elektroonilise teabevahetuse vormid ja menetlused siduvate kontsernisiseste eeskirjade jaoks; ja vastastikune abi; järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korraldus, arvestades, et need on üldise iseloomuga.

- = -

dal 2004 diritto e informatica