interactive GDPR 2016/0679 ET

1. Vastutav töötleja võtab asjakohased meetmed, et esitada andmesubjektile artiklites 13 ja 14 osutatud teave ning teavitada teda artiklite 15–22 ja 34 kohaselt isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt, eelkõige konkreetselt lapsele suunatud teabe korral. Kõnealune teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt. Kui andmesubjekt seda taotleb, võib teabe esitada suuliselt, tingimusel et andmesubjekti isikusamasust tõendatakse muude vahendite abil.

2. Vastutav töötleja aitab kaasa artiklite 15–22 kohaste andmesubjekti õiguste kasutamisele. Artikli 11 lõikes 2 osutatud juhtudel ei keeldu vastutav töötleja meetmete võtmisest andmesubjekti taotlusel tema artiklite 15–22 kohaste õiguste kasutamiseks, välja arvatud juhul, kui vastutav töötleja tõendab, et ta ei suuda andmesubjekti tuvastada.

3. Vastutav töötleja esitab andmesubjektile tarbetu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist teabe artiklite 15–22 kohase taotluse alusel võetud meetmete kohta. Seda ajavahemikku võib vajaduse korral pikendada kahe kuu võrra, võttes arvesse taotluse keerukust ja hulka. Vastutav töötleja teavitab andmesubjekti igast taolisest pikendamisest ja viivituse põhjustest ühe kuu jooksul alates taotluse saamisest. Kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave võimaluse korral elektrooniliselt, kui andmesubjekt ei taotle teisiti.

4. Kui vastutav töötleja ei võta meetmeid vastavalt andmesubjekti taotlusele, teatab ta andmesubjektile viivituseta ja hiljemalt ühe kuu jooksul alates taotluse saamisest meetmete võtmata jätmise põhjused ning selgitab talle võimalust esitada järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid.

5. Artiklite 13 ja 14 kohase teabe esitamine ning artiklite 15–22 ja 34 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja kas:

a)	küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või

b)	keelduda taotletud meetmete võtmisest.

Vastutaval töötlejal lasub kohustus tõendada, et taotlus on selgelt põhjendamatu või ülemäärane.

6. Kui vastutaval töötlejal on põhjendatud kahtlused artiklites 15–21 osutatud taotlust esitava füüsilise isiku identiteedi suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist, piiramata seejuures artikli 11 kohaldamist.

7. Andmesubjektidele artiklite 13 ja 14 kohaselt edastatava teabe võib anda koos standardsete ikoonide esitamisega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, on need masinloetavad.

8. Komisjonile antakse õigus võtta vastavalt artiklile 92 vastu delegeeritud õigusakte, et määrata kindlaks ikoonidega esitatav teave ja standardsete ikoonide esitamise kord.

2. jagu

Teave ja juurdepääs isikuandmetele

Artikkel 33

Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

1. Isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest artikli 55 kohasele pädevale järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.

2. Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.

3. Lõikes 1 osutatud teates esitatakse vähemalt järgmine teave:

a)	kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning isikuandmete asjaomaste kirjete liigid ja ligikaudne arv;

b)	teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;

c)	kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;

d)	kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas vajaduse korral rikkumise võimaliku kahjuliku mõju leevendamiseks.

4. Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.

5. Vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised, sealhulgas isikuandmetega seotud rikkumise asjaolud, selle mõju ja võetud parandusmeetmed. Dokumendid võimaldavad järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist.

Artikkel 45

Edastamine kaitse piisavuse otsuse alusel

1. Isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või kõnealuse kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.

2. Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:

õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ning andmesubjektide tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;

ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja nende täitmise tagamise eest, sealhulgas piisavate täitmise tagamise volituste eest, andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ning

asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.

3. Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Kõnealune rakendusakt võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

4. Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada käesoleva artikli lõike 3 kohaselt vastu võetud otsuste ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsuste toimimist.

5. Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon vastu otsuse, et kolmas riik, territoorium või nimetatud riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab rakendusaktidega käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Need rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 93 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.

6. Komisjon alustab asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.

7. Käesoleva artikli lõike 5 kohane otsus ei mõjuta artiklite 46–49 kohaseid isikuandmete edastamisi kõnealusele kolmandale riigile, territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.

8. Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil kolmandate riikide, territooriumide, kolmanda riigi kindlaksmääratud sektorite ja rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.

9. Otsused, mille komisjon on vastu võtnud direktiivi 95/46/EÜ artikli 25 lõike 6 alusel, jäävad jõusse, kuni neid käesoleva artikli lõike 3 või 5 kohaselt vastu võetud komisjoni otsusega muudetakse, need asendatakse või kehtetuks tunnistatakse.

Artikkel 46

Edastamine asjakohaste kaitsemeetmete kohaldamisel

1. Artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.

2. Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha

a)	õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

b)	siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47;

c)	komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

d)	järelevalveasutuse poolt vastu võetud ja komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

e)	artikli 40 kohase heakskiidetud toimimisjuhendiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas, või

f)	artikli 42 kohase heakskiidetud sertifitseerimismehhanismiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas.

3. Pädeva järelevalveasutuse loal võib lõikes 1 osutatud asjakohased kaitsemeetmed sätestada ka eelkõige

a)	vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

b)	sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

4. Käesoleva artikli lõikes 3 osutatud juhtudel kohaldab järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi.

5. Liikmesriigi või järelevalveasutuse poolt direktiivi 95/46/EÜ artikli 26 lõike 2 alusel antud load jäävad kehtima, kuni järelevalveasutus neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab. Otsused, mille komisjon on vastu võtnud vastavalt direktiivi 95/46/EÜ artikli 26 lõikele 4, jäävad jõusse, kuni neid käesoleva artikli lõike 2 kohaselt vastu võetud komisjoni otsusega vajaduse korral muudetakse, need asendatakse või kehtetuks tunnistatakse.

Artikkel 57

Ülesanded

1. Ilma et see piiraks muude käesoleva määrusega sätestatud ülesannete täitmist, teeb järelevalveasutus oma territooriumil järgmist:

a)	jälgib käesoleva määruse kohaldamist ja tagab selle kohaldamise;

b)	suurendab üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest. Erilist tähelepanu pööratakse lastele suunatud tegevusele;

c)	nõustab kooskõlas liikmesriigi õigusega riigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;

d)	edendab vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva määruse kohastest kohustustest;

e)	annab andmesubjektile taotluse korral teavet tema käesolevast määrusest tulenevate õiguste kasutamise kohta ja teeb vajaduse korral sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;

käsitleb andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 80 kohaselt esitatud kaebusi, uurib asjakohasel määral kaebuste sisu ning teavitab kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;

g)	teeb koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet ja osutades abi, et tagada käesoleva määruse ühetaoline kohaldamine ja täitmise tagamine;

h)	toimetab uurimisi käesoleva määruse kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;

i)	jälgib asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja sidetehnoloogiate ning kaubandustavade arengut;

j)	võtab vastu artikli 28 lõikes 8 ja artikli 46 lõike 2 punktis d osutatud lepingu tüüptingimused;

k)	koostab ja säilitab loetelu seoses artikli 35 lõike 4 kohase andmekaitsealase mõjuhinnangu tegemise nõudega;

l)	annab nõu artikli 36 lõikes 2 osutatud isikuandmete töötlemise toimingute osas;

m)	ergutab artikli 40 lõike 1 kohaste toimimisjuhendite koostamist, esitab oma arvamuse piisavaid tagatisi pakkuvate toimimisjuhendite kohta ja kiidab need heaks kooskõlas artikli 40 lõikega 5;

m)	ergutab artikli 42 lõike 1 kohaselt andmetekaitse sertifitseerimise mehhanismide ning andmekaitsepitserite ja -märgiste kehtestamist ning kiidab artikli 42 lõike 5 kohaselt sertifitseerimise kriteeriumid heaks;

o)	vaatab vajaduse korral korrapäraselt läbi artikli 42 lõike 7 kohaselt väljastatud sertifikaadid;

p)	koostab ja avaldab artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohase sertifitseerimisasutuse akrediteerimise tingimused;

q)	akrediteerib artikli 41 kohaselt toimimisjuhendite järelevalvet teostava asutuse ja artikli 43 kohaselt sertifitseerimisasutuse;

r)	kinnitab artikli 46 lõikes 3 osutatud lepinguklauslid ja -sätted;

s)	kiidab heaks artikli 47 kohased siduvad kontsernisisesed eeskirjad;

t)	annab panuse andmekaitsenõukogu tegevusse;

u)	peab asutusesisest registrit käesoleva määruse rikkumiste ja võetud meetmete kohta, eelkõige kooskõlas artikli 58 lõikega 2 tehtud hoiatuste ja kehtestatud karistuste kohta ning

v)	täidab mis tahes muid isikuandmete kaitsega seotud ülesandeid.

2. Järelevalveasutus võtab meetmeid lõike 1 punktis b osutatud kaebuste esitamise lihtsustamiseks, näiteks koostab kaebuste esitamise vormi, mida saab täita ka elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.

3. Järelevalveasutus täidab oma ülesandeid andmesubjekti ja asjakohasel juhul andmekaitseametniku jaoks tasuta.

4. Kui taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama taotluse selgelt põhjendamatut või ülemäärast iseloomu.

Artikkel 59

Tegevusaruanne

Järelevalveasutus koostab oma tegevuse kohta aastaaruande, mis võib sisaldada teavitatud rikkumiste ja artikli 58 lõike 2 kohaselt võetud meetmete loetelu. Aruanne edastatakse riigi parlamendile, valitsusele ja muudele liikmesriigi õigusega kindlaks määratud asutustele. Aruanne tehakse kättesaadavaks avalikkusele, Euroopa Komisjonile ja andmekaitsenõukogule.

VII PEATÜKK

Koostöö ja järjepidevus

1. jagu

Koostöö

Artikkel 60

Juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö

1. Juhtiv järelevalveasutus teeb käesoleva artikli kohaselt koostööd teiste asjaomaste järelevalveasutustega, püüdes saavutada konsensust. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet.

2. Juhtiv järelevalveasutus võib teistelt asjaomastelt järelevalveasutustelt igal ajal nõuda artikli 61 kohase vastastikuse abi osutamist ning läbi viia artikli 62 kohaseid ühisoperatsioone, eelkõige uurimiste läbiviimiseks või teises liikmesriigis asuva vastutava töötleja või volitatud töötleja suhtes võetud meetme rakendamise järelevalveks.

3. Juhtiv järelevalveasutus edastab küsimusega seotud asjaomase teabe viivitamata teistele asjaomastele järelevalveasutustele. Ta esitab otsuse eelnõu viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks ja võtab asjakohaselt arvesse nende seisukohti.

4. Kui mõni teine asjaomane järelevalveasutus esitab nelja nädala jooksul pärast seda, kui temaga on käesoleva artikli lõike 3 kohaselt otsuse eelnõu osas konsulteeritud, asjakohase ja põhjendatud vastuväite otsuse eelnõu kohta, esitab juhtiv järelevalveasutus juhul, kui ta ei võta asjakohast ja põhjendatud vastuväidet arvesse või on seisukohal, et vastuväide ei ole asjakohane ega põhjendatud, küsimuse käsitlemiseks artiklis 63 osutatud järjepidevuse mehhanismi raames.

5. Kui juhtiv järelevalveasutus kavatseb asjakohase ja põhjendatud vastuväite arvesse võtta, esitab ta teistele asjaomastele järelevalveasutustele muudetud otsuse eelnõu arvamuse saamiseks. Kõnealuse muudetud otsuse eelnõu suhtes kohaldatakse lõikes 4 osutatud menetlust kahe nädala jooksul.

6. Juhul kui ükski teine asjaomane järelevalveasutus ei ole juhtiva järelevalveasutuse esitatud otsuse eelnõule lõigetes 4 ja 5 osutatud tähtaja jooksul vastuväidet esitanud, loetakse, et juhtiv järelevalveasutus ja asjaomased järelevalveasutused on otsuse eelnõus kokkuleppele jõudnud ja see on nende jaoks siduv.

7. Juhtiv järelevalveasutus võtab otsuse vastu ja teeb selle teatavaks vastutava töötleja või volitatud töötleja peamisele või, olenevalt asjaoludest, ainsale tegevuskohale ning teavitab teisi asjaomaseid järelevalveasutusi ja andmekaitsenõukogu kõnealusest otsusest, lisades sellele kokkuvõtte asjaomastest asjaoludest ja põhjustest. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.

8. Erandina lõikest 7, juhul kui kaebus jäetakse rahuldamata või lükatakse tagasi, võtab järelevalveasutus, kellele kaebus esitati, otsuse vastu ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat.

9. Kui juhtiv järelevalveasutus ja asjaomased järelevalveasutused nõustuvad, et osa kaebusest jäetakse rahuldamata või lükatakse tagasi ja asjaomase kaebuse teine osa võetakse menetlusse, siis võetakse vastu otsus kaebuse menetletava osa kohta. Juhtiv järelevalveasutus võtab vastu otsuse vastutavat töötlejat puudutavate menetlustega seotud osa kohta ja teeb selle teatavaks oma liikmesriigis asuva vastutava töötleja või volitatud töötleja peamisele või ainsale tegevuskohale ning teavitab sellest kaebuse esitajat, samas kui kaebuse esitaja liikmesriigi järelevalveasutus võtab vastu otsuse asjaomase kaebuse rahuldamata jäetud või tagasi lükatud osa kohta ning teeb selle teatavaks kaebuse esitajale ja teavitab sellest vastutavat töötlejat või volitatud töötlejat.

10. Pärast seda, kui juhtiva järelevalveasutuse otsus on lõigete 7 ja 9 kohaselt vastutavale töötlejale või volitatud töötlejale teatavaks tehtud, võtab vastutav töötleja või volitatud töötleja vajalikud meetmed isikuandmete töötlemise toimingute osas tehtud otsuse täitmise tagamiseks kõigis liidus asuvates tegevuskohtades. Vastutav töötleja või volitatud töötleja teavitab otsuse täitmiseks võetud meetmetest juhtivat järelevalveasutust, kes teavitab teisi asjaomaseid järelevalveasutusi.

11. Kui asjaomasel järelevalveasutusel on erandlike asjaolude korral põhjust arvata, et andmesubjektide huvide kaitsmiseks tuleb tegutseda kiiresti, kohaldatakse artiklis 66 osutatud kiirmenetlust.

12. Juhtiv järelevalveasutus ja teised asjaomased järelevalveasutused esitavad kõnealuse artikli alusel nõutava teabe üksteisele elektroonilisel teel, kasutades selleks tüüpvormi.

Artikkel 61

Vastastikune abi

1. Järelevalveasutused annavad üksteisele asjakohast teavet ja osutavad vastastikust abi käesoleva määruse järjepidevaks rakendamiseks ja kohaldamiseks ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi eelneva loa menetluste ja konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.

2. Järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise läbiviimise kohta.

3. Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatavat teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.

4. Taotluse saanud järelevalveasutus ei või abitaotluse täitmisest keelduda, välja arvatud juhul, kui

a)	ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või

b)	taotluse täitmine rikuks käesolevat määrust või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigusega.

5. Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse rahuldamisest keeldumise põhjendused vastavalt lõikele 4.

6. Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe reeglina elektroonilisel teel, kasutades selleks tüüpvormi.

7. Taotluse saanud järelevalveasutused vastastikuse abi taotluse alusel võetud meetmete eest tasu ei nõuta. Järelevalveasutused võivad kokku leppida eeskirjades, mille kohaselt nad hüvitavad üksteisele vastastikuse abi osutamisel erandjuhtudel tekkivad konkreetsed kulud.

8. Kui järelevalveasutus ei esita käesoleva artikli lõikes 5 osutatud teavet ühe kuu jooksul pärast teiselt järelevalveasutuselt taotluse saamist, võib taotluse esitanud järelevalveasutus võtta oma liikmesriigi territooriumil kooskõlas artikli 55 lõikega 1 vastu ajutise meetme. Sellisel juhul loetakse, et täidetud on artikli 66 lõike 1 kohane kiireloomulise tegutsemise vajadus ning andmekaitsenõukogu peab kiiresti vastu võtma artikli 66 lõike 2 kohase siduva otsuse.

9. Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra, eelkõige käesoleva artikli lõikes 6 osutatud tüüpvormi. Kõnealused rakendusaktid võetakse vastu kooskõlas artikli 93 lõikes 2 osutatud kontrollimenetlusega.

Artikkel 70

Andmekaitsenõukogu ülesanded

1. Andmekaitsenõukogu tagab käesoleva määruse järjepideva kohaldamise. Selleks teeb andmekaitsenõukogu omal algatusel või asjakohasel juhul komisjoni taotlusel eelkõige järgmist:

a)	jälgib ja tagab, et käesolevat määrust kohaldatakse nõuetekohaselt artiklites 64 ja 65 sätestatud juhtudel, ilma ei see piiraks riiklike järelevalveasutuste ülesannete täitmist;

b)	nõustab komisjoni kõikides isikuandmete kaitsega seotud küsimustes liidus, sealhulgas käesoleva määruse mis tahes kavandatavate muudatuste osas;

c)	nõustab komisjoni vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise teabevahetuse vormi ja menetluste osas seoses siduvate kontsernisiseste eeskirjadega;

d)	annab välja suuniseid, soovitusi ja parimaid tavasid seoses menetlustega, mille eesmärk on kustutada isikuandmetele osutavaid linke ning andmekoopiaid ja -kordusi üldkasutatavatest kommunikatsiooniteenustest, nagu on osutatud artikli 17 lõikes 2;

e)	vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevaid küsimusi ning annab käesoleva määruse järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;

f)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada artikli 22 lõike 2 kohaste ja profiilianalüüsil põhinevate otsuste vastuvõtmise kriteeriume ja tingimusi;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 33 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;

h)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tõenäoliselt tõsiselt mõjutada füüsiliste isikute õigusi ja vabadusi, nagu on osutatud artikli 34 lõikes 1;

annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täiendavalt täpsustada kriteeriume ja nõudeid, mis käsitlevad isikuandmete edastamist vastutavate töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ja volitatud töötlejate poolt järgitavate siduvate kontsernisiseste eeskirjade alusel ning täiendavate vajalike nõuete alusel, millega tagada asjaomaste andmesubjektide isikuandmete kaitse, millele on osutatud artiklis 47;

j)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et täpsustada artikli 49 lõikel 1 põhineva isikuandmete edastamise kriteeriume ja nõudeid;

k)	koostab järelevalveasutustele suuniseid seoses artikli 58 lõigetes 1, 2 ja 3 osutatud meetmete kohaldamisega ning artikli 83 kohaste trahvide kindlaksmääramisega;

l)	jälgib punktides e ja f osutatud suuniste, soovituste ja parimate tavade praktilist kohaldamist;

m)	annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga e, et kehtestada ühised menetlused, mille kohaselt füüsilised isikud saavad teatada käesoleva määruse rikkumistest artikli 54 lõike 2 alusel;

n)	ergutab artiklite 40 ja 42 kohaselt toimimisjuhendite koostamist ning andmekaitse sertifitseerimise mehhanismide ja andmekaitsepitserite ja -märgiste kasutuselevõtmist;

akrediteerib sertifitseerimisasutusi ja vaatab seda korrapäraselt läbi vastavalt artiklile 43 ning peab artikli 43 lõike 6 alusel avalikku registrit akrediteeritud asutuste kohta ja artikli 42 lõike 7 alusel kolmandates riikides asuvate akrediteeritud vastutavate töötlejate või volitatud töötlejate kohta;

p)	täpsustab artikli 43 lõikes 3 osutatud nõudeid seoses sertifitseerimisasutuste akrediteerimisega artikli 42 kohaselt;

q)	esitab komisjonile arvamuse artikli 43 lõikes 8 osutatud sertifitseerimisnõuete kohta;

r)	esitab komisjonile arvamuse artikli 12 lõikes 7 osutatud ikoonide kohta;

esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas kolmas riik, territoorium või kolmanda riigi kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset. Sel eesmärgil esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, asjaomase kolmanda riigi, territooriumi või kolmanda riigi kindlaksmääratud sektoriga või asjaomase rahvusvahelise organisatsiooniga;

t)	esitab arvamusi artikli 64 lõikes 1 osutatud järjepidevuse mehhanismi kohaselt järelevalveasutuste otsuste eelnõude kohta, artikli 64 lõike 2 kohaselt esitatud küsimuste kohta ning väljastab artikli 65 kohaselt siduvaid otsuseid, sealhulgas artiklis 66 osutatud juhtudel;

u)	edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja heade tavade vahetamist;

v)	edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste vahel ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;

w)	edendab teadmiste ja dokumentide vahetamist andmekaitset käsitlevate õigusaktide ja tavade kohta andmekaitse järelevalveasutustega kogu maailmas;

x)	esitab arvamusi artikli 40 lõike 4 kohaselt liidu tasandil koostatud toimimisjuhendite kohta, ning

y)	peab üldsusele kättesaadavat elektroonilist registrit järelevalveasutuste ja kohtute otsuste kohta, mis on vastu võetud järjepidevuse mehhanismi raames käsitletud küsimustes.

2. Kui komisjon palub andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.

3. Andmekaitsenõukogu edastab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artiklis 87 osutatud komiteele ning avalikustab need.

4. Andmekaitsenõukogu konsulteerib asjakohasel juhul huvitatud pooltega ja annab neile võimaluse esitada mõistliku aja jooksul oma märkused. Ilma et see piiraks artikli 76 kohaldamist, teeb andmekaitsenõukogu konsulteerimismenetluse tulemused üldsusele kättesaadavaks.

Artikkel 74

Eesistuja ülesanded

1. Eesistujal on järgmised ülesanded:

a)	kutsuda kokku andmekaitsenõukogu koosolekud ja valmistada ette päevakord;

b)	teavitada artikli 65 kohaselt andmekaitsenõukogu poolt vastu võetud otsustest juhtivat järelevalveasutust ja asjaomaseid järelevalveasutusi;

c)	tagada andmekaitsenõukogu ülesannete õigeaegne täitmine, eelkõige seoses artiklis 63 osutatud järjepidevuse mehhanismiga.

2. Andmekaitsenõukogu näeb oma töökorras ette ülesannete jaotuse eesistuja ja tema asetäitjate vahel.

Artikkel 75

Sekretariaat

1. Andmekaitsenõukogul on sekretariaat, kelle töö tagab Euroopa Andmekaitseinspektor.

2. Sekretariaat järgib oma ülesannete täitmisel ainult andmekaitsenõukogu eesistuja juhiseid.

3. Euroopa Andmekaitseinspektori töötajatel, kes täidavad andmekaitsenõukogule käesoleva määrusega antud ülesandeid, ja Euroopa Andmekaitseinspektori töötajatel, kes täidavad Euroopa Andmekaitseinspektorile antud ülesandeid, on eraldi aruandlusahelad.

4. Kui see on asjakohane, koostavad ja avaldavad andmekaitsenõukogu ja Euroopa Andmekaitseinspektor käesoleva artikli rakendamiseks vastastikuse mõistmise memorandumi, milles määratakse kindlaks nende koostöö kord ja mis on kohaldatav Euroopa Andmekaitseinspektori töötajate suhtes, kes on seotud andmekaitsenõukogule käesoleva määrusega antud ülesannete täitmisega.

5. Sekretariaat pakub andmekaitsenõukogule analüütilist, halduslikku ja logistilist tuge.

6. Sekretariaat vastutab eelkõige järgmise eest:

a)	andmekaitsenõukogu igapäevane tegevus;

b)	suhtlemine andmekaitsenõukogu liikmete, selle eesistuja ja komisjoni vahel;

c)	teabevahetus teiste institutsioonide ja üldsusega;

d)	elektrooniliste vahendite kasutamine sise- ja välissuhtluses;

e)	asjaomase teabe tõlkimine;

f)	andmekaitsenõukogu koosolekute ettevalmistamine ja järelmeetmed;

g)	andmekaitsenõukogu poolt vastu võetud arvamuste, järelevalveasutuste vahelisi vaidlusi käsitlevate otsuste ja muude dokumentide ettevalmistamine, koostamine ja avaldamine.

Artikkel 83

Trahvide määramise üldtingimused

1. Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.

2. Trahve kohaldatakse üksiku juhtumi asjaoludest sõltuvalt kas lisaks artikli 58 lõike 2 punktides a–h ja j osutatud meetmetele või nende asemel. Otsustades igal konkreetsel juhul trahvi määramise ja selle suuruse üle, pööratakse asjakohast tähelepanu järgmisele:

a)	rikkumise laad, raskus ja kestus, võttes arvesse asjaomase töötlemise laadi, ulatust või eesmärki, samuti mõjutatud andmesubjektide hulka ja neile tekitatud kahju suurust;

b)	kas rikkumine pandi toime tahtlikult või hooletusest;

c)	vastutava töötleja või volitatud töötleja poolt võetud meetmed andmesubjektide kantava kahju leevendamiseks;

d)	vastutava töötleja või volitatud töötleja vastutuse aste, võttes arvesse nende poolt artiklite 25 ja 32 kohaselt võetud tehnilisi ja korralduslikke meetmeid;

e)	vastutava töötleja või volitatud töötleja eelnevad asjakohased rikkumised;

f)	järelevalveasutusega tehtava koostöö määr rikkumise heastamiseks ja rikkumise võimaliku kahjuliku mõju leevendamiseks;

g)	rikkumisest mõjutatud isikuandmete liigid;

h)	millisel viisil sai järelevalveasutus rikkumisest teada, eelkõige kas vastutav töötleja või volitatud töötleja teatas rikkumisest ja millisel määral ta seda tegi;

i)	kui asjaomase vastutava töötleja või volitatud töötleja suhtes on samas küsimuses varem võetud artikli 58 lõikes 2 osutatud meetmeid, siis nende meetmete järgimine;

j)	artikli 40 kohaste heakskiidetud toimimisjuhendite või artikli 42 kohaste heakskiidetud sertifitseerimismehhanismide järgimine, ning

k)	juhtumi asjaolude suhtes kohaldatavad mis tahes muud raskendavad või kergendavad tegurid, näiteks rikkumisest otseselt või kaudselt saadud finantskasu või välditud kahju.

3. Kui vastutav töötleja või volitatud töötleja rikub samade või seonduvate isikuandmete töötlemise toimingute puhul tahtlikult või hooletusest mitut käesoleva määruse sätet, ei ületa trahvi kogusumma summat, mis on sätestatud seoses raskeima rikkumisega.

4. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	vastutava töötleja või volitatud töötleja kohustused artiklite 8, 11, 25-39, 42 ja 43 alusel;

b)	sertifitseerimisasutuse kohustused artiklite 42 ja 43 alusel;

c)	järelevalvet teostava asutuse kohustused artikli 41 lõike 4 alusel.

5. Kooskõlas lõikega 2 võib järgmiste sätete rikkumise eest määrata trahvi, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

a)	töötlemise aluspõhimõtted, sealhulgas artiklite 5, 6, 7 ja 9 kohased nõusoleku andmise tingimused;

b)	andmesubjektide õigused artiklite 12–22 alusel;

c)	isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale või rahvusvahelisele organisatsioonile artiklite 44–49 alusel;

d)	mis tahes kohustused IX peatüki kohaselt vastu võetud liikmesriigi õigusaktide alusel;

e)	järelevalveasutuse artikli 58 lõike 2 kohase korralduse või ajutise või alalise töötlemispiirangu või andmevoogude peatamise täitmatajätmine või juurdepääsu andmisest keeldumine, rikkudes sellega artikli 58 lõiget 1.

6. Artikli 58 lõikes 2 osutatud järelevalveasutuse korralduse täitmatajätmise korral määratakse kooskõlas käesoleva artikli lõikega 2 trahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

7. Ilma et see piiraks järelevalveasutuse parandusvolitusi artikli 58 lõike 2 alusel, võib liikmesriik näha ette eeskirju selle kohta, kas ja millisel määral võib trahve määrata selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

8. Käesoleva artikli kohaste volituste kasutamise suhtes järelevalveasutuse poolt kohaldatakse kooskõlas liidu ja liikmesriigi õigusega asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust.

9. Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tõhusad ja järelevalveasutuste poolt määratud haldustrahvidega samaväärse mõjuga. Igal juhul on määratavad trahvid tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni oma käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt 25. maiks 2018 ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 84

Karistused

1. Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.

2. Liikmesriik teavitab komisjoni hiljemalt 25. maiks 2018 vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist neid õigusnorme mõjutavatest muudatustest.

IX PEATÜKK

Isikuandmete töötlemise eriolukordi käsitlevad sätted

Artikkel 85

Isikuandmete töötlemine ning sõna- ja teabevabadus

1. Liikmesriigid ühitavad õigusaktiga käesoleva määruse kohase õiguse isikuandmete kaitsele ning sõna- ja teabevabaduse õiguse, muu hulgas seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks.

2. Seoses isikuandmete töötlemisega ajakirjanduslikel eesmärkidel ning akadeemilise, kunstilise või kirjandusliku eneseväljenduse tarbeks näevad liikmesriigid ette vabastusi või erandeid II peatükist (põhimõtted), III peatükist (andmesubjekti õigused), IV peatükist (vastutav töötleja ja volitatud töötleja), V peatükist (isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele), VI peatükist (sõltumatud järelevalveasutused), VII peatükist (koostöö ja järjepidevus) ja IX peatükist (andmetöötluse eriolukorrad), kui need on vajalikud, et ühitada õigus isikuandmete kaitsele sõna- ja teabevabadusega.

3. Liikmesriik teavitab komisjoni vastavalt lõikele 2 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 88

Isikuandmete töötlemine töösuhete kontekstis

1. Liikmesriigid võivad õigusaktide või kollektiivlepingutega ette näha täpsemad eeskirjad, et tagada õiguste ja vabaduste kaitse seoses töötajate isikuandmete töötlemisega töösuhete kontekstis, eelkõige seoses töötajate värbamisega, töölepingu, sealhulgas õigusaktides või kollektiivlepingutes sätestatud kohustuste täitmisega, juhtimisega, töö kavandamise ja korraldamisega, võrdsuse ja mitmekesisusega töökohal, töötervishoiu ja tööohutusega, tööandja või kliendi vara kaitsega ning tööhõivega seotud õiguste ja hüvitiste isikliku või kollektiivse kasutamisega ning töösuhte lõppemisega.

2. Need eeskirjad sisaldavad sobivaid ja konkreetseid meetmeid, et kaitsta andmesubjekti inimväärikust, õigustatud huve ja põhiõigusi, eelkõige seoses töötlemise läbipaistvusega, isikuandmete edastamisega kontserni või ühise majandustegevusega tegelevate ettevõtjate rühma siseselt ning järelevalvesüsteemidega töökohal.

3. Liikmesriik teavitab komisjoni hiljemalt 25. maiks 2018 vastavalt lõikele 1 vastu võetud õigusnormidest ning viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muudatustest.

Artikkel 90

Saladuse hoidmise kohustused

1. Liikmesriigid võivad vastu võtta erieeskirju, et kehtestada artikli 58 lõike 1 punktides e ja f sätestatud järelevalveasutuste volitused seoses vastutavate töötlejate või volitatud töötlejatega, kellel on liidu või liikmesriigi õiguse või riiklike pädevate asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, kui see on vajalik ja proportsionaalne, et ühitada isikuandmete kaitse õigus ja saladuse hoidmise kohustus. Neid eeskirju kohaldatakse üksnes nende isikuandmete suhtes, mida vastutav töötleja või volitatud töötleja on saanud saladuse hoidmise kohustusega hõlmatud tegevuse käigus.

2. Liikmesriik teavitab hiljemalt 25. maiks 2018 komisjoni vastavalt käesoleva artikli lõikele 1 vastu võetud eeskirjadest ning viivitamata kõigist hilisematest neid eeskirju mõjutavatest muudatustest.

Artikkel 92

Delegeeritud volituste rakendamine

1. Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

2. Artikli 12 lõikes 8 ja artikli 43 lõikes 8 osutatud õigus võtta vastu delegeeritud õigusakte antakse komisjonile määramata ajaks alates 24. maist 2016.

3. Euroopa Parlament ja nõukogu võivad artikli 12 lõikes 8 ja artikli 43 lõikes 8 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

4. Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

5. Artikli 12 lõike 8 ja artikli 43 lõike 8 alusel vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kolme kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kolme kuu võrra.

Artikkel 97

Komisjoni aruanded

1. Komisjon esitab Euroopa Parlamendile ja nõukogule hiljemalt 25. maiks 2020 ning seejärel iga nelja aasta järel aruande käesoleva määruse hindamise ja läbivaatamise kohta. Aruanded avalikustatakse.

2. Lõikes 1 osutatud hindamiste ja läbivaatamiste raames kontrollib komisjon eelkõige järgmise kohaldamist ja toimimist:

a)	isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist käsitlev V peatükk, eelkõige seoses käesoleva määruse artikli 45 lõike 3 kohaselt vastu võetud otsustega ja direktiivi 95/46/EÜ artikli 25 lõike 6 alusel vastu võetud otsustega;

b)	koostööd ja järjepidevust käsitlev VII peatükk.

3. Lõike1 kohaldamisel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt.

4. Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste organite ja allikate seisukohti ja tähelepanekuid.

5. Komisjon esitab vajaduse korral asjakohased ettepanekud käesoleva määruse muutmiseks, eelkõige võttes arvesse infotehnoloogia ja infoühiskonna arengut.

whereas

(41) Kui käesolevas määruses osutatakse õiguslikule alusele või seadusandlikule meetmele, ei pea selleks tingimata olema parlamendi poolt vastu võetud seadusandlik akt, ilma et see piiraks asjaomase liikmesriigi põhiseaduslikust korrast tulenevate nõuete kohaldamist.
Selline õiguslik alus või seadusandlik meede peaks siiski olema selge ja täpne ning selle kohaldamine peaks olema eeldatav isikute jaoks, kelle suhtes seda kohaldatakse vastavalt Euroopa Liidu Kohtu („Euroopa Kohus“) ja Euroopa Inimõiguste Kohtu praktikale.

- = -

(62) Teabe esitamise kohustust ei ole siiski vaja kehtestada juhul, kui andmesubjektil on see teave juba olemas, juhul, kui isikuandmete dokumenteerimine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suurt jõupingutust.
Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui andmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil.
Sellisel juhul tuleks arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki asjakohaseid vastuvõetud kaitsemeetmeid.

- = -

(106) Komisjon peaks teostama järelevalvet otsuste toimimise üle, milles käsitletakse kaitse taset kolmandas riigis, territooriumil või kindlaksmääratud sektoris või rahvusvahelises organisatsioonis, ning direktiivi 95/46/EÜ artikli 25 lõike 6 või artikli 26 lõike 4 alusel vastu võetud otsuste toimimise üle.
Komisjon peaks oma kaitse piisavuse otsustes nägema ette nende toimimise korrapärase läbivaatamise mehhanismi.
Nimetatud korrapärast läbivaatamist tuleks teostada asjaomase kolmanda riigi või rahvusvahelise organisatsiooniga konsulteerides ning võtta tuleks arvesse kõiki asjaomaseid arenguid kolmandas riigis või rahvusvahelises organisatsioonis.
Järelevalve ja korrapäraste läbivaatamiste teostamisel peaks komisjon võtma arvesse Euroopa Parlamendi ja nõukogu ning samuti teiste asjakohaste asutuste ja allikate arvamusi ja järeldusi.
Komisjon peaks mõistliku aja jooksul hindama viimati nimetatud otsuste toimimist ja esitama kõigi asjakohaste järelduste kohta aruande Euroopa Parlamendi ja nõukogu määruse (EL) nr 182/2011 (12) kohasele komiteele, mis on asutatud käesoleva määruse alusel, samuti Euroopa Parlamendile ja nõukogule.

- = -

(108) Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega.
Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad kontsernisisesed eeskirjad, komisjoni vastu võetud standardsed andmekaitseklauslid, järelevalveasutuse vastu võetud standardsed andmekaitseklauslid või järelevalveasutuse heaks kiidetud lepingu tüüptingimused.
Need kaitsemeetmed peaksid tagama liidu siseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis.
Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele.
Andmeid võivad edastada ka avaliku sektori asutused või organid koos kolmandate riikide avaliku sektori asutuste või organitega või rahvusvaheliste organisatsioonidega, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, nähes ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele.
Pädeva järelevalveasutuse luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

- = -

(109) Vastutavale töötlejale või volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid andmekaitseklausleid ei tohiks takistada vastutavat töötlejat või volitatud töötlejat lisamast standardsed andmekaitseklauslid laiemasse lepingusse, nagu näiteks kahe volitatud töötleja vahelisse lepingusse, ega lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ja -vabadusi.
Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid.

- = -

(146) Vastutav töötleja või volitatud töötleja peaks hüvitama igasuguse kahju, mida füüsilisele isikule võib põhjustada töötlemine, mis ei ole käesoleva määrusega kooskõlas.
Vastutav töötleja või volitatud töötleja tuleks sellest vastutusest vabastada, kui ta tõendab, et ta ei ole kahju eest mingil viisil vastutav.
Kahju mõistet tuleks Euroopa Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke.
See ei mõjuta muude liidu või liikmesriigi õiguses sätestatud normide rikkumisest tuleneva kahju eest esitatavaid nõudeid.
Töötlemine, mis ei ole käesoleva määrusega kooskõlas, hõlmab see samuti töötlemist, mis ei ole kooskõlas delegeeritud õigusaktide ja rakendusaktidega, mis on võetud vastu kooskõlas käesoleva määrusega ja liikmesriigi õigusega, milles täpsustatakse käesoleva määruse eeskirju.
Andmesubjektid peaksid saama täieliku ja tõhusa hüvitise kahju eest, mida nad on kandnud.
Kui vastutavad töötlejad või volitatud töötlejad on seotud sama töötlemisega, tuleks vastutav töötleja või volitatud töötleja võtta vastutusele kogu kahju eest.
Ent kui nad on kooskõlas liikmesriigi õigusega ühendatud sama kohtumenetlusega, võib hüvitamise jagada vastavalt vastutava töötleja või volitatud töötleja vastutusele töötlemisel tekitatud kahju eest, tingimusel et tagatud on andmesubjekti kantud kahju täielik ja tõhus hüvitamine.
Vastutav töötleja või volitatud töötleja, kes on maksnud täieliku hüvitise, võib hiljem algatada regressihagi teiste sama töötlemisega seotud vastutavate töötlejate või volitatud töötlejate vastu.

- = -

(148) Käesoleva määruse eeskirjade täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas trahve lisaks käesoleva määruse kohaselt järelevalveasutuse poolt kehtestatud asjakohastele meetmetele või nende asemel.
Väiksema õigusrikkumise puhul või kui tõenäoliselt määratav trahv kujutaks endast füüsilise isiku jaoks ebaproportsionaalset koormust, võib trahvi asemel teha noomituse.
Asjakohast tähelepanu tuleks aga pöörata rikkumise laadile, raskusele ja kestusele, rikkumise tahtlikkusele, tekitatud kahju leevendamiseks võetud meetmetele, vastutusastmele või asjakohastele eelnevatele rikkumistele, viisile, kuidas rikkumine sai järelevalveasutusele teatavaks, kooskõlale vastutava töötleja või volitatud töötleja suhtes võetud meetmetega, toimimisjuhendi järgimisele ning muudele raskendavatele või kergendavatele teguritele.
Karistuste, sealhulgas trahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja hartaga kohaldada asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetlust.

- = -

(149) Liikmesriikidel peaks olema võimalik kehtestada käesoleva määruse, sealhulgas käesoleva määruse kohaselt ja piires vastu võetud liikmesriigi õigusnormide, rikkumise eest kohaldatavaid kriminaalkaristusi käsitlevaid eeskirju.
Need kriminaalkaristused võivad hõlmata käesoleva määruse rikkumisega saadud kasu äravõtmist.
Kriminaalkaristuste määramine selliste liikmesriigi normide rikkumise eest ja väärteokaristuste määramine ei tohiks aga rikkuda ne bis in idem põhimõtet, nagu seda on tõlgendanud kohus.

- = -

(171) Direktiiv 95/46/EÜ tuleks tunnistada käesoleva määrusega kehtetuks.
Käesoleva määruse kohaldamise alguskuupäeval juba teostatav töötlemine tuleks viia käesoleva määrusega kooskõlla kahe aasta jooksul pärast käesoleva määruse jõustumist.
Kui töödeldakse direktiivi 95/46/EÜ kohase nõusoleku alusel, ei ole, juhul kui nõusolek on antud kooskõlas käesoleva määruste tingimustega, andmesubjektil vaja oma nõusolekut uuesti anda selleks, et vastutav töötleja saaks jätkata sellist töötlemist pärast käesoleva määruse kohaldamise alguskuupäeva.
Direktiivi 95/46/EÜ alusel komisjoni vastu võetud otsused ja järelevalveasutuste antud load jäävad kehtima nende muutmise, asendamise või kehtetuks tunnistamiseni.

- = -

dal 2004 diritto e informatica