interactive GDPR 2016/0679 FI

1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a)	jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;

b)	jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;

c)	jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;

jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

3. Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan asetusta (EY) N:o 45/2001. Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset on mukautettava tämän asetuksen periaatteiden ja sääntöjen mukaisiksi 98 artiklaa noudattaen.

4. Tällä asetuksella ei rajoiteta direktiivin 2000/31/EY soveltamista etenkään niiltä osin kuin on kyse tuon direktiivin 12–15 artiklassa säädetyistä välittäjinä toimivien palveluntarjoajien vastuuta koskevista säännöistä.

4 artikla

Määritelmät

Tässä asetuksessa tarkoitetaan

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

3)	’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä,

’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,

’pseudonymisoimisella’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu,

6)	’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)	’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti,

10)

’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

11)	rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

12)	’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

13)

’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla,

14)

’biometrisillä tiedoilla’ kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa,

15)	’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,

16)

’päätoimipaikalla’

kun kyseessä on rekisterinpitäjä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään rekisterinpitäjän unionissa sijaitsevassa toisessa toimipaikassa ja viimeksi mainitulla toimipaikalla on toimivalta panna kyseiset päätökset täytäntöön; tällöin päätoimipaikaksi katsotaan toimipaikka, jossa kyseiset päätökset on tehty;

kun kyseessä on henkilötietojen käsittelijä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, ja jos henkilötietojen käsittelijällä ei ole keskushallintoa unionissa, sitä henkilötietojen käsittelijän unionissa sijaitsevaa toimipaikkaa, jossa henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä suoritettava pääasiallinen käsittelytoiminta tapahtuu siinä määrin kuin henkilötietojen käsittelijään sovelletaan tämän asetuksen mukaisia erityisiä velvoitteita,

17)

’edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista,

18)	’yrityksellä’ taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa,

19)	’konsernilla’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä,

20)

’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojeluperiaatteita, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän sisällä,

21)	’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,

22)

’osallistuvalla valvontaviranomaisella’ valvontaviranomaista, jota henkilökäsittely koskee, koska

a)	rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle;

b)	käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin; tai

c)	kyseiselle valvontaviranomaiselle on tehty valitus,

23)

’rajatylittävällä käsittelyllä’ joko

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin,

24)

’merkityksellisellä ja perustellulla vastalauseella’ vastalausetta päätösehdotukseen, joka koskee sitä, onko tätä asetusta rikottu vai ei, tai tapauksen mukaan sitä, onko rekisterinpitäjän tai henkilötietojen käsittelijän suhteen suunniteltu toimi asetuksen mukainen, ja jossa osoitetaan selvästi päätösehdotuksen aiheuttamien riskien merkitys rekisteröityjen perusoikeuksille ja -vapauksille ja tapauksen mukaan henkilötietojen vapaalle liikkuvuudelle unionin alueella,

25)	’tietoyhteiskunnan palveluilla’ palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (19) 1 artiklan 1 kohdan b alakohdassa,

26)	’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

II LUKU

Periaatteet

6 artikla

Käsittelyn lainmukaisuus

1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)	rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b)	käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)	käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e)	käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f)	käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.

3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

a)	unionin oikeudessa; tai

b)	rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4. Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

a)	henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;

b)	henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

c)	henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti;

d)	aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

e)	asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo.

9 artikla

Erityisiä henkilötietoryhmiä koskeva käsittely

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)	rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

c)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)	käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)	käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;

käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

37 artikla

Tietosuojavastaavan nimittäminen

1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun

a)	tietojenkäsittelyä suorittaa jokin muu viranomainen tai julkishallinnon elin kuin lainkäyttötehtäviään hoitava tuomioistuin;

b)	rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai

c)	rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.

2. Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, yksi ainoa tietosuojavastaava voidaan nimittää useampaa tällaista viranomaista tai julkishallinnon elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.

4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan tai, jos unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaaditaan, niiden on nimitettävä tietosuojavastaava. Tietosuojavastaava voi toimia tällaisten rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten puolesta.

5. Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät.

6. Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.

7. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.

40 artikla

Käytännesäännöt

1. Jäsenvaltioiden, valvontaviranomaisten, tietosuojaneuvoston ja komission on edistettävä sellaisten käytännesääntöjen laatimista, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon käsittelyn eri sektorien erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet.

2. Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä, voivat tämän asetuksen säännösten soveltamisen täsmentämiseksi laatia käytännesääntöjä tai muuttaa tai laajentaa niitä muun muassa seuraavien osalta:

a)	käsittelyn asianmukaisuus ja läpinäkyvyys;

b)	rekisterinpitäjän oikeutetut edut tietyissä yhteyksissä;

c)	henkilötietojen kerääminen;

d)	henkilötietojen pseudonymisointi;

e)	yleisölle ja rekisteröidyille tarkoitettu tiedotus;

f)	rekisteröidyn oikeuksien käyttäminen;

g)	lapsille tarkoitettu tiedotus ja lasten suojelu sekä keinot lapsen vanhempainvastuunkantajan suostumuksen saamiseksi;

h)	tämän asetuksen 24 ja 25 artiklassa tarkoitetut toimenpiteet ja menettelyt sekä 32 artiklassa tarkoitetut toimenpiteet tietojenkäsittelyn turvallisuuden varmistamiseksi;

i)	henkilötietojen tietoturvaloukkauksista ilmoittaminen valvontaviranomaisille ja rekisteröidylle;

j)	henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille; tai

k)	tuomioistuinten ulkopuoliset ja muut riidanratkaisumenettelyt käsittelyä koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen välillä, 77 ja 79 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta.

3. Käytännesääntöjä, joita sovelletaan rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joihin sovelletaan tätä asetusta, ja jotka on hyväksytty tämän artiklan 5 kohdan mukaisesti ja jotka ovat tämän artiklan 9 kohdan mukaisesti yleisesti päteviä, voivat noudattaa myös rekisterinpitäjät tai henkilötietojen käsittelijät, joihin tätä asetusta ei sovelleta 3 artiklan nojalla, voidakseen tarjota asianmukaiset suojatoimet 46 artiklan 2 kohdan e alakohdassa tarkoitettujen ehtojen mukaisesti siirrettäessä henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille. Tällaisten rekisterinpitäjien tai henkilötietojen käsittelijöiden on joko sopimusperusteisesti tai muulla oikeudellisesti sitovalla tavalla tehtävä sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamiseksi myös rekisteröityjen oikeuksiin.

4. Tämän artiklan 2 kohdassa tarkoitettuihin käytännesääntöihin on sisällytettävä mekanismit, joiden avulla 41 artiklan 1 kohdassa tarkoitettu elin voi velvoitteen mukaisesti valvoa, että käytännesääntöjä soveltavat rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat niitä, 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia rajoittamatta.

5. Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, on toimitettava käytännesääntöjen luonnos, muutos tai laajennus valvontaviranomaiselle, joka on 55 artiklan nojalla toimivaltainen. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen, ja hyväksyy tämän käytännesääntöjen luonnoksen, muutoksen tai laajennuksen, jos se katsoo sen tarjoavan riittävät asianmukaiset takeet.

6. Jos 5 kohdan mukaisesti vahvistetaan, että käytännesääntöjen luonnos, muutos tai laajennus on tämän asetuksen mukainen ja jos kyseiset käytännesäännöt eivät liity käsittelytoimiin useissa eri jäsenvaltioissa, valvontaviranomainen rekisteröi ja julkaisee käytännesäännöt.

7. Jos käytännesääntöjen luonnos liittyy käsittelytoimiin useissa eri jäsenvaltioissa, 55 artiklan nojalla toimivaltainen valvontaviranomainen toimittaa sen ennen käytännesääntöjen, muutoksen tai laajennuksen hyväksymistä 63 artiklassa tarkoitetun menettelyn mukaisesti tietosuojaneuvostolle, joka antaa lausunnon siitä, onko käytännesääntöjen luonnos, muutos tai laajennus tämän asetuksen mukainen tai, tämän artiklan 3 kohdassa tarkoitetussa tapauksessa, tarjoaako se asianmukaiset suojatoimet.

8. Jos 7 kohdassa tarkoitetussa lausunnossa vahvistetaan, että käytännesääntöjen luonnos, muutos tai laajennus on tämän asetuksen mukainen, tai 3 kohdassa tarkoitetussa tapauksessa, tarjoaa asianmukaiset suojatoimet, tietosuojaneuvosto toimittaa lausuntonsa komissiolle.

9. Komissio voi antaa täytäntöönpanosäädöksiä, joissa se toteaa, että sille tämän artiklan 8 kohdan nojalla esitetyt hyväksytyt käytännesäännöt, muutokset tai laajennukset ovat yleisesti päteviä unionissa. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

10. Komissio huolehtii niiden hyväksyttyjen käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut yleisesti päteviksi 9 kohdan mukaisesti.

11. Tietosuojaneuvosto kokoaa kaikki hyväksytyt käytännesäännöt, muutokset ja laajennukset ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

41 artikla

Hyväksyttyjen käytännesääntöjen seuranta

1. Tämän asetuksen 40 artiklan mukaisten käytännesääntöjen noudattamisen seurannan voi hoitaa elin, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia.

2. Tämän artiklan 1 kohdassa tarkoitettu elin voidaan akkreditoida valvomaan käytännesääntöjen noudattamista, jos se on:

a)	osoittanut riippumattomuutensa ja asiantuntemuksensa käytännesääntöjen kohteen osalta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;

b)	vahvistanut menettelyt, joiden avulla se voi arvioida asianomaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden kelpoisuutta käytännesääntöjen soveltamisessa, seurata, kuinka ne noudattavat niiden säännöksiä, ja tarkastella määräajoin uudelleen niiden toimintaa;

vahvistanut menettelyt ja rakenteet sellaisten valitusten käsittelemiseksi, jotka koskevat käytännesääntöjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee käytännesääntöjä täytäntöön, ja tekee näistä menettelyistä ja rakenteista rekisteröityjen ja yleisön kannalta läpinäkyviä;

d)	osoittanut toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

3. Toimivaltainen valvontaviranomainen toimittaa tämän artiklan 1 kohdassa tarkoitetun elimen akkreditoimista koskevat kriteeriehdotukset tietosuojaneuvostolle 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.

4. Rekisterinpitäjän tai henkilötietojen käsittelijän syyllistyessä käytännesääntöjen rikkomiseen tämän artiklan 1 kohdassa tarkoitetun elimen on asianmukaisia suojamääräyksiä noudattaen toteutettava tarvittavia toimia, mukaan lukien asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän määräaikainen pidättäminen tehtävästä tai jättäminen käytännesääntöjen soveltamisalan ulkopuolelle, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen tehtäviä ja valtuuksia ja VIII luvun säännösten soveltamista. elin ilmoittaa toimivaltaiselle valvontaviranomaiselle kyseisistä toimista ja niiden toteuttamisen syistä.

5. Toimivaltainen valvontaviranomainen peruuttaa 1 kohdassa tarkoitetun elimen akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta.

6. Tätä artiklaa ei sovelleta viranomaisten tai julkishallinnon elinten suorittamaan henkilötietojen käsittelyyn.

43 artikla

Sertifiointielimet

1. Sertifioinnin myöntää ja uusii sertifiointielin, jolla on tietosuojaan liittyvä asianmukaisen tason asiantuntemus, sen jälkeen kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien käyttämisen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia. Jäsenvaltioiden on säädettävä siitä, akkreditoiko nämä sertifiointielimet yksi tai molemmat seuraavista:

a)	55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen;

b)	Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (20) mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 -standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia.

2. Tämän artiklan 1 kohdassa tarkoitettu sertifiointielin voidaan akkreditoida kyseisen kohdan mukaisesti ainoastaan, jos

a)	se on osoittanut riippumattomuutensa ja asiantuntemuksensa sertifioinnin kohteesta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;

b)	se on luvannut noudattaa 42 artiklan 5 kohdassa tarkoitettuja ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymiä kriteerejä;

c)	se on vahvistanut menettelyt tietosuojasertifioinnin, -sinettien ja -merkkien myöntämistä, määräaikaistarkastelua ja peruuttamista varten;

se on vahvistanut menettelyt ja rakenteet, joilla käsitellään valituksia, jotka koskevat sertifiointimenettelyjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee sertifioinnin täytäntöön, ja saattaa nämä menettelyt ja rakenteet rekisteröityjen ja yleisön kannalta läpinäkyviksi; ja

e)	se osoittaa toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

3. Tämän artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymien kriteerien perusteella. Jos akkreditointi tapahtuu tämän artiklan 1 kohdan b alakohdan nojalla, nämä vaatimukset täydentävät asetuksen (EY) N:o 765/2008 vaatimuksia ja sertifiointielinten menetelmiä ja menettelyjä kuvaavia teknisiä sääntöjä.

4. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ovat vastuussa asianmukaisesta sertifiointiin tai tällaisen sertifioinnin peruuttamiseen johtavasta arvioinnista, sanotun kuitenkaan rajoittamatta rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta. Akkreditointi myönnetään enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sertifiointielin täyttää tässä artiklassa säädetyt vaatimukset.

5. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ilmoittavat toimivaltaiselle valvontaviranomaiselle syyt pyydetyn sertifioinnin myöntämiseen tai peruuttamiseen.

6. Valvontaviranomainen julkistaa tämän artiklan 3 kohdassa tarkoitetut vaatimukset ja 42 artiklan 5 kohdassa tarkoitetut kriteerit helposti saatavilla olevassa muodossa. Valvontaviranomaiset toimittavat nämä vaatimukset ja kriteerit myös tietosuojaneuvostolle. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

7. Toimivaltainen valvontaviranomainen tai kansallinen akkreditointielin peruuttaa tämän artiklan 1 kohdan nojalla sertifiointielimelle myöntämänsä akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta, sanotun kuitenkaan rajoittamatta VIII luvun soveltamista.

8. Komissiolle siirretään 92 artiklan mukaisesti valta antaa delegoituja säädöksiä, joissa täsmennetään 42 artiklan 1 kohdassa tarkoitettujen tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset.

9. Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyt näiden sertifiointimekanismien edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

V LUKU

Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

46 artikla

Siirto asianmukaisia suojatoimia soveltaen

1. Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:

a)	viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

b)	47 artiklan mukaiset yritystä koskevat sitovat säännöt;

c)	komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

d)	tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

e)	40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin;

f)	42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.

3. Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

a)	rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

b)	säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

4. Valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.

5. Hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes kyseinen valvontaviranomainen tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne. Päätökset, jotka komissio on antanut direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai kumotaan tämän artiklan 2 kohdan mukaisesti annetulla komission päätöksellä.

49 artikla

Erityistilanteita koskevat poikkeukset

1. Jos ei ole tehty 45 artiklan 3 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä tai ei ole toteutettu 46 artiklassa tarkoitettuja asianmukaisia suojatoimia yritystä koskevat sitovat säännöt mukaan lukien, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa jollakin seuraavista edellytyksistä:

a)	rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;

b)	siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)	siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

d)	siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi;

e)	siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

f)	siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden tai jäsenvaltion lainsäädännön mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, mutta ainoastaan siltä osin kuin rekisterin käytön edellytykset, joista säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa.

Jos siirto ei voi perustua 45 tai 46 artiklassa oleviin sääntöihin, kuten yritystä koskeviin sitoviin sääntöihin, eikä mikään tämän kohdan ensimmäisen alakohdan mukaisista erityistilanteita koskevista poikkeuksista sovellu, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle ainoastaan, jos siirto ei ole toistuva, koskee ainoastaan rajallista määrää rekisteröityjä ja on tarpeen rekisterinpitäjän sellaisten pakottavien ja oikeutettujen etujen toteuttamiseksi, joita rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät syrjäytä, sekä jos rekisterinpitäjä on arvioinut kaikkia tiedonsiirtoon liittyviä seikkoja ja toteuttanut tämän arvioinnin perusteella henkilötietojen suojaa koskevat asianmukaiset suojatoimet. Rekisterinpitäjän on ilmoitettava siirrosta valvontaviranomaiselle. Edellä 13 ja 14 artiklassa mainittujen tietojen lisäksi rekisterinpitäjän on annettava rekisteröidylle tiedot siirrosta sekä pakottavista ja oikeutetuista eduista.

2. Edellä olevan 1 kohdan ensimmäisen alakohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietoryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

3. Edellä olevan 1 kohdan ensimmäisen alakohdan a, b ja c alakohtaa ja toista alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.

4. Edellä 1 kohdan ensimmäisen alakohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.

5. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan tärkeää yleistä etua koskevista syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jäsenvaltioiden on ilmoitettava tällaisista säännöksistä komissiolle.

6. Rekisterinpitäjän tai henkilötietojen käsittelijän on dokumentoitava arviointi ja tämän artiklan 1 kohdan toisessa alakohdassa tarkoitetut asianmukaiset suojatoimet 30 artiklassa tarkoitettuun selosteeseen.

53 artikla

Valvontaviranomaisen jäseniä koskevat yleiset edellytykset

1. Jäsenvaltioiden on varmistettava, että niiden valvontaviranomaisten kaikki jäsenet nimitetään läpinäkyvää menettelyä noudattaen niin, että nimittäjänä on:

—	asianomaisen jäsenvaltion parlamentti;

—	asianomaisen jäsenvaltion hallitus;

—	valtionpäämies; taikka

—	riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu.

2. Kullakin jäsenellä on oltava tehtävien hoitamisessa ja valtuuksien käyttämisessä tarvittava pätevyys, kokemus ja ammattitaito erityisesti henkilötietojen suojaamisen alalta.

3. Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hän jää pakolliselle eläkkeelle asianomaisen jäsenvaltion lainsäädännön mukaisesti.

4. Jäsen voidaan erottaa ainoastaan vakavan väärinkäytöksen perusteella tai jos hän ei enää täytä tehtäviensä suorittamiseen tarvittavia edellytyksiä.

57 artikla

Tehtävät

1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a)	valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;

b)	edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

c)	annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d)	edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

e)	annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g)	tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;

h)	suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

i)	seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

j)	hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;

k)	laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;

l)	annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

m)	kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;

n)	kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

o)	toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;

p)	laadittava ja julkaistava kriteerit 41 artiklan mukaisen elimen akkreditoimiseksi käytännesääntöjen seurantaa varten ja sertifiointielimen akkreditoimiseksi 43 artiklan mukaisesti;

q)	akkreditoitava elin käytännesääntöjen seurantaa varten 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti;

r)	hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

s)	hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;

t)	osallistuttava tietosuojaneuvoston toimintaan;

u)	pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja

v)	suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.

2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

58 artikla

Valtuudet

1. Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

a)	määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

b)	toteuttaa tutkimuksia tietosuojaa koskevien tarkastusten muodossa;

c)	toteuttaa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien uudelleentarkastelu;

d)	ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;

e)	saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

f)	saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin tai jäsenvaltion prosessioikeuden mukaisesti.

2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

a)	varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b)	antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

c)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

d)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

e)	määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

f)	asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

g)	määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 16, 17 ja 18 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 17 artiklan 2 kohdan ja 19 artiklan mukaisesti;

h)	peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi tai kieltää sertifiointielintä antamasta sertifiointia silloin kun sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty;

i)	määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

j)	määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

3. Jokaisella valvontaviranomaisella on kaikki seuraavat hyväksymis- ja neuvontavaltuudet:

a)	antaa rekisterinpitäjälle neuvoja 36 artiklassa tarkoitetun ennakkokuulemismenettelyn mukaisesti;

b)	antaa omasta aloitteestaan tai pyynnöstä lausuntoja kansalliselle parlamentille, jäsenvaltion hallitukselle tai jäsenvaltion lainsäädännön mukaisesti muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

c)	hyväksyä 36 artiklan 5 kohdassa tarkoitettu käsittely, jos jäsenvaltion lainsäädännössä edellytetään tällaista ennakkohyväksyntää;

d)	antaa lausunto käytännesääntöjen luonnoksista ja hyväksyä ne 40 artiklan 5 kohdan mukaisesti;

e)	akkreditoida sertifiointielimet 43 artiklan mukaisesti;

f)	myöntää sertifiointeja ja hyväksyä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

g)	hyväksyä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut tietosuojaa koskevat vakiolausekkeet;

h)	hyväksyä 46 artiklan 3 kohdan a alakohdassa tarkoitetut sopimuslausekkeet;

i)	hyväksyä 46 artiklan 3 kohdan b alakohdassa tarkoitettuja hallinnollisia järjestelyjä; ja

j)	hyväksyä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti.

4. Valvontaviranomaiselle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.

5. Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.

6. Kukin jäsenvaltio voi säätää laissa, että sen valvontaviranomaisella on 1, 2 ja 3 kohdassa tarkoitettujen valtuuksien lisäksi muita valtuuksia. Näiden valtuuksien käyttäminen ei saa haitata VII luvun tehokasta toimivuutta.

70 artikla

Tietosuojaneuvoston tehtävät

1. Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti. Tätä varten tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai tarvittaessa komission pyynnöstä erityisesti seuraavia tehtäviä:

a)	tämän asetuksen asianmukaisen soveltamisen seuranta ja varmistaminen 64 ja 65 artiklassa säädetyissä tapauksissa, sanotun kuitenkaan rajoittamatta kansallisten valvontaviranomaisten tehtäviä;

b)	antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän asetuksen mahdollisesta muuttamisesta;

c)	antaa komissiolle neuvoja rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välisen tietojenvaihdon muodoista ja menettelyistä, kun kyse on yritystä koskevista sitovista säännöistä;

d)	antaa suuntaviivoja, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista, siten kuin 17 artiklan 2 kohdassa tarkoitetaan;

e)	tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

f)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 22 artiklan 2 kohdan mukaisia profilointiin perustuvia päätöksiä koskevien kriteerien ja edellytysten tarkemmaksi määrittelemiseksi;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 33 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietoturvaloukkausten toteamiseksi ja aiheettoman viivytyksen määrittelemiseksi sekä niiden erityisten olosuhteiden määrittelemiseksi, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

h)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 34 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen siirroille, jotka perustuvat rekisterinpitäjien ja henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin, sekä lisävaatimuksista, jotka ovat tarpeen 47 artiklassa tarkoitettujen asianomaisten rekisteröityjen henkilötietojen suojan varmistamiseksi;

j)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 49 artiklan 1 kohdan mukaisia henkilötietojen siirtoja koskevien kriteerien ja vaatimusten tarkemmaksi määrittelemiseksi;

k)	laatii valvontaviranomaisille suuntaviivoja, jotka koskevat 58 artiklan 1, 2 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä 83 artiklan nojalla;

l)	tarkastelee e ja f alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön;

m)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä sellaisten yhdenmukaisten menettelyjen laatimiseksi, joilla luonnolliset henkilöt voivat ilmoittaa tämän asetuksen rikkomisista 54 artiklan 2 kohdan mukaisesti;

n)	edistää käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa 40 ja 42 artiklan mukaisesti;

toteuttaa sertifiointielinten akkreditointia ja 43 artiklan mukaista määräaikaistarkastelua sekä pitää yllä 43 artiklan 6 kohdan mukaista akkreditoitujen elinten julkista rekisteriä ja 42 artiklan 7 kohdan mukaista kolmansiin maihin sijoittautuneiden akkreditoitujen rekisterinpitäjien tai henkilötietojen käsittelijöiden julkista rekisteriä;

p)	määrittelee 43 artiklan 3 kohdassa tarkoitetut vaatimukset sertifiointielinten akkreditoimiseksi 42 artiklan nojalla;

q)	antaa komissiolle lausunnon 43 artiklan 8 kohdassa tarkoitetuista sertifiointivaatimuksista;

r)	antaa komissiolle lausunnon 12 artiklan 7 kohdassa tarkoitetuista kuvakkeista;

antaa komissiolle lausunnon kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö enää varmistamaan tietosuojan riittävää tasoa. Tätä varten komissio toimittaa tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto;

t)	antaa lausuntoja valvontaviranomaisten toimenpideluonnoksista 64 artiklan 1 kohdassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti ja 64 artiklan 2 kohdan mukaisesti sille toimitetuissa asioissa sekä antaa sitovia päätöksiä 65 artiklan nojalla, myös 66 artiklassa tarkoitetuissa tapauksissa;

u)	edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

v)	edistää yhteisiä koulutusohjelmia ja tukea henkilövaihtoa valvontaviranomaisten välillä ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

w)	edistää tietosuojalainsäädäntöä ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa;

x)	antaa lausuntoja unionin tasolla 40 artiklan 9 kohdan mukaisesti laadituista käytännesäännöistä; ja

y)	pitää yllä julkista sähköistä rekisteriä päätöksistä, joita valvontaviranomaiset ja tuomioistuimet ovat tehneet yhdenmukaisuusmekanismissa käsitellyissä asioissa.

2. Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

3. Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 93 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4. Tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 76 artiklan soveltamista.

80 artikla

Rekisteröityjen edustaminen

1. Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään valitus puolestaan ja käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.

2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa valitus 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.

90 artikla

Salassapitovelvollisuus

1. Jäsenvaltiot voivat antaa erityissääntöjä valvontaviranomaisten 58 artiklan 1 kohdan e ja f alakohdassa säädetyistä valtuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen ja oikeasuhteista henkilötietojen suojaa koskevan oikeuden ja salassapitovelvollisuuden yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan toiminnan yhteydessä.

2. Jäsenvaltioiden on toimitettava 1 kohdan nojalla antamansa säännökset tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset viipymättä.

98 artikla

Unionin muiden tietosuojasäädösten uudelleentarkastelu

Komissio esittää tarvittaessa lainsäädäntöehdotuksia unionin muiden henkilötietojen suojaa koskevien säädösten muuttamiseksi, jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä. Tämä koskee etenkin sääntöjä luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä sekä sääntöjä henkilötietojen vapaasta liikkuvuudesta.

99 artikla

Voimaantulo ja soveltaminen

1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Sitä sovelletaan 25 päivästä toukokuuta 2018.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 27 päivänä huhtikuuta 2016.

Euroopan parlamentin puolesta

Puhemies

M. SCHULZ

Neuvoston puolesta

Puheenjohtaja

J.A. HENNIS-PLASSCHAERT

(1) EUVL C 229, 31.7.2012, s. 90.

(2) EUVL C 391, 18.12.2012, s. 127.

(3) Euroopan parlamentin kanta, vahvistettu 12. maaliskuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston ensimmäisen käsittelyn kanta, vahvistettu 8. huhtikuuta 2016 (ei vielä julkaistu virallisessa lehdessä). Euroopan parlamentin kanta, vahvistettu 14. huhtikuuta 2016.

(4) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(5) Komission suositus, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (K(2003) 1422) (EUVL L 124, 20.5.2003, s. 36).

(6) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(7) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkintaa, paljastamista ja rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (ks. tämän virallisen lehden s. 89).

(8) Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (direktiivi sähköisestä kaupankäynnistä) (EYVL L 178, 17.7.2000, s. 1).

(9) Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(10) Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).

(11) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70).

(12) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(13) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1215/2012, annettu 12 päivänä joulukuuta 2012, tuomioistuimen toimivallasta sekä tuomioiden tunnustamisesta ja täytäntöönpanosta siviili- ja kauppaoikeuden alalla (EUVL L 351, 20.12.2012, s. 1).

(14) Euroopan parlamentin ja neuvoston direktiivi 2003/98/EY, annettu 17 päivänä marraskuuta 2003, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä (EUVL L 345, 31.12.2003, s. 90).

(15) Euroopan parlamentin ja neuvoston asetus (EU) N:o 536/2014, annettu 16 päivänä huhtikuuta 2014, ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta (EUVL L 158, 27.5.2014, s. 1).

(16) Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164).

(17) EUVL C 192, 30.6.2012, s. 7.

(18) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(19) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

(20) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

(21) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).

whereas

(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmistä.
Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin.
Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen.

- = -

(17) Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (6).
Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset olisi mukautettava tässä asetuksessa vahvistettujen periaatteiden ja sääntöjen mukaisiksi ja niitä olisi sovellettava tämä asetus huomioon ottaen.
Vahvan ja johdonmukaisen tietosuojakehyksen luomiseksi unioniin asetukseen (EY) N:o 45/2001 olisi syytä tehdä tarpeelliset mukautukset tämän asetuksen hyväksymisen jälkeen, jotta niitä voitaisiin soveltaa samanaikaisesti tämän asetuksen kanssa.

- = -

(46) Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi.
Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella, silloin kun käsittelyllä ei ole muuta ilmeistä käsittelyn oikeusperustetta.
Tietyntyyppinen käsittely voi palvella sekä yleistä etua että rekisteröidyn elintärkeää etua koskevia tärkeitä syitä esimerkiksi silloin, kun tietojenkäsittely on tärkeää humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.

- = -

(71) Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella, josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista.
Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla.
Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien lainsäädäntö, joka on annettu petosten ja verovilpin valvomiseksi ja torjumiseksi unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standardien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa.
Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös.
Tällaista toimenpidettä ei saisi kohdistaa lapseen.

- = -

(80) Jos unionin alueella olevien rekisteröityjen henkilötietoja käsittelee rekisterinpitäjä tai henkilötietojen käsittelijä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionin alueella riippumatta siitä, edellytetäänkö rekisteröidyltä maksua, tai heidän käyttäytymisensä seurantaan niiltä osin kuin käyttäminen tapahtuu unionissa, rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimettävä edustaja, paitsi jos käsittely on satunnaista eikä kohdistu laajasti henkilötietojen erityisryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin, eikä siihen todennäköisesti liity luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä ottaen huomioon käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset tai jos rekisterinpitäjä on viranomainen tai julkishallinnon elin.
Edustajan olisi toimittava rekisterinpitäjän tai henkilötietojen käsittelijän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset.
Edustaja olisi nimenomaisesti nimettävä rekisterinpitäjän tai henkilötietojen käsittelijän antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tämän asetuksen mukaiset velvoitteet.
Edustajan nimeämisellä ei ole vaikutusta tämän asetuksen mukaisiin rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksiin tai vastuisiin.
Edustajan olisi suoritettava tehtävänsä rekisterinpitäjältä tai henkilötietojen käsittelijältä saadun toimeksiannon mukaisesti, mukaan lukien yhteistyö toimivaltaisten valvontaviranomaisten kanssa kaikissa tämän asetuksen noudattamisen varmistamiseksi toteutettavissa toimissa.
Nimettyyn edustajaan olisi sovellettava täytäntöönpanotoimia, jos rekisterinpitäjä tai henkilötietojen käsittelijä ei noudata asetuksen säännöksiä.

- = -

(99) Laadittaessa, muutettaessa tai laajennettaessa käytännesääntöjä rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten olisi kuultava asianomaisia sidosryhmiä, mahdollisuuksien mukaan myös rekisteröityjä, ja ottaa huomioon kuulemisen pohjalta saadut vastaukset ja niissä esitetyt näkemykset.

- = -

(108) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi.
Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita.
Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa.
Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin.
Myös viranomaiset ja julkiset elimet voivat toteuttaa siirtoja kolmansien maiden viranomaisten tai julkisten elinten tai vastaavia tehtäviä suorittavien kansainvälisten järjestöjen kanssa esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella.
Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava toimivaltaisen valvontaviranomaisen lupa.

- = -

(112) Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisestä tiedonvaihdosta kilpailuviranomaisten, vero- tai tullihallintojen, finanssivalvonnasta vastaavien viranomaisten tai sosiaaliturvasta tai julkisesta terveydenhuollosta vastaavien yksikköjen välillä esimerkiksi tartuntatautien vuoksi tehtävän kontaktien jäljityksen yhteydessä tai urheilussa esiintyvän dopingin vähentämiseksi ja/tai lopettamiseksi.
Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen, kuten fyysisen koskemattomuuden ja hengen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan.
Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen tietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle.
Jäsenvaltioiden olisi ilmoitettava komissiolle tällaisista säännöksistä.
Jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, hänen henkilötietojensa siirto kansainväliselle humanitaariselle järjestölle, jotta se voisi suorittaa tehtävän, joka sille Geneven yleissopimusten nojalla kuuluu, tai aseellisissa konflikteissa sovellettavan kansainvälisen humanitaarisen oikeuden noudattamiseksi, voidaan katsoa tarpeelliseksi yleistä etua koskevan tärkeän syyn vuoksi tai koska se on rekisteröidyn elintärkeiden etujen mukaista.

- = -

(121) Valvontaviranomaisen jäseneen tai jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä.
Erityisesti olisi varmistettava, että kyseiset jäsenet nimittää läpinäkyvällä menettelyllä joko jäsenvaltion parlamentti, hallitus tai valtionpäämies hallituksen, hallituksen jäsenen, parlamentin tai parlamentin kamarin esityksestä taikka riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu.
Valvontaviranomaisen riippumattomuuden varmistamiseksi sen jäsenen tai jäsenten on toimittava rehellisesti ja pidätyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.
Valvontaviranomaisella olisi oltava oma henkilöstö, jonka valitsee valvontaviranomainen itse tai jäsenvaltion lainsäädännöllä perustettu riippumaton elin ja jonka olisi toimittava valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa valvonnassa.

- = -

(122) Jokaisen valvontaviranomaisen olisi oltava oman jäsenvaltionsa alueella toimivaltainen käyttämään toimivaltaa ja suorittamaan tehtäviä, jotka sille on annettu tämän asetuksen mukaisesti.
Tämän olisi katettava erityisesti käsittely, jota suoritetaan sen oman jäsenvaltion alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, viranomaisten tai yleisen edun hyväksi toimivien yksityisten elinten suorittama henkilötietojen käsittely, käsittely, joka vaikuttaa sen alueella oleviin rekisteröityihin tai sellaisen rekisterinpitäjän tai henkilötietojen käsittelijän suorittama käsittely, joka ei ole sijoittautunut unioniin, kun käsittely kohdistuu sen alueella asuviin rekisteröityihin.
Tähän olisi kuuluttava rekisteröidyn tekemien valitusten käsittely, asetuksen soveltamista koskevien tutkimusten suorittaminen sekä yleisen tietoisuuden edistäminen henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista.

- = -

(128) Johtavaa valvontaviranomaista ja yhden luukun järjestelmää koskevia sääntöjä ei pitäisi soveltaa, jos käsittelyn suorittavat viranomaiset tai yleisen edun hyväksi toimivat yksityiset elimet.
Tällaisissa tapauksissa ainoana valvontaviranomaisena, jolla on toimivalta käyttää sille tämän asetuksen mukaisesti annettuja valtuuksia, olisi oltava sen jäsenvaltion valvontaviranomainen, johon viranomainen tai yksityinen elin on sijoittautunut.

- = -

(142) Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta.
Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä valitus ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta.
Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.

- = -

dal 2004 diritto e informatica