interactive GDPR 2016/0679 FI
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 37 artikla Tietosuojavastaavan nimittäminen
- 1 39 artikla Tietosuojavastaavan tehtävät
- 1 47 artikla Yritystä koskevat sitovat säännöt
- 1 52 artikla Riippumattomuus
- 2 54 artikla Valvontaviranomaisen perustamista koskevat säännöt
- 8 62 artikla Valvontaviranomaisten yhteiset operaatiot
- 4 75 artikla Sihteeristö
- valvontaviranomaisen 30
- henkilötietojen 19
- jäsenvaltion 17
- mukaisesti 15
- artiklan 13
- että 13
- jotka 11
- sekä 10
- joka 10
- jäsenten 9
- mukaan 9
- yritystä 9
- heidän 9
- koskevat 8
- toimintaa 8
- lukien 8
- käsittelijän 8
- avustavan 7
- yhteistä 7
- taloudellista 7
- tietosuojaneuvoston 7
- kohdan 7
- artikla 7
- tämän 7
- säännöt 7
- niiden 6
- kohdassa 6
- yritysryhmän 6
- henkilöstön 6
- euroopan 6
- jonka 6
- unionin 6
- rekisterinpitäjän 6
- kunkin 6
- jäsenen 6
- nimittää 5
- lainsäädännön 5
- käsittelyn 5
- ovat 5
- koskevista 5
- tietosuojavastaava 5
- erityisesti 5
- voidaan 5
- oikeus 5
- tietosuojavastaavan 5
- sovelletaan 5
- tehtävät 5
- oltava 5
- aikana 5
- kunkin 5
37 artikla
Tietosuojavastaavan nimittäminen
1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun
| a) | tietojenkäsittelyä suorittaa jokin muu viranomainen tai julkishallinnon elin kuin lainkäyttötehtäviään hoitava tuomioistuin; |
| b) | rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai |
| c) | rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin. |
2. Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, yksi ainoa tietosuojavastaava voidaan nimittää useampaa tällaista viranomaista tai julkishallinnon elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.
4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan tai, jos unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaaditaan, niiden on nimitettävä tietosuojavastaava. Tietosuojavastaava voi toimia tällaisten rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten puolesta.
5. Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät.
6. Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.
7. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.
39 artikla
Tietosuojavastaavan tehtävät
1. Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:
| a) | antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia; |
| b) | seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset; |
| c) | antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti; |
| d) | tehdä yhteistyötä valvontaviranomaisen kanssa; |
| e) | toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä. |
2. Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.
47 artikla
Yritystä koskevat sitovat säännöt
1. Toimivaltainen valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos
| a) | säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin asianomaisiin konsernin tai yritysryhmän jäseniin, jotka harjoittavat yhteistä taloudellista toimintaa, työntekijät mukaan luettuna, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön; |
| b) | säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia heidän henkilötietojensa käsittelyä koskevia oikeuksia; ja |
| c) | säännöt täyttävät 2 kohdassa säädetyt vaatimukset. |
2. Näissä 1 kohdassa tarkoitetuissa yritystä koskevissa sitovissa säännöissä on määritettävä vähintään
| a) | konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, ja sen kaikkien jäsenten rakenne ja yhteystiedot; |
| b) | tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse; |
| c) | sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella; |
| d) | yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido; |
| e) | rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi; |
| f) | jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta; |
| g) | se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 13 ja 14 artiklan vaatimusten lisäksi; |
| h) | kaikkien 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät; |
| i) | valitusmenettelyt; |
| j) | mekanismit, joiden avulla konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen varmistetaan. Tällaisia mekanismeja ovat tietosuojaa koskevat tarkastukset ja menetelmät, joilla varmistetaan korjaavat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tällaisten varmistusten tulokset olisi ilmoitettava h alakohdassa tarkoitetulle henkilölle tai yksikölle sekä konsernissa määräysvaltaa käyttävän yrityksen tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän hallitukselle, ja niiden olisi oltava pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla; |
| k) | mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten; |
| l) | yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön j alakohdassa tarkoitettujen toimenpiteiden varmistamisen tulokset; |
| m) | mekanismit, joilla ilmoitetaan toimivaltaiselle valvontaviranomaiselle kolmannessa maassa konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän jäseneen mahdollisesta sovellettavista oikeudellisista vaatimuksista, jotka todennäköisesti merkittävästi haittaavat yritystä koskeviin sitoviin sääntöihin sisältyviä takeita; ja |
| n) | asianmukainen tietosuojakoulutus henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin. |
3. Komissio voi vahvistaa muodon ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
52 artikla
Riippumattomuus
1. Kukin valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.
2. Minkään valvontaviranomaisen jäseneen tai jäseniin ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti heidän hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eivätkä he saa pyytää eivätkä ottaa ohjeita miltään taholta.
3. Kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.
4. Kunkin jäsenvaltion on varmistettava, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.
5. Kunkin jäsenvaltion on varmistettava, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii asianomaisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.
6. Kunkin jäsenvaltion on varmistettava, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen ja että sillä on erillinen julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.
54 artikla
Valvontaviranomaisen perustamista koskevat säännöt
1. Kunkin jäsenvaltion on laissa säädettävä kaikesta seuraavasta:
| a) | kunkin valvontaviranomaisen perustamisesta; |
| b) | pätevyydestä ja kelpoisuusehdoista, joita kunkin valvontaviranomaisen jäseneksi nimitettäviltä edellytetään; |
| c) | valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä; |
| d) | kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä 24 päivän toukokuuta 2016 jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla; |
| e) | siitä, voidaanko valvontaviranomaisen jäsen tai jäsenet nimittää uudelleen ja, jos näin on, kuinka moneksi toimikaudeksi; |
| f) | valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä, yhteensopimatonta toimintaa ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen ja tehtävien päättymistä koskevista säännöistä. |
2. Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän asetuksen rikkomisista.
62 artikla
Valvontaviranomaisten yhteiset operaatiot
1. Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä tutkimuksia ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä.
2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. Edellä olevan 56 artiklan 1 kohdan tai 4 kohdan mukaisesti toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan kyseisiin yhteisiin operaatioihin ja pyytää sitä vastaamaan viipymättä osallistumista koskevaan valvontaviranomaisen pyyntöön.
3. Valvontaviranomainen voi oman jäsenvaltion lainsäädännön mukaisesti ja avustavan valvontaviranomaisen hyväksynnän perusteella myöntää valtuudet, kuten tutkintavaltuudet, yhteisiin operaatioihin osallistuvan avustavan valvontaviranomaisen jäsenelle tai henkilöstölle, tai siltä osin kuin se on mahdollista vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädännön puitteissa, sallia avustavan valvontaviranomaisen jäsenten tai henkilöstön käyttää tutkintavaltuuksiaan avustavan valvontaviranomaisen jäsenvaltion lainsäädännön mukaisesti. Näitä tutkintavaltuuksia voidaan käyttää ainoastaan vastaanottavan valvontaviranomaisen jäsenten tai henkilöstön johdolla ja heidän läsnä ollessaan. Avustavan valvontaviranomaisen jäseniin tai henkilöstöön sovelletaan vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädäntöä.
4. Jos avustavan valvontaviranomaisen henkilöstö toimii 1 kohdan mukaisesti toisessa jäsenvaltiossa, vastaanottavan valvontaviranomaisen jäsenvaltio on vastuussa heidän toimistaan, mukaan lukien korvausvastuu mahdollisista vahingoista, joita he ovat aiheuttaneet toimintansa aikana, sen jäsenvaltion lainsäädännön mukaisesti, jonka alueella he toimivat.
5. Jäsenvaltio, jonka alueella vahinko aiheutui, vastaa vahingon korvaamisesta henkilöstönsä aiheuttamia vahinkoja koskevien ehtojen mukaisesti. Sen avustavan valvontaviranomaisen jäsenvaltion, jonka henkilöstö on aiheuttanut vahinkoa kenelle tahansa henkilölle toisen jäsenvaltion alueella, on korvattava jälkimmäiselle jäsenvaltiolle kokonaisuudessaan korvaukset, jotka tämä on maksanut heidän puolestaan korvaukseen oikeutetuille.
6. Kukin jäsenvaltio pidättyy 1 kohdassa tarkoitetussa tapauksessa pyytämästä korvausta toiselta jäsenvaltiolta 4 kohdassa tarkoitettujen vahinkojen osalta, sanotun kuitenkaan rajoittamatta sen oikeuksien käyttämistä kolmansiin osapuoliin nähden tai vaikuttamatta 5 kohdan soveltamiseen.
7. Jos yhteinen operaatio on tarkoitus järjestää ja valvontaviranomainen ei noudata tämän artiklan 2 kohdan toisessa virkkeessä säädettyä velvollisuutta kuukauden kuluessa, muut valvontaviranomaiset voivat toteuttaa väliaikaisen toimenpiteen jäsenvaltionsa alueella 55 artiklan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan tietosuojaneuvoston antama kiireellinen lausunto tai kiireellinen sitova päätös 66 artiklan 2 kohdan nojalla.
75 artikla
Sihteeristö
1. Tietosuojaneuvostolla on oltava sihteeristö, jonka henkilöstöstä vastaa Euroopan tietosuojavaltuutettu.
2. Sihteeristö hoitaa tehtävänsä yksinomaan tietosuojaneuvoston puheenjohtajan ohjeiden mukaisesti.
3. Tällä asetuksella tietosuojaneuvostolle annettujen tehtävien hoitamisessa mukana olevalla Euroopan tietosuojavaltuutetun henkilöstöllä on oltava Euroopan tietosuojavaltuutetulle annettuja muita tehtäviä hoitavasta henkilöstöstä erilliset raportointikanavat.
4. Tarvittaessa tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu vahvistavat ja julkaisevat tämän artiklan täytäntöönpanoa koskevan yhteisymmärryspöytäkirjan, jossa määritellään niiden yhteistyön ehdot ja jota sovelletaan tällä asetuksella Euroopan tietosuojaneuvostolle annettujen tehtävien hoitamisessa mukana olevaan Euroopan tietosuojavaltuutetun henkilöstöön.
5. Sihteeristö antaa tietosuojaneuvostolle analyysi-, hallinto- ja logistiikkatukea.
6. Sihteeristöllä on erityisesti seuraavat tehtävät:
| a) | hoitaa tietosuojaneuvoston juoksevia asioita; |
| b) | hoitaa tietosuojaneuvoston, sen puheenjohtajan ja komission välistä viestintää; |
| c) | hoitaa viestintää muille toimielimille ja yleisölle; |
| d) | käyttää sähköisiä viestintävälineitä sekä sisäisessä että ulkoisessa viestinnässä; |
| e) | kääntää tarvittavat tiedot; |
| f) | valmistella ja seurata tietosuojaneuvoston kokouksia; |
| g) | valmistella, laatia ja julkaista tietosuojaneuvoston lausuntoja, valvontaviranomaisten välisten kiistojen ratkaisua koskevia päätöksiä ja muita asiakirjoja. |
whereas
dal 2004 diritto e informatica