interactive GDPR 2016/0679 FI

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)	rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

c)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)	käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)	käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;

käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

12 artikla

Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1. Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

2. Rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15–22 artiklan mukaisten oikeuksien käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

3. Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

4. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

5. Jäljempänä olevan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko

a)	periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai

b)	kieltäytyä suorittamasta pyydettyä toimea.

Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

6. Jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.

7. Jäljempänä 13 ja 14 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

8. Siirretään komissiolle valta antaa 92 artiklan mukaisesti delegoituja säädöksiä, jotta voidaan määrittää kuvakkeilla annettavat tiedot ja menettelyt, joilla standardoituja kuvakkeita tarjotaan käyttöön.

2 Jakso

Ilmoittaminen ja pääsy henkilötietoihin

16 artikla

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

17 artikla

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

a)	henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)	rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

c)	rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan nojalla;

d)	henkilötietoja on käsitelty lainvastaisesti;

e)	henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;

f)	henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

3. Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

a)	sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

c)	kansanterveyteen liittyvää yleistä etua koskevista syistä 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;

d)	yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti; tai

e)	oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

25 artikla

Sisäänrakennettu ja oletusarvoinen tietosuoja

1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

3. Hyväksyttyä 42 artiklan mukaista sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan.

28 artikla

Henkilötietojen käsittelijä

1. Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2. Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3. Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä

käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;

b)	varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

c)	toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;

d)	noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;

e)	ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

f)	auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;

g)	rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

h)	saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

4. Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

5. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osatekijänä, jolla osoitetaan, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.

6. Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa rekisterinpitäjälle tai henkilötietojen käsittelijälle 42 tai 43 artiklan mukaisesti myönnettyä sertifiointia.

7. Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8. Valvontaviranomainen voi hyväksyä vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.

9. Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

10. Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.

33 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)	kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)	ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)	kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)	kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

4. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

34 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1. Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2. Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 33 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3. Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b)	rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

c)	se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

4. Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

3 Jakso

Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

35 artikla

Tietosuojaa koskeva vaikutustenarviointi

1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.

3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:

luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;

b)	laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin; tai

c)	yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

4. Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi. Valvontaviranomaisen on toimitettava tällaiset luettelot 68 artiklassa tarkoitetulle neuvostolle.

5. Valvontaviranomainen voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia. Valvontaviranomaisen on toimitettava tällaiset luettelot tietosuojaneuvostolle.

6. Jos 4 ja 5 kohdassa tarkoitettu luettelo sisältää käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen rekisteröidyille tai näiden käyttäytymisen seurantaan useissa jäsenvaltioissa tai jos toimet voivat merkittävästi vaikuttaa henkilötietojen vapaaseen liikkuvuuteen unionissa, toimivaltaisen valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa kyseisen luettelon.

7. Arvioinnin on sisällettävä vähintään:

a)	järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;

b)	arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;

c)	arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja

d)	suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

8. Se, että asianomaiset rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, otetaan asianmukaisesti huomioon arvioitaessa kyseisten rekisterinpitäjien ja henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.

9. Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

10. Jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava unionin oikeus tai jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen käsittelyn oikeusperusteen hyväksymisen yhteydessä, 1–7 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.

11. Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.

45 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

1. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

2. Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:

oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;

se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, kuten riittävistä valvontavaltuuksista, oikeuksien käyttämistä koskevan avun ja neuvojen tarjoamisesta rekisteröidyille sekä yhteistyön tekemisestä jäsenvaltioiden valvontaviranomaisten kanssa;

asianosaisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai säädöksistä taikka monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.

3. Komissio voi suojan riittävyyttä arvioituaan päättää, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja tarvittaessa nimetään tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen tai valvontaviranomaiset. Täytäntöönpanosäädös hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4. Komissio seuraa jatkuvasti kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa tämän artiklan 3 kohdan mukaisesti hyväksyttyjen päätösten ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyjen päätösten toimivuuteen.

5. Jos saatavilla olevista tiedoista käy ilmi varsinkin tämän artiklan 3 kohdassa tarkoitetun tarkastelun jälkeen, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö ei tarjoa enää tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, komissio tekee tästä päätöksen ja tarvittaessa kumoaa tämän artiklan 3 kohdassa tarkoitetun päätöksen, muuttaa sitä tai lykkää sen voimaantuloa täytäntöönpanosäädöksellä ilman takautuvaa vaikutusta. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Komissio hyväksyy 93 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa.

6. Komissio aloittaa neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa korjatakseen tilanteen, jonka johdosta 5 kohdan mukainen päätös annettiin.

7. Edellä tämän artiklan 5 kohdan nojalla annettu päätös ei rajoita 46–49 artiklan mukaisesti tehtäviä henkilötietojen siirtoja kolmanteen maahan tai kyseisen kolmannen maan alueelle tai yhdelle tai useammalle tietylle sektorille tai kansainväliselle järjestölle.

8. Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietyistä sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei enää ole riittävä.

9. Komission direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla antamat päätökset pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai kumotaan tämän artiklan 3 tai 5 kohdan mukaisesti annetulla komission päätöksellä.

46 artikla

Siirto asianmukaisia suojatoimia soveltaen

1. Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:

a)	viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

b)	47 artiklan mukaiset yritystä koskevat sitovat säännöt;

c)	komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

d)	tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

e)	40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin;

f)	42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.

3. Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

a)	rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

b)	säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

4. Valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.

5. Hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes kyseinen valvontaviranomainen tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne. Päätökset, jotka komissio on antanut direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai kumotaan tämän artiklan 2 kohdan mukaisesti annetulla komission päätöksellä.

61 artikla

Keskinäinen avunanto

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2. Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4. Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos

a)	sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai

b)	pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.

5. Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.

6. Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7. Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.

8. Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.

9. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

64 artikla

Tietosuojaneuvoston lausunto

1. Tietosuojaneuvosto antaa lausunnon aina kun toimivaltainen valvontaviranomainen aikoo toteuttaa jonkin jäljempänä esitetyistä toimenpiteistä. Tätä varten toimivaltaisen valvontaviranomaisen on annettava tietosuojaneuvostolle tiedoksi päätösehdotus

a)	kun toimivaltaisen valvontaviranomaisen tarkoituksena on hyväksyä luettelo käsittelytoimista, joihin sovelletaan 35 artiklan 4 kohdan mukaista tietosuojaa koskevaa vaikutustenarviointivaatimusta;

b)	joka koskee 40 artiklan 7 kohdan mukaista kysymystä siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen;

c)	jonka tarkoituksena on hyväksyä kriteerit 41 artiklan 3 kohdan mukaisen elimen tai 43 artiklan 3 kohdan mukaisen sertifiointielimen akkreditoimiseksi;

d)	jonka tarkoituksena on 46 artiklan 2 kohdan d alakohdassa ja 28 artiklan 8 kohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden määrittäminen;

e)	jonka tarkoituksena on 46 artiklan 3 kohdan a alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

f)	jonka tarkoituksena on 47 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

2. Jokainen valvontaviranomainen, tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.

3. Tietosuojaneuvosto antaa 1 ja 2 kohdassa tarkoitetuissa tapauksissa lausunnon sille toimitetusta asiasta, jollei se ole jo antanut lausuntoa samasta asiasta. Kyseinen lausunto on vahvistettava kahdeksan viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon asian monimutkaisuus. Jäsenen, joka ei ole puheenjohtajan ilmoittaman kohtuullisen määräajan kuluessa vastustanut neuvoston jäsenille 5 kohdan mukaisesti toimitettua 1 kohdan mukaista päätösehdotusta, katsotaan hyväksyvän sen.

4. Valvontaviranomaisten ja komission on ilman aiheetonta viivytystä toimitettava tietosuojaneuvostolle sähköisesti vakiolomaketta käyttäen kaikki olennaiset tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, päätösehdotus, perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, sekä muiden osallistuvien valvontaviranomaisten näkemykset.

5. Tietosuojaneuvoston puheenjohtajan on ilmoitettava sähköisesti ja ilman aiheetonta viivytystä

a)	tietosuojaneuvoston jäsenille ja komissiolle kaikista sille toimitetuista asiaa koskevista olennaisista tiedoista vakiolomaketta käyttäen. Tietosuojaneuvoston sihteeristö toimittaa tarvittaessa myös käännöksen asiaankuuluvista tiedoista; ja

b)	tapauksen mukaan 1 ja 2 kohdassa tarkoitetulle valvontaviranomaiselle sekä komissiolle annetusta lausunnosta ja julkaistava se.

6. Toimivaltainen valvontaviranomainen ei saa hyväksyä 1 kohdassa tarkoitettua päätösehdotusta 3 kohdassa tarkoitetun määräajan kuluessa.

7. Edellä 1 kohdassa tarkoitettu valvontaviranomainen ottaa tietosuojaneuvoston lausunnon huomioon mahdollisimman kattavasti ja ilmoittaa tietosuojaneuvoston puheenjohtajalle sähköisesti kahden viikon kuluessa lausunnon saamisesta, pitäytyykö se päätösehdotuksessaan vai muuttaako se sitä, ja toimittaa puheenjohtajalle mahdollisesti muutetun päätösehdotuksen vakiolomaketta käyttäen.

8. Jos osallistuva valvontaviranomainen ilmoittaa tietosuojaneuvoston puheenjohtajalle tämän artiklan 8 kohdassa tarkoitetun määräajan kuluessa, ettei se aio noudattaa neuvoston lausuntoa kokonaisuudessaan tai osittain ja esittää asianmukaiset perusteet, sovelletaan 65 artiklan 1 kohtaa.

65 artikla

Euroopan tietosuojaneuvoston kiistanratkaisumenettely

1. Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen:

jos 60 artiklan 4 kohdassa tarkoitetussa tapauksessa asianomainen valvontaviranomainen on esittänyt johtavan viranomaisen päätösehdotukseen merkityksellisen ja perustellun vastalauseen tai jos johtava viranomainen on hylännyt tällaisen vastalauseen, koska se ei ollut merkityksellinen ja/tai perusteltu. Sitova päätös koskee kaikkia seikkoja, joista merkityksellinen ja perusteltu vastalause on esitetty, erityisesti sen suhteen, onko tätä asetusta rikottu vai ei;

b)	jos esiintyy eriäviä näkemyksiä siitä, mikä asianomaisista valvontaviranomaisista on toimivaltainen päätoimipaikan osalta;

jos toimivaltainen valvontaviranomainen ei pyydä tietosuojaneuvostolta lausuntoa 64 artiklan 1 kohdassa tarkoitetuissa tapauksissa tai ei noudata tietosuojaneuvoston 64 artiklan nojalla antamaa lausuntoa. Tällöin asianomaiset valvontaviranomaiset tai komissio voivat ilmoittaa asiasta tietosuojaneuvostolle.

2. Edellä 1 kohdassa tarkoitettu päätös on annettava tietosuojaneuvoston jäsenten kahden kolmasosan enemmistöllä kuukauden kuluessa asiaa koskevan pyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon asian monimutkaisuus. Edellä olevan 1 kohdan mukainen päätös on perusteltava ja osoitettava johtavalle valvontaviranomaiselle sekä kaikille asianomaisille valvontaviranomaisille, joita se sitoo.

3. Jos tietosuojaneuvosto ei ole antanut päätöstä 2 kohdassa tarkoitettujen määräaikojen kuluessa, sen on annettava päätöksensä jäsentensä yksinkertaisella enemmistöllä kahden viikon kuluessa 2 kohdassa tarkoitetun toisen kuukauden päättymisestä. Jos tietosuojaneuvoston jäsenten äänet menevät tasan, päätöksen ratkaisee puheenjohtajan ääni.

4. Asianomaiset valvontaviranomaiset eivät anna päätöstä 1 kohdan mukaisesti tietosuojaneuvostolle toimitetusta asiasta 2 ja 3 kohdassa tarkoitettujen määräaikojen kuluessa.

5. Tietosuojaneuvoston puheenjohtaja antaa ilman aiheetonta viivytystä 1 kohdassa tarkoitetun päätöksen tiedoksi asianomaisille valvontaviranomaisille. Se ilmoittaa asiasta komissiolle. Päätös julkaistaan viipymättä tietosuojaneuvoston verkkosivustolla valvontaviranomaisen annettua tiedoksi 6 kohdassa tarkoitetun lopullisen päätöksen.

6. Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on jätetty, on annettava lopullinen päätöksensä tämän artiklan 1 kohdassa tarkoitetun päätöksen perusteella ilman aiheetonta viivästystä ja viimeistään kuukauden kuluessa siitä, kun tietosuojaneuvosto on antanut päätöksensä tiedoksi. Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava tietosuojaneuvostolle päivämäärä, jona sen lopullinen päätös on annettu tiedoksi rekisterinpitäjälle tai henkilötietojen käsittelijälle ja rekisteröidylle. Asianomaisten valvontaviranomaisten lopullinen päätös annetaan 60 artiklan 7, 8 ja 9 kohdan mukaisesti. Lopullisessa päätöksessä on viitattava tämän artiklan 1 kohdassa tarkoitettuun päätökseen ja ilmoitettava, että tämän artiklan 1 kohdassa tarkoitettu päätös julkaistaan tietosuojaneuvoston verkkosivustolla tämän artiklan 5 kohdan mukaisesti. Lopullinen päätös liitetään tämän artiklan 1 kohdassa tarkoitettuun päätökseen.

68 artikla

Euroopan tietosuojaneuvosto

1. Perustetaan Euroopan tietosuojaneuvosto, jäljempänä ’tietosuojaneuvosto’, unionin elimeksi, jolla on oikeushenkilöllisyys.

2. Tietosuojaneuvostoa edustaa sen puheenjohtaja.

3. Tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu tai näiden edustajat.

4. Jos jäsenvaltiossa on useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten soveltamisen valvonnasta, nimetään yhteinen edustaja kyseisen jäsenvaltion lainsäädännön mukaisesti.

5. Komissiolla on oikeus osallistua tietosuojaneuvoston toimintaan ja kokouksiin ilman äänioikeutta. Komissio nimeää edustajansa. Tietosuojaneuvoston puheenjohtaja ilmoittaa komissiolle tietosuojaneuvoston toiminnasta.

6. Edellä olevaan 65 artiklaan liittyvissä tapauksissa Euroopan tietosuojavaltuutetulla on äänioikeus vain päätöksissä, jotka koskevat unionin toimielimiin, elimiin ja laitoksiin sovellettavia periaatteita ja sääntöjä, jotka vastaavat asiasisällöltään tämän asetuksen periaatteita ja sääntöjä.

83 artikla

Hallinnollisten sakkojen määräämisen yleiset edellytykset

1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2. Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)	rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)	rikkomisen tahallisuus tai tuottamuksellisuus;

c)	rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d)	rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e)	rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;

f)	yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g)	henkilötietoryhmät, joihin rikkominen vaikuttaa;

h)	tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;

i)	jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j)	40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k)	mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

4. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet;

b)	sertifiointielimen 42 ja 43 artiklan mukaiset velvollisuudet;

c)	edellä 41 artiklan 4 kohdassa tarkoitetut valvontaelimen velvollisuudet.

5. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna;

b)	rekisteröityjen 12–22 artiklan mukaiset oikeudet;

c)	edellä 44–49 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

d)	kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet;

e)	valvontaviranomaisen 58 artiklan 2 kohdan nojalla antaman määräyksen tai väliaikaisen tai lopullisen rajoituksen tai tietovirtojen keskeyttämismääräyksen noudattamatta jättäminen tai 58 artiklan 1 kohdan mukaisen pääsyn antamista koskevan velvollisuuden rikkominen.

6. Edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

7. Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

8. Valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

9. Jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista sakoista, tätä artiklaa voidaan soveltaa niin, että sakon panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Määrättävien sakkojen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Näiden jäsenvaltioiden on toimitettava säännökset, jotka ne hyväksyvät tämän kohdan nojalla, tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

whereas

(6) Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen suojeluun uusia haasteita.
Henkilötietoja jaetaan ja kerätään nyt merkittävän paljon enemmän.
Teknologian ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti.
Myös luonnolliset henkilöt saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti.
Teknologia on mullistanut sekä talouden että sosiaalisen elämän.
Tulevaisuudessa se helpottanee edelleen henkilötietojen vapaata kulkua unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille ja varmistaa samalla henkilötietojen korkeatasoisen suojan.

- = -

(23) Jotta luonnolliset henkilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella olevien rekisteröityjen henkilötietojen käsittelyyn, jos sitä suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille, riippumatta siitä, liittyykö niihin maksu.
Jotta voidaan määrittää, tarjoaako kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä tavaroita ja palveluja unionin alueella oleville rekisteröidyille, olisi varmistettava, onko ilmeistä, että rekisterinpitäjä tai henkilötietojen käsittelijä aikoo tarjota palveluja rekisteröidyille yhdessä tai useammassa jäsenvaltiossa unionissa.
Koska pelkkä rekisterinpitäjän, henkilötietojen käsittelijän tai välittäjän unionissa olevan verkkosivuston, sähköpostiosoitteen tai muiden yhteystietojen saatavuus tai siinä kolmannessa maassa, johon rekisterinpitäjä on sijoittautunut, yleisesti käytettävän kielen käyttö ei riitä tällaisen aikomuksen varmistamiseksi, seikat, kuten yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai valuutan käyttö ja mahdollisuus tilata tavaroita ja palveluja kyseisellä muulla kielellä tai maininta unionissa olevista asiakkaista tai käyttäjistä, voivat osoittaa olevan ilmeistä, että rekisterinpitäjä aikoo tarjota tavaroita ja palveluja rekisteröidyille unionissa.

- = -

(42) Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin.
Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse.
Neuvoston direktiivin 93/13/ETY (10) mukaisesti rekisterinpitäjän ennalta muotoilema ilmoitus suostumuksesta olisi annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä eikä siihen pitäisi sisältyä kohtuuttomia ehtoja.
Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä.
Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.

- = -

(54) Erityisryhmiin kuuluvia henkilötietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä.
Tällaisen käsittelyn olisi edellytettävä asianmukaisia ja erityisiä toimenpiteitä luonnollisten henkilöiden oikeuksien ja vapauksien suojelemiseksi.
Tässä yhteydessä ’kansanterveydellä’ olisi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 (11) esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuoltopalvelujen tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuoltopalvelujen tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä.
Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten kolmansien osapuolten, kuten työnantajien tai vakuutusyhtiöiden ja pankkien, toimesta.

- = -

(59) Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa esimerkiksi mekanismeilla, joilla rekisteröity voi pyytää pääsyä henkilötietoihin ja esittää henkilötietojen oikaisemista tai poistamista koskevan pyynnön ja mahdollisuuksien mukaan saada nämä oikeudet maksutta, sekä käyttää oikeuttaan vastustaa henkilötietojen käsittelyä.
Rekisterinpitäjän olisi myös tarjottava keinot esittää tällaiset pyynnöt sähköisesti erityisesti silloin, kun henkilötietoja käsitellään sähköisesti.
Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perustelemaan kieltäytymisensä siinä tapauksessa, että rekisterinpitäjä ei aio noudattaa tällaista pyyntöä.

- = -

(71) Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella, josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista.
Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla.
Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien lainsäädäntö, joka on annettu petosten ja verovilpin valvomiseksi ja torjumiseksi unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standardien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa.
Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös.
Tällaista toimenpidettä ei saisi kohdistaa lapseen.

- = -

(85) Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoitumisen luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa.
Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan tilivelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.
Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä.

- = -

(87) Olisi tarkistettava, onko kaikki asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet toteutettu, jotta voidaan selvittää välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja saattaa asia viipymättä valvontaviranomaisen ja rekisteröidyn tiedoksi.
Se, että ilmoitus tehtiin ilman aiheetonta viivytystä, olisi selvitettävä ottaen huomioon erityisesti henkilötietojen tietoturvaloukkauksen luonne ja vakavuus sekä tästä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset.
Kyseinen ilmoitus voi johtaa siihen, että valvontaviranomainen puuttuu asiaan sille tässä asetuksessa säädettyjen tehtävien ja toimivaltuuksien mukaisesti.

- = -

(103) Komissio voi tehdä koko unionia koskevan päätöksen siitä, että tietty kolmas maa tai tietty alue tai tietty sektori jossakin kolmannessa maassa tai tietty kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan tai kansainvälisen järjestön osalta, jonka katsotaan tarjoavan tämäntasoista suojaa.
Tällöin henkilötietoja voidaan siirtää kyseiseen maahan ilman erillistä lupaa.
Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja toimitettuaan kattavat perustelut asianomaiselle kolmannelle maalle tai kansainväliselle järjestölle.

- = -

(123) Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla.
Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa ilman, että tarvitaan mitään jäsenvaltioiden välistä sopimusta keskinäisen avunannon antamisesta tai tällaisesta yhteistyöstä.

- = -

(139) Tämän asetuksen johdonmukaisen soveltamisen edistämiseksi tietosuojaneuvosto olisi perustettava riippumattomaksi unionin elimeksi.
Jotta tietosuojaneuvosto voisi täyttää tavoitteensa, sillä olisi oltava oikeushenkilöllisyys.
Tietosuojaneuvostoa olisi edustettava sen puheenjohtaja.
Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä.
Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu tai näiden edustajat.
Komission olisi osallistuttava tietosuojaneuvoston toimintaan ilman äänioikeutta ja Euroopan tietosuojavaltuutetulla olisi oltava erityinen äänioikeus.
Tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle etenkin tietosuojan tasosta kolmansissa maissa ja kansainvälisissä järjestöissä sekä tukemalla valvontaviranomaisten yhteistyötä unionissa.
Tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

- = -

(142) Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta.
Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä valitus ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta.
Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.

- = -

dal 2004 diritto e informatica