interactive GDPR 2016/0679 FI

b)	käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)	käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e)	käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f)	käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.

3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

a)	unionin oikeudessa; tai

b)	rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4. Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

a)	henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;

b)	henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

c)	henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti;

d)	aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

e)	asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo.

13 artikla

Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä

1. Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

a)	rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot;

b)	tapauksen mukaan tietosuojavastaavan yhteystiedot;

c)	henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;

d)	rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

d)	henkilötietojen vastaanottajat tai vastaanottajaryhmät;

tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)	henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)	rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;

c)	oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;

d)	oikeus tehdä valitus valvontaviranomaiselle;

e)	onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;

f)	automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

3. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

4. Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot.

14 artikla

Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä

1. Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

a)	rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot;

b)	tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot;

c)	henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;

d)	kyseessä olevat henkilötietoryhmät;

e)	mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)	henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)	rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

c)	rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;

d)	oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;

e)	oikeus tehdä valitus valvontaviranomaiselle;

f)	mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä;

g)	automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

3. Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot:

a)	kohtuullisen ajan kuluttua mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet;

b)	jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

c)	jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

4. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

5. Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

a)	rekisteröity on jo saanut tiedot;

kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten siten, että noudatetaan 89 artiklan 1 kohdassa esitettyjä edellytyksiä ja suojatoimia, tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti; tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville;

c)	tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

d)	tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.

45 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

1. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

2. Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:

oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;

se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, kuten riittävistä valvontavaltuuksista, oikeuksien käyttämistä koskevan avun ja neuvojen tarjoamisesta rekisteröidyille sekä yhteistyön tekemisestä jäsenvaltioiden valvontaviranomaisten kanssa;

asianosaisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai säädöksistä taikka monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.

3. Komissio voi suojan riittävyyttä arvioituaan päättää, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja tarvittaessa nimetään tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen tai valvontaviranomaiset. Täytäntöönpanosäädös hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4. Komissio seuraa jatkuvasti kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa tämän artiklan 3 kohdan mukaisesti hyväksyttyjen päätösten ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyjen päätösten toimivuuteen.

5. Jos saatavilla olevista tiedoista käy ilmi varsinkin tämän artiklan 3 kohdassa tarkoitetun tarkastelun jälkeen, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö ei tarjoa enää tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, komissio tekee tästä päätöksen ja tarvittaessa kumoaa tämän artiklan 3 kohdassa tarkoitetun päätöksen, muuttaa sitä tai lykkää sen voimaantuloa täytäntöönpanosäädöksellä ilman takautuvaa vaikutusta. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Komissio hyväksyy 93 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa.

6. Komissio aloittaa neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa korjatakseen tilanteen, jonka johdosta 5 kohdan mukainen päätös annettiin.

7. Edellä tämän artiklan 5 kohdan nojalla annettu päätös ei rajoita 46–49 artiklan mukaisesti tehtäviä henkilötietojen siirtoja kolmanteen maahan tai kyseisen kolmannen maan alueelle tai yhdelle tai useammalle tietylle sektorille tai kansainväliselle järjestölle.

8. Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietyistä sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei enää ole riittävä.

9. Komission direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla antamat päätökset pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai kumotaan tämän artiklan 3 tai 5 kohdan mukaisesti annetulla komission päätöksellä.

46 artikla

Siirto asianmukaisia suojatoimia soveltaen

1. Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:

a)	viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

b)	47 artiklan mukaiset yritystä koskevat sitovat säännöt;

c)	komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

d)	tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

e)	40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin;

f)	42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.

3. Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

a)	rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

b)	säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

4. Valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.

5. Hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes kyseinen valvontaviranomainen tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne. Päätökset, jotka komissio on antanut direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai kumotaan tämän artiklan 2 kohdan mukaisesti annetulla komission päätöksellä.

48 artikla

Siirrot ja luovutukset, joita ei sallita unionin lainsäädännössä

kolmannen maan tuomioistuimen tai hallintoviranomaisen päätös, jossa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista, voidaan tunnustaa tai saattaa millään tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen kuten keskinäiseen oikeusapusopimukseen, sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista..

70 artikla

Tietosuojaneuvoston tehtävät

1. Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti. Tätä varten tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai tarvittaessa komission pyynnöstä erityisesti seuraavia tehtäviä:

a)	tämän asetuksen asianmukaisen soveltamisen seuranta ja varmistaminen 64 ja 65 artiklassa säädetyissä tapauksissa, sanotun kuitenkaan rajoittamatta kansallisten valvontaviranomaisten tehtäviä;

b)	antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän asetuksen mahdollisesta muuttamisesta;

c)	antaa komissiolle neuvoja rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välisen tietojenvaihdon muodoista ja menettelyistä, kun kyse on yritystä koskevista sitovista säännöistä;

d)	antaa suuntaviivoja, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista, siten kuin 17 artiklan 2 kohdassa tarkoitetaan;

e)	tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

f)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 22 artiklan 2 kohdan mukaisia profilointiin perustuvia päätöksiä koskevien kriteerien ja edellytysten tarkemmaksi määrittelemiseksi;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 33 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietoturvaloukkausten toteamiseksi ja aiheettoman viivytyksen määrittelemiseksi sekä niiden erityisten olosuhteiden määrittelemiseksi, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

h)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 34 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen siirroille, jotka perustuvat rekisterinpitäjien ja henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin, sekä lisävaatimuksista, jotka ovat tarpeen 47 artiklassa tarkoitettujen asianomaisten rekisteröityjen henkilötietojen suojan varmistamiseksi;

j)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 49 artiklan 1 kohdan mukaisia henkilötietojen siirtoja koskevien kriteerien ja vaatimusten tarkemmaksi määrittelemiseksi;

k)	laatii valvontaviranomaisille suuntaviivoja, jotka koskevat 58 artiklan 1, 2 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä 83 artiklan nojalla;

l)	tarkastelee e ja f alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön;

m)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä sellaisten yhdenmukaisten menettelyjen laatimiseksi, joilla luonnolliset henkilöt voivat ilmoittaa tämän asetuksen rikkomisista 54 artiklan 2 kohdan mukaisesti;

n)	edistää käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa 40 ja 42 artiklan mukaisesti;

toteuttaa sertifiointielinten akkreditointia ja 43 artiklan mukaista määräaikaistarkastelua sekä pitää yllä 43 artiklan 6 kohdan mukaista akkreditoitujen elinten julkista rekisteriä ja 42 artiklan 7 kohdan mukaista kolmansiin maihin sijoittautuneiden akkreditoitujen rekisterinpitäjien tai henkilötietojen käsittelijöiden julkista rekisteriä;

p)	määrittelee 43 artiklan 3 kohdassa tarkoitetut vaatimukset sertifiointielinten akkreditoimiseksi 42 artiklan nojalla;

q)	antaa komissiolle lausunnon 43 artiklan 8 kohdassa tarkoitetuista sertifiointivaatimuksista;

r)	antaa komissiolle lausunnon 12 artiklan 7 kohdassa tarkoitetuista kuvakkeista;

antaa komissiolle lausunnon kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö enää varmistamaan tietosuojan riittävää tasoa. Tätä varten komissio toimittaa tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto;

t)	antaa lausuntoja valvontaviranomaisten toimenpideluonnoksista 64 artiklan 1 kohdassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti ja 64 artiklan 2 kohdan mukaisesti sille toimitetuissa asioissa sekä antaa sitovia päätöksiä 65 artiklan nojalla, myös 66 artiklassa tarkoitetuissa tapauksissa;

u)	edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

v)	edistää yhteisiä koulutusohjelmia ja tukea henkilövaihtoa valvontaviranomaisten välillä ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

w)	edistää tietosuojalainsäädäntöä ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa;

x)	antaa lausuntoja unionin tasolla 40 artiklan 9 kohdan mukaisesti laadituista käytännesäännöistä; ja

y)	pitää yllä julkista sähköistä rekisteriä päätöksistä, joita valvontaviranomaiset ja tuomioistuimet ovat tehneet yhdenmukaisuusmekanismissa käsitellyissä asioissa.

2. Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

3. Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 93 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4. Tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 76 artiklan soveltamista.

whereas

(47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen.
Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa.
Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten.
Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä.
Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn.
Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista.
Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.

- = -

(69) Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen tilannettaan koskevien henkilötietojen käsittelyä.
Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet.

- = -

(103) Komissio voi tehdä koko unionia koskevan päätöksen siitä, että tietty kolmas maa tai tietty alue tai tietty sektori jossakin kolmannessa maassa tai tietty kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan tai kansainvälisen järjestön osalta, jonka katsotaan tarjoavan tämäntasoista suojaa.
Tällöin henkilötietoja voidaan siirtää kyseiseen maahan ilman erillistä lupaa.
Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja toimitettuaan kattavat perustelut asianomaiselle kolmannelle maalle tai kansainväliselle järjestölle.

- = -

(104) Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmatta maata tai kolmannen maan aluetta tai tiettyä sektoria arvioidessaan otettava huomioon, miten tietyssä kolmannessa maassa noudatetaan oikeusvaltioperiaatetta, oikeussuojaa ja kansainvälisiä ihmisoikeussääntöjä ja -normeja sekä kyseisen maan yleistä ja alakohtaista lainsäädäntöä, kuten yleistä turvallisuutta, puolustusta, kansallista turvallisuutta sekä yleistä järjestystä ja rikosoikeutta koskevaa lainsäädäntöä.
Hyväksyttäessä päätös kolmannen maan alueen tai tietyn sektorin tietosuojan riittävyydestä olisi otettava huomioon selkeät ja objektiiviset perusteet, kuten erityiset henkilötietojen käsittelytoimet ja kolmannessa maassa sovellettavien oikeusnormien soveltamisala ja voimassa oleva lainsäädäntö.
kolmannen maan olisi tarjottava takeet, joilla varmistetaan riittävä tietosuojan taso, joka vastaa olennaisilta osin Euroopan unionissa taattua suojan tasoa, erityisesti kun henkilötietoja käsitellään yhdellä tai useammalla erityisalalla.
kolmannen maan olisi erityisesti varmistettava tehokas ja riippumaton tietosuojavalvonta ja huolehdittava jäsenvaltioiden tietosuojaviranomaisten kanssa käytettävistä yhteistyömekanismeista, ja rekisteröidyille olisi taattava vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot.

- = -

(105) Komission olisi kolmannen maan tai kansainvälisen järjestön tekemien kansainvälisten sitoumusten lisäksi otettava huomioon velvoitteet, jotka johtuvat kolmannen maan tai kansainvälisen järjestön osallistumisesta monenvälisiin tai alueellisiin järjestelmiin, ja otettava huomioon erityisesti sellaiset velvoitteet, jotka koskevat henkilötietojen suojaamista, sekä kyseisten velvoitteiden täytäntöönpano.
Erityisesti olisi otettava huomioon kolmannen maan liittyminen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 28 päivänä tammikuuta 1981 tehtyyn Euroopan neuvoston yleissopimukseen ja sen lisäpöytäkirjaan.
Komission olisi kuultava tietosuojaneuvostoa arvioidessaan kolmansien maiden tai kansainvälisten järjestöjen suojan tasoa.

- = -

(106) Komission olisi valvottava kolmannen maan tai sen alueen tai tietyn sektorin tai kansainvälisen järjestön tietosuojan tasoa koskevien päätösten, kuten direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan perusteella tehtyjen päätösten, toimivuutta.
Komission tehdessä päätöksiä tietosuojan riittävyydestä sen olisi tehtävä määräaikaisarviointi niiden toimivuudesta.
Tällaista määräaikaisarviointia tehtäessä olisi kuultava kyseistä kolmatta maata tai kansainvälistä järjestöä ja otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä.
Valvoessaan ja toteuttaessaan määräaikaisarviointeja komission olisi otettava huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset.
Komission olisi arvioitava kohtuullisen ajan kuluessa viimeksi mainittujen päätösten toimivuutta ja raportoitava olennaisista löydöksistä Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 182/2011 (12) tarkoitetulle, tämän asetuksen mukaisesti perustetulle komitealle, Euroopan parlamentille ja neuvostolle.

- = -

(107) Komissio voi todeta, että jokin kolmas maa, kolmannen maan alue tai tietty sektori taikka kansainvälinen järjestö ei enää tarjoa riittävän tasoista tietosuojaa.
Tällöin henkilötietojen siirtäminen kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle olisi kiellettävä, elleivät tässä asetuksessa säädetyt edellytykset, jotka liittyvät siirtoihin asianmukaisia suojatoimia soveltaen, myös siirtoihin yritystä koskevien sitovien sääntöjen perusteella, ja erityistilanteita koskeviin poikkeuksiin, täyty.
Tällaisessa tapauksessa olisi säädettävä komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen välisistä kuulemismenettelyistä.
Komission olisi hyvissä ajoin ilmoitettava kolmannelle maalle tai kansainväliselle järjestölle perustelut ja aloitettava sen kanssa neuvottelut tilanteen korjaamiseksi.

- = -

(108) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi.
Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita.
Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa.
Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin.
Myös viranomaiset ja julkiset elimet voivat toteuttaa siirtoja kolmansien maiden viranomaisten tai julkisten elinten tai vastaavia tehtäviä suorittavien kansainvälisten järjestöjen kanssa esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella.
Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava toimivaltaisen valvontaviranomaisen lupa.

- = -

(114) Jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista.

- = -

(115) Jotkut kolmannet maat hyväksyvät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten henkilöiden ja oikeushenkilöiden käsittelytoimia.
Näihin voi kuulua kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätöksiä, joissa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista ja jotka eivät perustu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen.
Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla kansainvälisen oikeuden vastaista ja estää tähän asetukseen perustuvan luonnollisten henkilöiden suojan toteutumisen unionissa.
Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät.
Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä tunnustetun tärkeän yleistä etua koskevan syyn vuoksi.

- = -

(168) Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan täytäntöönpanosäädöksiä rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä sekä henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista; käytännesäännöistä; teknisistä standardeista ja mekanismeista sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyydestä; vakiosuojalausekkeiden hyväksymisestä; muodon ja menettelyjen hyväksymisestä rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä yritystä koskevista sitovista säännöistä sähköisin keinoin toteutettavaa tietojenvaihtoa varten; sekä keskinäisestä avunannosta; järjestelyistä valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten.

- = -

(169) Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun saatavilla olevasta näytöstä käy ilmi, että kolmas maa, kyseisen kolmannen maan alue tai tietojenkäsittelyn sektori taikka kansainvälinen järjestö ei tarjoa riittävää tietosuojaa, ja kun se on tarpeen pakottavista ja kiireellisistä syistä.

- = -

dal 2004 diritto e informatica