interactive GDPR 2016/0679 FI

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

3)	’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä,

’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,

’pseudonymisoimisella’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu,

6)	’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)	’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti,

10)

’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

11)	rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

12)	’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

13)

’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla,

14)

’biometrisillä tiedoilla’ kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa,

15)	’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,

16)

’päätoimipaikalla’

kun kyseessä on rekisterinpitäjä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään rekisterinpitäjän unionissa sijaitsevassa toisessa toimipaikassa ja viimeksi mainitulla toimipaikalla on toimivalta panna kyseiset päätökset täytäntöön; tällöin päätoimipaikaksi katsotaan toimipaikka, jossa kyseiset päätökset on tehty;

kun kyseessä on henkilötietojen käsittelijä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, ja jos henkilötietojen käsittelijällä ei ole keskushallintoa unionissa, sitä henkilötietojen käsittelijän unionissa sijaitsevaa toimipaikkaa, jossa henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä suoritettava pääasiallinen käsittelytoiminta tapahtuu siinä määrin kuin henkilötietojen käsittelijään sovelletaan tämän asetuksen mukaisia erityisiä velvoitteita,

17)

’edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista,

18)	’yrityksellä’ taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa,

19)	’konsernilla’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä,

20)

’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojeluperiaatteita, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän sisällä,

21)	’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,

22)

’osallistuvalla valvontaviranomaisella’ valvontaviranomaista, jota henkilökäsittely koskee, koska

a)	rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle;

b)	käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin; tai

c)	kyseiselle valvontaviranomaiselle on tehty valitus,

23)

’rajatylittävällä käsittelyllä’ joko

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin,

24)

’merkityksellisellä ja perustellulla vastalauseella’ vastalausetta päätösehdotukseen, joka koskee sitä, onko tätä asetusta rikottu vai ei, tai tapauksen mukaan sitä, onko rekisterinpitäjän tai henkilötietojen käsittelijän suhteen suunniteltu toimi asetuksen mukainen, ja jossa osoitetaan selvästi päätösehdotuksen aiheuttamien riskien merkitys rekisteröityjen perusoikeuksille ja -vapauksille ja tapauksen mukaan henkilötietojen vapaalle liikkuvuudelle unionin alueella,

25)	’tietoyhteiskunnan palveluilla’ palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (19) 1 artiklan 1 kohdan b alakohdassa,

26)	’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

II LUKU

Periaatteet

14 artikla

Toimitettavat henkilötiedot, kun tietoja ei ole saatu rekisteröidyltä

1. Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

a)	rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot;

b)	tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot;

c)	henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;

d)	kyseessä olevat henkilötietoryhmät;

e)	mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;

tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

a)	henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

b)	rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;

c)	rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;

d)	oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;

e)	oikeus tehdä valitus valvontaviranomaiselle;

f)	mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä;

g)	automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

3. Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot:

a)	kohtuullisen ajan kuluttua mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet;

b)	jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai

c)	jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

4. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

5. Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

a)	rekisteröity on jo saanut tiedot;

kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten siten, että noudatetaan 89 artiklan 1 kohdassa esitettyjä edellytyksiä ja suojatoimia, tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti; tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville;

c)	tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai

d)	tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.

45 artikla

Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella

1. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

2. Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:

oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;

se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, kuten riittävistä valvontavaltuuksista, oikeuksien käyttämistä koskevan avun ja neuvojen tarjoamisesta rekisteröidyille sekä yhteistyön tekemisestä jäsenvaltioiden valvontaviranomaisten kanssa;

asianosaisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai säädöksistä taikka monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.

3. Komissio voi suojan riittävyyttä arvioituaan päättää, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja tarvittaessa nimetään tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen tai valvontaviranomaiset. Täytäntöönpanosäädös hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4. Komissio seuraa jatkuvasti kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa tämän artiklan 3 kohdan mukaisesti hyväksyttyjen päätösten ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyjen päätösten toimivuuteen.

5. Jos saatavilla olevista tiedoista käy ilmi varsinkin tämän artiklan 3 kohdassa tarkoitetun tarkastelun jälkeen, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö ei tarjoa enää tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, komissio tekee tästä päätöksen ja tarvittaessa kumoaa tämän artiklan 3 kohdassa tarkoitetun päätöksen, muuttaa sitä tai lykkää sen voimaantuloa täytäntöönpanosäädöksellä ilman takautuvaa vaikutusta. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Komissio hyväksyy 93 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa.

6. Komissio aloittaa neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa korjatakseen tilanteen, jonka johdosta 5 kohdan mukainen päätös annettiin.

7. Edellä tämän artiklan 5 kohdan nojalla annettu päätös ei rajoita 46–49 artiklan mukaisesti tehtäviä henkilötietojen siirtoja kolmanteen maahan tai kyseisen kolmannen maan alueelle tai yhdelle tai useammalle tietylle sektorille tai kansainväliselle järjestölle.

8. Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietyistä sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei enää ole riittävä.

9. Komission direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla antamat päätökset pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai kumotaan tämän artiklan 3 tai 5 kohdan mukaisesti annetulla komission päätöksellä.

47 artikla

Yritystä koskevat sitovat säännöt

1. Toimivaltainen valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos

a)	säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin asianomaisiin konsernin tai yritysryhmän jäseniin, jotka harjoittavat yhteistä taloudellista toimintaa, työntekijät mukaan luettuna, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;

b)	säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia heidän henkilötietojensa käsittelyä koskevia oikeuksia; ja

c)	säännöt täyttävät 2 kohdassa säädetyt vaatimukset.

2. Näissä 1 kohdassa tarkoitetuissa yritystä koskevissa sitovissa säännöissä on määritettävä vähintään

a)	konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, ja sen kaikkien jäsenten rakenne ja yhteystiedot;

b)	tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;

c)	sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;

yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido;

rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;

jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;

g)	se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 13 ja 14 artiklan vaatimusten lisäksi;

kaikkien 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät;

i)	valitusmenettelyt;

mekanismit, joiden avulla konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen varmistetaan. Tällaisia mekanismeja ovat tietosuojaa koskevat tarkastukset ja menetelmät, joilla varmistetaan korjaavat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tällaisten varmistusten tulokset olisi ilmoitettava h alakohdassa tarkoitetulle henkilölle tai yksikölle sekä konsernissa määräysvaltaa käyttävän yrityksen tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän hallitukselle, ja niiden olisi oltava pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla;

k)	mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;

yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön j alakohdassa tarkoitettujen toimenpiteiden varmistamisen tulokset;

mekanismit, joilla ilmoitetaan toimivaltaiselle valvontaviranomaiselle kolmannessa maassa konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän jäseneen mahdollisesta sovellettavista oikeudellisista vaatimuksista, jotka todennäköisesti merkittävästi haittaavat yritystä koskeviin sitoviin sääntöihin sisältyviä takeita; ja

n)	asianmukainen tietosuojakoulutus henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin.

3. Komissio voi vahvistaa muodon ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

58 artikla

Valtuudet

1. Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

a)	määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;

b)	toteuttaa tutkimuksia tietosuojaa koskevien tarkastusten muodossa;

c)	toteuttaa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien uudelleentarkastelu;

d)	ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;

e)	saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;

f)	saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin tai jäsenvaltion prosessioikeuden mukaisesti.

2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

a)	varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;

b)	antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;

c)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;

d)	määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;

e)	määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

f)	asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;

g)	määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 16, 17 ja 18 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 17 artiklan 2 kohdan ja 19 artiklan mukaisesti;

h)	peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi tai kieltää sertifiointielintä antamasta sertifiointia silloin kun sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty;

i)	määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen;

j)	määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.

3. Jokaisella valvontaviranomaisella on kaikki seuraavat hyväksymis- ja neuvontavaltuudet:

a)	antaa rekisterinpitäjälle neuvoja 36 artiklassa tarkoitetun ennakkokuulemismenettelyn mukaisesti;

b)	antaa omasta aloitteestaan tai pyynnöstä lausuntoja kansalliselle parlamentille, jäsenvaltion hallitukselle tai jäsenvaltion lainsäädännön mukaisesti muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;

c)	hyväksyä 36 artiklan 5 kohdassa tarkoitettu käsittely, jos jäsenvaltion lainsäädännössä edellytetään tällaista ennakkohyväksyntää;

d)	antaa lausunto käytännesääntöjen luonnoksista ja hyväksyä ne 40 artiklan 5 kohdan mukaisesti;

e)	akkreditoida sertifiointielimet 43 artiklan mukaisesti;

f)	myöntää sertifiointeja ja hyväksyä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

g)	hyväksyä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut tietosuojaa koskevat vakiolausekkeet;

h)	hyväksyä 46 artiklan 3 kohdan a alakohdassa tarkoitetut sopimuslausekkeet;

i)	hyväksyä 46 artiklan 3 kohdan b alakohdassa tarkoitettuja hallinnollisia järjestelyjä; ja

j)	hyväksyä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti.

4. Valvontaviranomaiselle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.

5. Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.

6. Kukin jäsenvaltio voi säätää laissa, että sen valvontaviranomaisella on 1, 2 ja 3 kohdassa tarkoitettujen valtuuksien lisäksi muita valtuuksia. Näiden valtuuksien käyttäminen ei saa haitata VII luvun tehokasta toimivuutta.

83 artikla

Hallinnollisten sakkojen määräämisen yleiset edellytykset

1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2. Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)	rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)	rikkomisen tahallisuus tai tuottamuksellisuus;

c)	rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d)	rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e)	rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;

f)	yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g)	henkilötietoryhmät, joihin rikkominen vaikuttaa;

h)	tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;

i)	jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j)	40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k)	mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

4. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet;

b)	sertifiointielimen 42 ja 43 artiklan mukaiset velvollisuudet;

c)	edellä 41 artiklan 4 kohdassa tarkoitetut valvontaelimen velvollisuudet.

5. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna;

b)	rekisteröityjen 12–22 artiklan mukaiset oikeudet;

c)	edellä 44–49 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

d)	kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet;

e)	valvontaviranomaisen 58 artiklan 2 kohdan nojalla antaman määräyksen tai väliaikaisen tai lopullisen rajoituksen tai tietovirtojen keskeyttämismääräyksen noudattamatta jättäminen tai 58 artiklan 1 kohdan mukaisen pääsyn antamista koskevan velvollisuuden rikkominen.

6. Edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

7. Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

8. Valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

9. Jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista sakoista, tätä artiklaa voidaan soveltaa niin, että sakon panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Määrättävien sakkojen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Näiden jäsenvaltioiden on toimitettava säännökset, jotka ne hyväksyvät tämän kohdan nojalla, tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

whereas

(23) Jotta luonnolliset henkilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa tietosuojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella olevien rekisteröityjen henkilötietojen käsittelyyn, jos sitä suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille, riippumatta siitä, liittyykö niihin maksu.
Jotta voidaan määrittää, tarjoaako kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä tavaroita ja palveluja unionin alueella oleville rekisteröidyille, olisi varmistettava, onko ilmeistä, että rekisterinpitäjä tai henkilötietojen käsittelijä aikoo tarjota palveluja rekisteröidyille yhdessä tai useammassa jäsenvaltiossa unionissa.
Koska pelkkä rekisterinpitäjän, henkilötietojen käsittelijän tai välittäjän unionissa olevan verkkosivuston, sähköpostiosoitteen tai muiden yhteystietojen saatavuus tai siinä kolmannessa maassa, johon rekisterinpitäjä on sijoittautunut, yleisesti käytettävän kielen käyttö ei riitä tällaisen aikomuksen varmistamiseksi, seikat, kuten yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai valuutan käyttö ja mahdollisuus tilata tavaroita ja palveluja kyseisellä muulla kielellä tai maininta unionissa olevista asiakkaista tai käyttäjistä, voivat osoittaa olevan ilmeistä, että rekisterinpitäjä aikoo tarjota tavaroita ja palveluja rekisteröidyille unionissa.

- = -

(48) Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna.
Tämä ei vaikuta yleisperiaatteisiin, joita sovelletaan henkilötietojen siirtoon konsernin sisällä kolmannessa maassa sijaitsevaan yritykseen.

- = -

(101) Henkilötietojen rajatylittävät siirrot unionin ulkopuolisiin maihin, kansainvälisiin järjestöihin ja niistä unioniin ovat tarpeen kansainvälisen kaupan ja yhteistyön kehittämiseksi.
Tällaisten siirtojen lisääntyminen on luonut uusia henkilötietojen suojaan liittyviä haasteita ja huolenaiheita.
Henkilötietojen siirtäminen unionista kolmansissa maissa tai kansainvälisissä järjestöissä oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille ei saisi kuitenkaan vaarantaa luonnollisten henkilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen, ei myöskään silloin, kun kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa tai muussa kansainvälisessä järjestössä oleville rekisterinpitäjille tai henkilötietojen käsittelijöille.
Siirtoja kolmansiin maihin ja kansainvälisille järjestöille voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta kaikilta osin noudattaen.
Siirto voitaisiin toteuttaa ainoastaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä noudattaa tämän asetuksen säännöksissä vahvistettuja edellytyksiä, jotka liittyvät henkilötietojen siirtoon kolmansiin maihin tai kansainvälisille järjestöille, ellei tämän asetuksen muista säännöksistä muuta johdu.

- = -

(103) Komissio voi tehdä koko unionia koskevan päätöksen siitä, että tietty kolmas maa tai tietty alue tai tietty sektori jossakin kolmannessa maassa tai tietty kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan tai kansainvälisen järjestön osalta, jonka katsotaan tarjoavan tämäntasoista suojaa.
Tällöin henkilötietoja voidaan siirtää kyseiseen maahan ilman erillistä lupaa.
Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja toimitettuaan kattavat perustelut asianomaiselle kolmannelle maalle tai kansainväliselle järjestölle.

- = -

(104) Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmatta maata tai kolmannen maan aluetta tai tiettyä sektoria arvioidessaan otettava huomioon, miten tietyssä kolmannessa maassa noudatetaan oikeusvaltioperiaatetta, oikeussuojaa ja kansainvälisiä ihmisoikeussääntöjä ja -normeja sekä kyseisen maan yleistä ja alakohtaista lainsäädäntöä, kuten yleistä turvallisuutta, puolustusta, kansallista turvallisuutta sekä yleistä järjestystä ja rikosoikeutta koskevaa lainsäädäntöä.
Hyväksyttäessä päätös kolmannen maan alueen tai tietyn sektorin tietosuojan riittävyydestä olisi otettava huomioon selkeät ja objektiiviset perusteet, kuten erityiset henkilötietojen käsittelytoimet ja kolmannessa maassa sovellettavien oikeusnormien soveltamisala ja voimassa oleva lainsäädäntö.
Kolmannen maan olisi tarjottava takeet, joilla varmistetaan riittävä tietosuojan taso, joka vastaa olennaisilta osin Euroopan unionissa taattua suojan tasoa, erityisesti kun henkilötietoja käsitellään yhdellä tai useammalla erityisalalla.
Kolmannen maan olisi erityisesti varmistettava tehokas ja riippumaton tietosuojavalvonta ja huolehdittava jäsenvaltioiden tietosuojaviranomaisten kanssa käytettävistä yhteistyömekanismeista, ja rekisteröidyille olisi taattava vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot.

- = -

(106) Komission olisi valvottava kolmannen maan tai sen alueen tai tietyn sektorin tai kansainvälisen järjestön tietosuojan tasoa koskevien päätösten, kuten direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan perusteella tehtyjen päätösten, toimivuutta.
Komission tehdessä päätöksiä tietosuojan riittävyydestä sen olisi tehtävä määräaikaisarviointi niiden toimivuudesta.
Tällaista määräaikaisarviointia tehtäessä olisi kuultava kyseistä kolmatta maata tai kansainvälistä järjestöä ja otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä.
Valvoessaan ja toteuttaessaan määräaikaisarviointeja komission olisi otettava huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset.
Komission olisi arvioitava kohtuullisen ajan kuluessa viimeksi mainittujen päätösten toimivuutta ja raportoitava olennaisista löydöksistä Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 182/2011 (12) tarkoitetulle, tämän asetuksen mukaisesti perustetulle komitealle, Euroopan parlamentille ja neuvostolle.

- = -

(108) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi.
Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita.
Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa.
Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin.
Myös viranomaiset ja julkiset elimet voivat toteuttaa siirtoja kolmansien maiden viranomaisten tai julkisten elinten tai vastaavia tehtäviä suorittavien kansainvälisten järjestöjen kanssa esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella.
Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava toimivaltaisen valvontaviranomaisen lupa.

- = -

(113) Tiedonsiirrot, joita ei voida pitää toistuvina ja jotka koskevat vain suppeaa rekisteröityjen määrää, voitaisiin myös sallia rekisterinpitäjän pakottavien oikeutettujen etujen toteuttamiseksi, jos rekisteröidyn edut taikka oikeudet ja vapaudet eivät syrjäytä kyseisiä etuja ja jos rekisterinpitäjä on arvioinut kaikki tällaisiin siirtoihin liittyvät olosuhteet.
Rekisterinpitäjän olisi kiinnitettävä erityistä huomiota henkilötietojen luonteeseen sekä ehdotetun käsittelytoimen tai ehdotettujen käsittelytoimien tarkoitukseen ja kestoon sekä tilanteeseen tietojen alkuperämaassa, kolmannessa maassa ja lopullisessa kohdemaassa, ja luonnollisten henkilöiden henkilötietojen käsittelyn yhteydessä näiden perusoikeuksien ja vapauksien suojelemiseksi toteutettuihin asianmukaisiin suojatoimiin.
Tällaisten tiedonsiirtojen olisi oltava mahdollisia ainoastaan marginaalisissa tapauksissa, joihin mikään muu siirtämisperuste ei sovellu.
Tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi otettava huomioon tiedon lisäämistä koskevat yhteiskunnan oikeutetut odotukset.
Rekisterinpitäjän olisi ilmoitettava tiedonsiirrosta valvontaviranomaiselle ja rekisteröidylle.

- = -

(168) Olisi käytettävä tarkastelumenettelyä, kun vahvistetaan täytäntöönpanosäädöksiä rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä sekä henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista; käytännesäännöistä; teknisistä standardeista ja mekanismeista sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai tietojenkäsittelyn sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyydestä; vakiosuojalausekkeiden hyväksymisestä; muodon ja menettelyjen hyväksymisestä rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä yritystä koskevista sitovista säännöistä sähköisin keinoin toteutettavaa tietojenvaihtoa varten; sekä keskinäisestä avunannosta; järjestelyistä valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten.

- = -

dal 2004 diritto e informatica