interactive GDPR 2016/0679 FI

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)	rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

c)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)	käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)	käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;

käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

25 artikla

Sisäänrakennettu ja oletusarvoinen tietosuoja

1. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

3. Hyväksyttyä 42 artiklan mukaista sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan.

32 artikla

Käsittelyn turvallisuus

1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a)	henkilötietojen pseudonymisointi ja salaus;

b)	kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c)	kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

d)	menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

3. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.

4. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.

55 artikla

Toimivalta

1. Jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.

2. Jos käsittelyn suorittavat viranomaiset tai yksityiset elimet 6 artiklan 1 kohdan c tai e alakohdan nojalla, toimivalta on asianomaisen jäsenvaltion valvontaviranomaisella. Tällöin ei sovelleta 56 artiklaa.

3. Valvontaviranomaisilla ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.

61 artikla

Keskinäinen avunanto

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2. Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4. Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos

a)	sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai

b)	pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.

5. Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.

6. Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7. Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.

8. Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.

9. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

62 artikla

Valvontaviranomaisten yhteiset operaatiot

1. Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä tutkimuksia ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä.

2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. Edellä olevan 56 artiklan 1 kohdan tai 4 kohdan mukaisesti toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan kyseisiin yhteisiin operaatioihin ja pyytää sitä vastaamaan viipymättä osallistumista koskevaan valvontaviranomaisen pyyntöön.

3. Valvontaviranomainen voi oman jäsenvaltion lainsäädännön mukaisesti ja avustavan valvontaviranomaisen hyväksynnän perusteella myöntää valtuudet, kuten tutkintavaltuudet, yhteisiin operaatioihin osallistuvan avustavan valvontaviranomaisen jäsenelle tai henkilöstölle, tai siltä osin kuin se on mahdollista vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädännön puitteissa, sallia avustavan valvontaviranomaisen jäsenten tai henkilöstön käyttää tutkintavaltuuksiaan avustavan valvontaviranomaisen jäsenvaltion lainsäädännön mukaisesti. Näitä tutkintavaltuuksia voidaan käyttää ainoastaan vastaanottavan valvontaviranomaisen jäsenten tai henkilöstön johdolla ja heidän läsnä ollessaan. Avustavan valvontaviranomaisen jäseniin tai henkilöstöön sovelletaan vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädäntöä.

4. Jos avustavan valvontaviranomaisen henkilöstö toimii 1 kohdan mukaisesti toisessa jäsenvaltiossa, vastaanottavan valvontaviranomaisen jäsenvaltio on vastuussa heidän toimistaan, mukaan lukien korvausvastuu mahdollisista vahingoista, joita he ovat aiheuttaneet toimintansa aikana, sen jäsenvaltion lainsäädännön mukaisesti, jonka alueella he toimivat.

5. Jäsenvaltio, jonka alueella vahinko aiheutui, vastaa vahingon korvaamisesta henkilöstönsä aiheuttamia vahinkoja koskevien ehtojen mukaisesti. Sen avustavan valvontaviranomaisen jäsenvaltion, jonka henkilöstö on aiheuttanut vahinkoa kenelle tahansa henkilölle toisen jäsenvaltion alueella, on korvattava jälkimmäiselle jäsenvaltiolle kokonaisuudessaan korvaukset, jotka tämä on maksanut heidän puolestaan korvaukseen oikeutetuille.

6. Kukin jäsenvaltio pidättyy 1 kohdassa tarkoitetussa tapauksessa pyytämästä korvausta toiselta jäsenvaltiolta 4 kohdassa tarkoitettujen vahinkojen osalta, sanotun kuitenkaan rajoittamatta sen oikeuksien käyttämistä kolmansiin osapuoliin nähden tai vaikuttamatta 5 kohdan soveltamiseen.

7. Jos yhteinen operaatio on tarkoitus järjestää ja valvontaviranomainen ei noudata tämän artiklan 2 kohdan toisessa virkkeessä säädettyä velvollisuutta kuukauden kuluessa, muut valvontaviranomaiset voivat toteuttaa väliaikaisen toimenpiteen jäsenvaltionsa alueella 55 artiklan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan tietosuojaneuvoston antama kiireellinen lausunto tai kiireellinen sitova päätös 66 artiklan 2 kohdan nojalla.

2 Jakso

Yhdenmukaisuus

70 artikla

Tietosuojaneuvoston tehtävät

1. Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti. Tätä varten tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai tarvittaessa komission pyynnöstä erityisesti seuraavia tehtäviä:

a)	tämän asetuksen asianmukaisen soveltamisen seuranta ja varmistaminen 64 ja 65 artiklassa säädetyissä tapauksissa, sanotun kuitenkaan rajoittamatta kansallisten valvontaviranomaisten tehtäviä;

b)	antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän asetuksen mahdollisesta muuttamisesta;

c)	antaa komissiolle neuvoja rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välisen tietojenvaihdon muodoista ja menettelyistä, kun kyse on yritystä koskevista sitovista säännöistä;

d)	antaa suuntaviivoja, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista, siten kuin 17 artiklan 2 kohdassa tarkoitetaan;

e)	tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

f)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 22 artiklan 2 kohdan mukaisia profilointiin perustuvia päätöksiä koskevien kriteerien ja edellytysten tarkemmaksi määrittelemiseksi;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 33 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietoturvaloukkausten toteamiseksi ja aiheettoman viivytyksen määrittelemiseksi sekä niiden erityisten olosuhteiden määrittelemiseksi, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

h)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 34 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen siirroille, jotka perustuvat rekisterinpitäjien ja henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin, sekä lisävaatimuksista, jotka ovat tarpeen 47 artiklassa tarkoitettujen asianomaisten rekisteröityjen henkilötietojen suojan varmistamiseksi;

j)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 49 artiklan 1 kohdan mukaisia henkilötietojen siirtoja koskevien kriteerien ja vaatimusten tarkemmaksi määrittelemiseksi;

k)	laatii valvontaviranomaisille suuntaviivoja, jotka koskevat 58 artiklan 1, 2 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä 83 artiklan nojalla;

l)	tarkastelee e ja f alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön;

m)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä sellaisten yhdenmukaisten menettelyjen laatimiseksi, joilla luonnolliset henkilöt voivat ilmoittaa tämän asetuksen rikkomisista 54 artiklan 2 kohdan mukaisesti;

n)	edistää käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa 40 ja 42 artiklan mukaisesti;

toteuttaa sertifiointielinten akkreditointia ja 43 artiklan mukaista määräaikaistarkastelua sekä pitää yllä 43 artiklan 6 kohdan mukaista akkreditoitujen elinten julkista rekisteriä ja 42 artiklan 7 kohdan mukaista kolmansiin maihin sijoittautuneiden akkreditoitujen rekisterinpitäjien tai henkilötietojen käsittelijöiden julkista rekisteriä;

p)	määrittelee 43 artiklan 3 kohdassa tarkoitetut vaatimukset sertifiointielinten akkreditoimiseksi 42 artiklan nojalla;

q)	antaa komissiolle lausunnon 43 artiklan 8 kohdassa tarkoitetuista sertifiointivaatimuksista;

r)	antaa komissiolle lausunnon 12 artiklan 7 kohdassa tarkoitetuista kuvakkeista;

antaa komissiolle lausunnon kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö enää varmistamaan tietosuojan riittävää tasoa. Tätä varten komissio toimittaa tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto;

t)	antaa lausuntoja valvontaviranomaisten toimenpideluonnoksista 64 artiklan 1 kohdassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti ja 64 artiklan 2 kohdan mukaisesti sille toimitetuissa asioissa sekä antaa sitovia päätöksiä 65 artiklan nojalla, myös 66 artiklassa tarkoitetuissa tapauksissa;

u)	edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

v)	edistää yhteisiä koulutusohjelmia ja tukea henkilövaihtoa valvontaviranomaisten välillä ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

w)	edistää tietosuojalainsäädäntöä ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa;

x)	antaa lausuntoja unionin tasolla 40 artiklan 9 kohdan mukaisesti laadituista käytännesäännöistä; ja

y)	pitää yllä julkista sähköistä rekisteriä päätöksistä, joita valvontaviranomaiset ja tuomioistuimet ovat tehneet yhdenmukaisuusmekanismissa käsitellyissä asioissa.

2. Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

3. Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 93 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4. Tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 76 artiklan soveltamista.

91 artikla

Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt

1. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat luonnollisten henkilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen mukaisiksi.

2. Tämän artiklan 1 kohdassa tarkoitettuja kattavia sääntöjä soveltavat kirkot ja uskonnolliset yhdistykset ovat sellaisen riippumattoman valvontaviranomaisen valvonnassa, joka voi olla erityisviranomainen edellyttäen, että se täyttää tämän asetuksen VI luvussa vahvistetut edellytykset.

X LUKU

Delegoidut säädökset ja täytäntöönpanosäädökset

whereas

(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmistä.
Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin.
Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen.

- = -

(47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen.
Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa.
Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten.
Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä.
Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn.
Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista.
Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.

- = -

(49) On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvät CERT-ryhmät (Computer Emergency Response Teams), tietoturvaloukkauksiin reagoivat ja niitä tutkivat CSIRT-toimijat (Computer Security Incident Response Teams), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden.
Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.

- = -

(68) Jotta voitaisiin edelleen vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan silloin, kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle.
Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen.
Tätä oikeutta olisi sovellettava silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi.
Sitä ei sovelleta silloin, kun käsittely perustuu muuhun lailliseen perusteeseen kuin suostumukseen tai sopimukseen.
Tämä oikeus on luonteeltaan sellainen, ettei sitä olisi käytettävä niitä rekisterinpitäjiä vastaan, joiden julkisiin velvollisuuksiin henkilötietojen käsittely kuuluu.
Siksi sitä ei pitäisi soveltaa silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi.
Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei saisi luoda rekisterinpitäjille velvoitetta hyväksyä tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia.
Jos tietyssä henkilötietoja sisältävässä tietojoukossa tiedot koskevat useampia kuin yhtä rekisteröityä, oikeus vastaanottaa henkilötietoja ei saisi rajoittaa toisten rekisteröityjen tämän asetuksen mukaisia oikeuksia ja vapauksia.
Tämä oikeus ei saisi myöskään rajoittaa rekisteröidyn oikeutta saada henkilötiedot poistetuiksi eikä tämän asetuksen mukaisia rajoituksia kyseiseen oikeuteen, ja se ei etenkään saisi merkitä niiden rekisteröityä koskevien henkilötietojen poistamista, jotka tämä on antanut sopimuksen täytäntöönpanoa varten, siinä määrin ja niin kauan kuin henkilötiedot ovat tarpeen sopimuksen täytäntöönpanoa varten.
Kun se on teknisesti mahdollista, rekisteröidyllä pitäisi olla oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle.

- = -

(117) Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on perustaa jäsenvaltioihin valvontaviranomaiset, joille on myönnetty valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti.
Jäsenvaltioiden olisi voitava perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti.

- = -

(122) Jokaisen valvontaviranomaisen olisi oltava oman jäsenvaltionsa alueella toimivaltainen käyttämään toimivaltaa ja suorittamaan tehtäviä, jotka sille on annettu tämän asetuksen mukaisesti.
Tämän olisi katettava erityisesti käsittely, jota suoritetaan sen oman jäsenvaltion alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, viranomaisten tai yleisen edun hyväksi toimivien yksityisten elinten suorittama henkilötietojen käsittely, käsittely, joka vaikuttaa sen alueella oleviin rekisteröityihin tai sellaisen rekisterinpitäjän tai henkilötietojen käsittelijän suorittama käsittely, joka ei ole sijoittautunut unioniin, kun käsittely kohdistuu sen alueella asuviin rekisteröityihin.
Tähän olisi kuuluttava rekisteröidyn tekemien valitusten käsittely, asetuksen soveltamista koskevien tutkimusten suorittaminen sekä yleisen tietoisuuden edistäminen henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista.

- = -

(130) Jos valvontaviranomainen, jolle valitus on osoitettu, ei ole johtava valvontaviranomainen, johtavan valvontaviranomaisen olisi tehtävä tiivistä yhteistyötä sen valvontaviranomaisen kanssa, jolle valitus on osoitettu, tässä asetuksessa säädettyjen yhteistyötä ja johdonmukaisuutta koskevien säännösten mukaisesti.
Tällaisissa tapauksissa johtavan valvontaviranomaisen olisi oikeusvaikutuksia tuottavia toimenpiteitä – hallinnolliset sakot mukaan luettuina – toteuttaessaan otettava mahdollisimman kattavasti huomioon sen valvontaviranomaisen näkemykset, jolle valitus on osoitettu ja jolla olisi oltava edelleen toimivalta suorittaa mitä tahansa tutkimuksia oman jäsenvaltionsa alueella yhteistyössä johtavan valvontaviranomaisen kanssa.

- = -

dal 2004 diritto e informatica