interactive GDPR 2016/0679 FI

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

3)	’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä,

’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,

’pseudonymisoimisella’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu,

6)	’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)	’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti,

10)

’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

11)	rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

12)	’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

13)

’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla,

14)

’biometrisillä tiedoilla’ kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa,

15)	’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,

16)

’päätoimipaikalla’

kun kyseessä on rekisterinpitäjä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään rekisterinpitäjän unionissa sijaitsevassa toisessa toimipaikassa ja viimeksi mainitulla toimipaikalla on toimivalta panna kyseiset päätökset täytäntöön; tällöin päätoimipaikaksi katsotaan toimipaikka, jossa kyseiset päätökset on tehty;

kun kyseessä on henkilötietojen käsittelijä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, ja jos henkilötietojen käsittelijällä ei ole keskushallintoa unionissa, sitä henkilötietojen käsittelijän unionissa sijaitsevaa toimipaikkaa, jossa henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä suoritettava pääasiallinen käsittelytoiminta tapahtuu siinä määrin kuin henkilötietojen käsittelijään sovelletaan tämän asetuksen mukaisia erityisiä velvoitteita,

17)

’edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista,

18)	’yrityksellä’ taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa,

19)	’konsernilla’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä,

20)

’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojeluperiaatteita, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän sisällä,

21)	’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,

22)

’osallistuvalla valvontaviranomaisella’ valvontaviranomaista, jota henkilökäsittely koskee, koska

a)	rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle;

b)	käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin; tai

c)	kyseiselle valvontaviranomaiselle on tehty valitus,

23)

’rajatylittävällä käsittelyllä’ joko

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin,

24)

’merkityksellisellä ja perustellulla vastalauseella’ vastalausetta päätösehdotukseen, joka koskee sitä, onko tätä asetusta rikottu vai ei, tai tapauksen mukaan sitä, onko rekisterinpitäjän tai henkilötietojen käsittelijän suhteen suunniteltu toimi asetuksen mukainen, ja jossa osoitetaan selvästi päätösehdotuksen aiheuttamien riskien merkitys rekisteröityjen perusoikeuksille ja -vapauksille ja tapauksen mukaan henkilötietojen vapaalle liikkuvuudelle unionin alueella,

25)	’tietoyhteiskunnan palveluilla’ palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (19) 1 artiklan 1 kohdan b alakohdassa,

26)	’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

II LUKU

Periaatteet

6 artikla

Käsittelyn lainmukaisuus

1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a)	rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b)	käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c)	käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e)	käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f)	käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.

2. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.

3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko

a)	unionin oikeudessa; tai

b)	rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4. Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:

a)	henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;

b)	henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;

c)	henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti;

d)	aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;

e)	asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo.

9 artikla

Erityisiä henkilötietoryhmiä koskeva käsittely

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)	rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

c)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)	käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)	käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;

käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

17 artikla

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

a)	henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)	rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

c)	rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan nojalla;

d)	henkilötietoja on käsitelty lainvastaisesti;

e)	henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;

f)	henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

3. Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

a)	sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

c)	kansanterveyteen liittyvää yleistä etua koskevista syistä 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;

d)	yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti; tai

e)	oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

28 artikla

Henkilötietojen käsittelijä

1. Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2. Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3. Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä

käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;

b)	varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;

c)	toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;

d)	noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;

e)	ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;

f)	auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;

g)	rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

h)	saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

4. Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

5. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osatekijänä, jolla osoitetaan, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.

6. Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa rekisterinpitäjälle tai henkilötietojen käsittelijälle 42 tai 43 artiklan mukaisesti myönnettyä sertifiointia.

7. Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8. Valvontaviranomainen voi hyväksyä vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.

9. Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

10. Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.

52 artikla

Riippumattomuus

1. Kukin valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

2. Minkään valvontaviranomaisen jäseneen tai jäseniin ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti heidän hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eivätkä he saa pyytää eivätkä ottaa ohjeita miltään taholta.

3. Kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

4. Kunkin jäsenvaltion on varmistettava, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.

5. Kunkin jäsenvaltion on varmistettava, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii asianomaisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.

6. Kunkin jäsenvaltion on varmistettava, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen ja että sillä on erillinen julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

57 artikla

Tehtävät

1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a)	valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;

b)	edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

c)	annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d)	edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

e)	annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g)	tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;

h)	suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

i)	seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

j)	hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;

k)	laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;

l)	annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

m)	kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;

n)	kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

o)	toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;

p)	laadittava ja julkaistava kriteerit 41 artiklan mukaisen elimen akkreditoimiseksi käytännesääntöjen seurantaa varten ja sertifiointielimen akkreditoimiseksi 43 artiklan mukaisesti;

q)	akkreditoitava elin käytännesääntöjen seurantaa varten 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti;

r)	hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

s)	hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;

t)	osallistuttava tietosuojaneuvoston toimintaan;

u)	pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja

v)	suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.

2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

61 artikla

Keskinäinen avunanto

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2. Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4. Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos

a)	sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai

b)	pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.

5. Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.

6. Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7. Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.

8. Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.

9. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

80 artikla

Rekisteröityjen edustaminen

1. Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään valitus puolestaan ja käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.

2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa valitus 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.

whereas

(7) Tämän kehityksen vuoksi unionissa tarvitaan vahva ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella.
Luonnollisten henkilöiden olisi voitava valvoa omia henkilötietojaan.
Oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen olisi vahvistettava luonnollisten henkilöiden ja talouden toimijoiden sekä viranomaisten kannalta.

- = -

(22) Tätä asetusta olisi noudatettava kaikessa henkilötietojen käsittelyssä, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan yhteydessä, riippumatta siitä, tapahtuuko itse käsittely unionin alueella.
Sijoittautuminen edellyttää tosiasiallista toimintaa ja pysyviä järjestelyjä.
Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä.

- = -

(36) Unioniin sijoittautuneen rekisterinpitäjän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään jossakin toisessa unioniin sijoittautuneen rekisterinpitäjän toimipaikassa.
Tässä tapauksessa tämä toinen toimipaikka olisi katsottava päätoimipaikaksi.
Se, sijaitseeko rekisterinpitäjän päätoimipaikka unionissa, olisi määritettävä objektiivisten kriteerien perusteella ja sen yhteydessä olisi otettava huomioon tosiasialliset hallintotoimet, joiden yhteydessä tehdään kiinteässä toimipaikassa toteutettavan käsittelyn tarkoituksia ja keinoja koskevat tärkeimmät päätökset.
Tällaisena kriteerinä ei saisi olla se, toteutetaanko varsinainen henkilötietojen käsittely tuossa paikassa.
Henkilötietojen käsittelyä tai käsittelytoimia varten käytettävien teknisten välineiden ja teknologioiden olemassaolo ja käyttö eivät itsessään osoita päätoimipaikkaa eivätkä ne sen vuoksi ole ratkaiseva kriteeri päätoimipaikan määrittämisessä.
Henkilötietojen käsittelijän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa ja jos sillä ei ole keskushallintoa unionissa, paikka, jossa pääasiallinen käsittelytoiminta unionissa tapahtuu.
Tapauksissa, joihin liittyy sekä rekisterinpitäjä että henkilötietojen käsittelijä, toimivaltaisena johtavana valvontaviranomaisena olisi edelleen oltava sen jäsenvaltion valvontaviranomainen, jossa on rekisterinpitäjän päätoimipaikka, mutta henkilötietojen käsittelijän valvontaviranomainen olisi katsottava osallistuvaksi valvontaviranomaiseksi ja kyseisen henkilötietojen käsittelijän valvontaviranomaisen olisi osallistuttava tässä asetuksessa säädettyyn yhteistyömenettelyyn.
Joka tapauksessa sen jäsenvaltion tai niiden jäsenvaltioiden valvontaviranomaisia, jossa tai joissa henkilötietojen käsittelijällä on yksi tai useampi toimipaikka, ei pitäisi katsoa osallistuviksi valvontaviranomaisiksi silloin, kun päätösehdotus koskee ainoastaan rekisterinpitäjää.
Jos konserni suorittaa käsittelyn, määräysvaltaa käyttävän yrityksen päätoimipaikkaa olisi pidettävä konsernin päätoimipaikkana, paitsi jos jokin muu yritys määrittelee käsittelyn tarkoituksen ja keinot.

- = -

(56) Jos demokraattisen järjestelmän vaaleihin liittyvä toiminta tietyissä jäsenvaltioissa edellyttää, että poliittiset puolueet keräävät henkilötietoja henkilöiden poliittisista mielipiteistä, kyseisten tietojen käsittely voidaan sallia yleisen edun vuoksi sillä edellytyksellä, että otetaan käyttöön asianmukaiset suojatoimet.

- = -

(71) Rekisteröidyllä olisi oltava oikeus olla joutumatta hänen henkilökohtaisia ominaisuuksiaan arvioivan, mahdollisesti toimenpiteen sisältävän päätöksen kohteeksi, joka on tehty yksinomaan automaattisen tietojenkäsittelyn perusteella, josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista.
Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla.
Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien lainsäädäntö, joka on annettu petosten ja verovilpin valvomiseksi ja torjumiseksi unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standardien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa.
Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös.
Tällaista toimenpidettä ei saisi kohdistaa lapseen.

- = -

(139) Tämän asetuksen johdonmukaisen soveltamisen edistämiseksi tietosuojaneuvosto olisi perustettava riippumattomaksi unionin elimeksi.
Jotta tietosuojaneuvosto voisi täyttää tavoitteensa, sillä olisi oltava oikeushenkilöllisyys.
Tietosuojaneuvostoa olisi edustettava sen puheenjohtaja.
Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä.
Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu tai näiden edustajat.
Komission olisi osallistuttava tietosuojaneuvoston toimintaan ilman äänioikeutta ja Euroopan tietosuojavaltuutetulla olisi oltava erityinen äänioikeus.
Tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle etenkin tietosuojan tasosta kolmansissa maissa ja kansainvälisissä järjestöissä sekä tukemalla valvontaviranomaisten yhteistyötä unionissa.
Tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

- = -

(142) Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta.
Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä valitus ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta.
Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.

- = -

(154) Tätä asetusta sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate.
Virallisten asiakirjojen julkisuutta voidaan pitää yleisenä etuna.
Viranomaisen tai julkishallinnon elimen olisi voitava luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja, jos kyseiseen viranomaiseen tai julkishallinnon elimeen sovellettavassa unionin oikeudessa tai jäsenvaltioiden lainsäädännössä niin säädetään.
Kyseisessä lainsäädännössä olisi sovitettava yhteen virallisten asiakirjojen julkisuus ja julkisen sektorin hallussa olevien tietojen uudelleenkäyttö sekä oikeus henkilötietojen suojaan, ja sen vuoksi siinä voidaan säätää tarvittavasta yhteensovittamisesta tämän asetuksen mukaisen henkilötietojen suojaa koskevan oikeuden kanssa.
Viranomaisia ja julkishallinnon elimiä koskevaan viittaukseen olisi tässä yhteydessä sisällytettävä kaikki viranomaiset ja muut elimet, jotka kuuluvat asiakirjojen saatavuutta koskevan jäsenvaltion lainsäädännön piiriin.
Euroopan parlamentin ja neuvoston direktiivillä 2003/98/EY (14) ei puututa eikä millään tavalla vaikuteta unionin ja jäsenvaltion lainsäädännön säännösten mukaiseen luonnollisten henkilöiden suojelun tasoon henkilötietojen käsittelyssä, eikä sillä etenkään muuteta tässä asetuksessa säädettyjä velvollisuuksia ja oikeuksia.
Kyseistä direktiiviä ei saisi etenkään soveltaa asiakirjoihin, jotka eivät ole saatavilla tai joiden saatavuutta on rajoitettu asiakirjojen saatavuutta koskevien järjestelmien perusteella henkilötietojen suojaamiseksi, ja sellaisiin kyseisten järjestelmien perusteella saatavilla olevien asiakirjojen osiin, jotka sisältävät henkilötietoja, joiden uudelleenkäytön on lainsäädännössä säädetty olevan ristiriidassa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä annetun lain kanssa.

- = -

dal 2004 diritto e informatica