interactive GDPR 2016/0679 FI

1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a)	jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;

b)	jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;

c)	jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;

jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

3. Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan asetusta (EY) N:o 45/2001. Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset on mukautettava tämän asetuksen periaatteiden ja sääntöjen mukaisiksi 98 artiklaa noudattaen.

4. Tällä asetuksella ei rajoiteta direktiivin 2000/31/EY soveltamista etenkään niiltä osin kuin on kyse tuon direktiivin 12–15 artiklassa säädetyistä välittäjinä toimivien palveluntarjoajien vastuuta koskevista säännöistä.

12 artikla

Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1. Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

2. Rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15–22 artiklan mukaisten oikeuksien käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

3. Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

4. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

5. Jäljempänä olevan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko

a)	periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai

b)	kieltäytyä suorittamasta pyydettyä toimea.

Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

6. Jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.

7. Jäljempänä 13 ja 14 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

8. Siirretään komissiolle valta antaa 92 artiklan mukaisesti delegoituja säädöksiä, jotta voidaan määrittää kuvakkeilla annettavat tiedot ja menettelyt, joilla standardoituja kuvakkeita tarjotaan käyttöön.

2 Jakso

Ilmoittaminen ja pääsy henkilötietoihin

17 artikla

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

a)	henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

b)	rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;

c)	rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan nojalla;

d)	henkilötietoja on käsitelty lainvastaisesti;

e)	henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;

f)	henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.

2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

3. Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

a)	sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

c)	kansanterveyteen liittyvää yleistä etua koskevista syistä 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;

d)	yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti; tai

e)	oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

23 artikla

Rajoitukset

1. Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

a)	kansallinen turvallisuus;

b)	puolustus;

c)	yleinen turvallisuus;

d)	rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;

e)	muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;

f)	oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;

g)	säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano;

h)	valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–e ja g alakohdassa tarkoitetuissa tapauksissa;

i)	rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;

j)	yksityisoikeudellisten kanteiden täytäntöönpano.

2. Edellä 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin

a)	käsittelytarkoitusta tai käsittelyn ryhmiä;

b)	henkilötietoryhmiä;

c)	käyttöön otettujen rajoitusten soveltamisalaa;

d)	suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;

e)	rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä;

f)	tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset;

g)	rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja

h)	rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.

IV LUKU

Rekisterinpitäjä ja henkilötietojen käsittelijä

1 Jakso

Yleiset velvollisuudet

43 artikla

Sertifiointielimet

1. Sertifioinnin myöntää ja uusii sertifiointielin, jolla on tietosuojaan liittyvä asianmukaisen tason asiantuntemus, sen jälkeen kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien käyttämisen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia. Jäsenvaltioiden on säädettävä siitä, akkreditoiko nämä sertifiointielimet yksi tai molemmat seuraavista:

a)	55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen;

b)	Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (20) mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 -standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia.

2. Tämän artiklan 1 kohdassa tarkoitettu sertifiointielin voidaan akkreditoida kyseisen kohdan mukaisesti ainoastaan, jos

a)	se on osoittanut riippumattomuutensa ja asiantuntemuksensa sertifioinnin kohteesta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;

b)	se on luvannut noudattaa 42 artiklan 5 kohdassa tarkoitettuja ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymiä kriteerejä;

c)	se on vahvistanut menettelyt tietosuojasertifioinnin, -sinettien ja -merkkien myöntämistä, määräaikaistarkastelua ja peruuttamista varten;

se on vahvistanut menettelyt ja rakenteet, joilla käsitellään valituksia, jotka koskevat sertifiointimenettelyjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee sertifioinnin täytäntöön, ja saattaa nämä menettelyt ja rakenteet rekisteröityjen ja yleisön kannalta läpinäkyviksi; ja

e)	se osoittaa toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

3. Tämän artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymien kriteerien perusteella. Jos akkreditointi tapahtuu tämän artiklan 1 kohdan b alakohdan nojalla, nämä vaatimukset täydentävät asetuksen (EY) N:o 765/2008 vaatimuksia ja sertifiointielinten menetelmiä ja menettelyjä kuvaavia teknisiä sääntöjä.

4. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ovat vastuussa asianmukaisesta sertifiointiin tai tällaisen sertifioinnin peruuttamiseen johtavasta arvioinnista, sanotun kuitenkaan rajoittamatta rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta. Akkreditointi myönnetään enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sertifiointielin täyttää tässä artiklassa säädetyt vaatimukset.

5. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ilmoittavat toimivaltaiselle valvontaviranomaiselle syyt pyydetyn sertifioinnin myöntämiseen tai peruuttamiseen.

6. Valvontaviranomainen julkistaa tämän artiklan 3 kohdassa tarkoitetut vaatimukset ja 42 artiklan 5 kohdassa tarkoitetut kriteerit helposti saatavilla olevassa muodossa. Valvontaviranomaiset toimittavat nämä vaatimukset ja kriteerit myös tietosuojaneuvostolle. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

7. Toimivaltainen valvontaviranomainen tai kansallinen akkreditointielin peruuttaa tämän artiklan 1 kohdan nojalla sertifiointielimelle myöntämänsä akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta, sanotun kuitenkaan rajoittamatta VIII luvun soveltamista.

8. Komissiolle siirretään 92 artiklan mukaisesti valta antaa delegoituja säädöksiä, joissa täsmennetään 42 artiklan 1 kohdassa tarkoitettujen tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset.

9. Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyt näiden sertifiointimekanismien edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

V LUKU

Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

60 artikla

Johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö

1. Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.

2. Johtava valvontaviranomainen voi milloin tahansa pyytää muilta osallistuvilta valvontaviranomaisilta 61 artiklassa tarkoitettua keskinäistä avunantoa ja toteuttaa 62 artiklassa tarkoitettuja yhteisiä operaatioita etenkin toteuttaakseen tutkimuksia tai valvoakseen toisen jäsenvaltion alueelle sijoittautunutta rekisterinpitäjää tai henkilötietojen käsittelijää koskevan toimenpiteen toteuttamista.

3. Johtavan valvontaviranomaisen on viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille. Sen on viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.

4. Jos yksikin muista asianomaisista valvontaviranomaisista esittää päätösehdotukseen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on tämän artiklan 3 kohdan mukaisesti kuultu, johtavan valvontaviranomaisen on, ellei se noudata vastalausetta tai katso, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille.

5. Jos johtava valvontaviranomainen aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.

6. Jos yksikään muista osallistuvista viranomaisista ei ole vastustanut johtavan viranomaisen toimittamaa päätösehdotusta 4 ja 5 kohdassa tarkoitetun määräajan kuluessa, johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen kyseinen päätösehdotus, joka sitoo niitä.

7. Johtavan valvontaviranomaisen on hyväksyttävä päätös ja annettava se tiedoksi tilanteen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava muille asianomaisille valvontaviranomaisille ja tietosuojaneuvostolle kyseessä olevasta päätöksestä, mukaan lukien yhteenveto tosiseikoista ja perustelut. Valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava päätöksestä valituksen tekijälle.

8. Jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on 7 kohdasta poiketen hyväksyttävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle.

9. Jos johtava valvontaviranomainen ja osallistuvat valvontaviranomaiset ovat yhtä mieltä siitä, että valitus jätetään tutkimatta tai hylätään tietyiltä osin mutta tutkitaan kyseisen valituksen muilta osin, kustakin tällaisesta asian osasta on annettava erillinen päätös. Johtavan valvontaviranomaisen on annettava päätös rekisterinpitäjään liittyvistä toimista ja annettava se tiedoksi jäsenvaltionsa alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava siitä valituksen tekijälle, kun taas valituksen tekijän valvontaviranomaisen on annettava päätös kyseisen valituksen tutkimatta jättämistä tai hylkäämistä koskevilta osin ja annettava se tiedoksi kyseiselle valituksen tekijälle sekä ilmoitettava siitä rekisterinpitäjälle tai henkilötietojen käsittelijälle.

10. Sen jälkeen kun johtavan valvontaviranomaisen päätös on annettu tiedoksi 7 ja 9 kohdan mukaisesti, rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet varmistaakseen, että päätöstä noudatetaan sen kaikissa unionin alueella sijaitsevissa toimipaikoissa toteutettavissa käsittelytoimissa. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava johtavalle valvontaviranomaiselle tiedoksi päätöksen noudattamiseksi toteutetut toimenpiteet, ja johtavan valvontaviranomaisen on ilmoitettava asiasta muille asianomaisille valvontaviranomaisille.

11. Jos asianomaisella valvontaviranomaisella on poikkeuksellisissa olosuhteissa syytä katsoa, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, sovelletaan 66 artiklassa tarkoitettua kiireellistä menettelyä.

12. Johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten on toimitettava tässä artiklassa vaaditut tiedot toisilleen sähköisesti vakiomuodossa.

61 artikla

Keskinäinen avunanto

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2. Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4. Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos

a)	sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai

b)	pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.

5. Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.

6. Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7. Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.

8. Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.

9. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

99 artikla

Voimaantulo ja soveltaminen

1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2. Sitä sovelletaan 25 päivästä toukokuuta 2018.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 27 päivänä huhtikuuta 2016.

Euroopan parlamentin puolesta

Puhemies

M. SCHULZ

Neuvoston puolesta

Puheenjohtaja

J.A. HENNIS-PLASSCHAERT

(1) EUVL C 229, 31.7.2012, s. 90.

(2) EUVL C 391, 18.12.2012, s. 127.

(3) Euroopan parlamentin kanta, vahvistettu 12. maaliskuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston ensimmäisen käsittelyn kanta, vahvistettu 8. huhtikuuta 2016 (ei vielä julkaistu virallisessa lehdessä). Euroopan parlamentin kanta, vahvistettu 14. huhtikuuta 2016.

(4) Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(5) Komission suositus, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (K(2003) 1422) (EUVL L 124, 20.5.2003, s. 36).

(6) Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

(7) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkintaa, paljastamista ja rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (ks. tämän virallisen lehden s. 89).

(8) Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (direktiivi sähköisestä kaupankäynnistä) (EYVL L 178, 17.7.2000, s. 1).

(9) Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).

(10) Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).

(11) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70).

(12) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(13) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1215/2012, annettu 12 päivänä joulukuuta 2012, tuomioistuimen toimivallasta sekä tuomioiden tunnustamisesta ja täytäntöönpanosta siviili- ja kauppaoikeuden alalla (EUVL L 351, 20.12.2012, s. 1).

(14) Euroopan parlamentin ja neuvoston direktiivi 2003/98/EY, annettu 17 päivänä marraskuuta 2003, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä (EUVL L 345, 31.12.2003, s. 90).

(15) Euroopan parlamentin ja neuvoston asetus (EU) N:o 536/2014, annettu 16 päivänä huhtikuuta 2014, ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta (EUVL L 158, 27.5.2014, s. 1).

(16) Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164).

(17) EUVL C 192, 30.6.2012, s. 7.

(18) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(19) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

(20) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).

(21) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).

whereas

(17) Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (6).
Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset olisi mukautettava tässä asetuksessa vahvistettujen periaatteiden ja sääntöjen mukaisiksi ja niitä olisi sovellettava tämä asetus huomioon ottaen.
Vahvan ja johdonmukaisen tietosuojakehyksen luomiseksi unioniin asetukseen (EY) N:o 45/2001 olisi syytä tehdä tarpeelliset mukautukset tämän asetuksen hyväksymisen jälkeen, jotta niitä voitaisiin soveltaa samanaikaisesti tämän asetuksen kanssa.

- = -

(19) Luonnollisten henkilöiden suojelusta tapauksissa, joissa toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, sekä näiden henkilötietojen vapaasta liikkuvuudesta on annettu erillinen unionin säädös.
Tätä asetusta ei näin ollen olisi sovellettava näitä tarkoituksia varten tehtävään henkilötietojen käsittelyyn.
Kun viranomaiset käsittelevät tämän asetuksen soveltamisalaan kuuluvia henkilötietoja näitä tarkoituksia varten, olisi sen sijaan sovellettava unionin erityissäädöstä eli Euroopan parlamentin ja neuvoston direktiiviä (EU) 2016/680 (7).
Jäsenvaltiot voivat antaa direktiivissä (EU) 2016/680 tarkoitetuille toimivaltaisille viranomaisille tehtäviä, joita ei välttämättä suoriteta rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.
Tällöin muita tarkoituksia varten tehtävä henkilötietojen käsittely kuuluu tämän asetuksen soveltamisalaan, sikäli kuin se kuuluu unionin lainsäädännön soveltamisalaan.

- = -

(73) Rajoituksia, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, pääsyä tietoihin ja oikeutta oikaista tai poistaa henkilötietoja ja oikeutta siirtää tiedot järjestelmästä toiseen, oikeutta vastustaa tietojenkäsittelyä, profilointiin perustuvia päätöksiä sekä henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, voidaan asettaa unionin oikeudessa tai jäsenvaltion lainsäädännössä siltä osin kuin ne ovat välttämättömiä ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä yleisen turvallisuuden takaamiseksi, muun muassa ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman tai luonnonkatastrofin yhteydessä taikka rikosten tai, säännellyn ammattitoiminnan yhteydessä, ammattietiikan rikkomisen ennaltaehkäisemistä, tutkintaa ja rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, tai muiden unionin tai jäsenvaltion tärkeiden yleistä etua koskevien syiden vuoksi, erityisesti unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi, yleiseen etuun liittyvistä syistä pidettävien julkisten rekisterien pitämiseksi, arkistoitujen henkilötietojen myöhemmän käsittelyn vuoksi, jonka perusteena on yksittäisten tietojen hankkiminen poliittisesta toiminnasta entisten totalitaaristen valtioiden järjestelmissä, tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien, muun muassa sosiaaliturvan, kansanterveyden ja humanitaaristen tarkoitusten, turvaamiseksi.
Näiden rajoitusten olisi oltava perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia.

- = -

(88) Laadittaessa yksityiskohtaisia sääntöjä henkilötietojen tietoturvaloukkausten ilmoittamisen muodosta ja ilmoittamisessa sovellettavista menettelyistä olisi otettava asianmukaisesti huomioon loukkaukseen liittyvät seikat, kuten se, oliko henkilötiedot suojattu asianmukaisin teknisin suojauskeinoin, mikä vähentää olennaisesti henkilöllisyyttä koskevan petoksen tai muiden väärinkäytösten todennäköisyyttä.
Tällaisissa säännöissä ja menettelyissä olisi myös otettava huomioon lainvalvontaviranomaisten oikeutetut edut tapauksissa, joissa varhainen ilmoittaminen voisi tarpeettomasti haitata henkilötietojen tietoturvaloukkauksen tutkintaa.

- = -

(93) Jäsenvaltiot voivat katsoa, että tällainen arviointi on syytä tehdä ennen käsittelytoimien aloittamista, kun hyväksytään jäsenvaltioiden lainsäädäntöä, johon viranomaisen tai julkishallinnon elimen tehtävien suorittaminen perustuu ja jolla säädellään siihen liittyvää käsittelytointa tai liittyviä käsittelytoimia.

- = -

(111) Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut nimenomaisen suostumuksensa ja kun siirto tapahtuu satunnaisesti ja on tarpeellinen sopimukselle tai oikeudelliselle vaateelle, riippumatta siitä, onko kyse oikeudellisesta menettelystä tai hallinnollisesta tai tuomioistuimen ulkopuolisesta menettelystä, sääntelyelimen menettelyt mukaan luettuina.
Olisi myös säädettävä mahdollisuudesta tehdä tiedonsiirtoja, kun unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvat, tärkeää yleistä etua koskevat syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jonka oikeutettu etu sitä edellyttää.
Viimeksi mainitussa tapauksessa siirto ei saisi käsittää henkilötietoja kokonaisuudessaan tai rekisterin sisältämää kokonaista tietoryhmää, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joiden oikeutettu etu sitä edellyttää, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia siten, että otetaan täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet.

- = -

(127) Jokaisella valvontaviranomaisella, joka ei toimi johtavana valvontaviranomaisena, olisi oltava toimivalta käsitellä paikallisia tapauksia, joissa rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon mutta kyseisen tietojen käsittelyn aihe koskee vain yhdessä jäsenvaltiossa suoritettua tietojen käsittelyä ja siihen liittyy vain saman yhden jäsenvaltion rekisteröityjä, esimerkiksi jos henkilötietojen käsittelyn aihe koskee työntekijöiden tietojen käsittelyä työllisyyteen liittyvissä yhteyksissä jäsenvaltiossa.
Tällaisissa tapauksissa valvontaviranomaisen olisi ilmoitettava asiasta viipymättä johtavalle valvontaviranomaiselle.
Kun johtavalle valvontaviranomaiselle on ilmoitettu, sen olisi päätettävä, käsitteleekö se asiaa johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten väliseen yhteistyöhön perustuvan ”yhden luukun” järjestelmän puitteissa vai olisiko asiasta ilmoittaneen valvontaviranomaisen käsiteltävä sitä paikallistasolla.
Johtavan valvontaviranomaisen päättäessä siitä, käsitteleekö se asiaa, sen olisi otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon, jotta varmistetaan päätöksen tehokas täytäntöönpano rekisterinpitäjään tai henkilötietojen käsittelijään nähden.
Jos johtava valvontaviranomainen päättää käsitellä asiaa, asiasta ilmoittaneella valvontaviranomaisella olisi oltava mahdollisuus toimittaa päätösehdotus, jonka johtava valvontaviranomainen ottaa huomioon mahdollisimman kattavasti laatiessaan päätösehdotuksensa mainitun yhden luukun järjestelmän puitteissa.

- = -

(129) Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät valituksia, ja, rajoittamatta syyttäjäviranomaisten jäsenvaltion lainsäädännön mukaisia valtuuksia, valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet.
Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto.
Jäsenvaltiot voivat täsmentää muita tehtäviä, jotka liittyvät tämän asetuksen mukaiseen henkilötietojen suojaan.
Valvontaviranomaisten valtuuksia olisi käytettävä unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen asianmukaisten menettelytakeiden mukaisesti puolueettomasti, asianmukaisesti ja kohtuullisessa ajassa.
Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaisi häneen epäedullisesti, ja vältetään aiheuttamasta asianomaisille henkilöille tarpeettomia kustannuksia ja liiallisia haittoja.
Toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion prosessioikeuden erityisvaatimusten mukaisesti, joita ovat esimerkiksi ennakkoluvan saamista koskeva vaatimus.
Jokainen valvontaviranomaisen oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antanut valvontaviranomainen ja toimenpiteen antamispäivä, sen olisi oltava valvontaviranomaisen johtajan tai hänen valtuuttamansa valvontaviranomaisen jäsenen allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen.
Tämä ei saisi estää vahvistamasta lisävaatimuksia jäsenvaltion prosessioikeuden nojalla.
Oikeudellisesti sitovan päätöksen antaminen tarkoittaa, että siihen voidaan kohdistaa tuomioistuinvalvontaa päätöksen antaneen valvontaviranomaisen jäsenvaltiossa.

- = -

(142) Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta.
Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä valitus ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta.
Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.

- = -

(144) Jos tuomioistuimella, jossa on nostettu kanne valvontaviranomaisen päätöstä vastaan, on syytä uskoa, että samaa käsittelyä, kuten saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa tai samaa syytä, koskevia kanteita on nostettu jonkin toisen jäsenvaltion toimivaltaisessa tuomioistuimessa, sen olisi otettava yhteyttä tuohon tuomioistuimeen varmistaakseen tällaisten yhteen liittyvien kanteiden olemassaolon.
Jos yhteen liittyviä kanteita on vireillä toisen jäsenvaltion tuomioistuimessa, muut tuomioistuimet kuin se, jossa kanne on ensin nostettu, voivat keskeyttää asian käsittelyn tai ne voivat jonkin osapuolen pyynnöstä jättää asian tutkimatta sen tuomioistuimen hyväksi, jossa kanne on ensin nostettu, jos tämä tuomioistuin on toimivaltainen tutkimaan kyseiset kanteet ja jos tällaisten yhteen liittyvien kanteiden yhdistäminen on tämän tuomioistuimen lain mukaan sallittua.
Kanteiden katsotaan liittyvän toisiinsa silloin, kun niiden välillä on niin läheinen yhteys, että kanteiden käsittely ja ratkaiseminen yhdessä näyttää tarkoituksenmukaiselta, jotta niiden käsittely eri oikeudenkäynneissä ei johtaisi ristiriitaisiin tuomioihin.

- = -

(158) Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään arkistointitarkoituksiin, ottaen huomioon, että tätä asetusta ei sovelleta kuolleiden henkilöiden henkilötietoihin.
Viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita, olisi unionin oikeuden tai jäsenvaltion lainsäädännön nojalla oltava palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja levittää tietueita, joilla on pysyvää yleistä etua koskevaa merkitystä, sekä myöntää pääsy niihin.
Jäsenvaltiolla olisi lisäksi oltava mahdollisuus säätää, että henkilötietoja voidaan käsitellä myöhemmin arkistointitarkoituksiin, esimerkiksi erityistietojen hankkimiseksi poliittisesta toiminnasta entisten totalitaaristen valtioiden järjestelmissä, kansanmurhasta, rikoksista ihmisyyttä vastaan ja erityisesti holokaustista tai sotarikoksista.

- = -

dal 2004 diritto e informatica