interactive GDPR 2016/0679 FI

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

a)	rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;

käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;

c)	käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;

e)	käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;

f)	käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;

käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;

käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;

käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;

käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

50 artikla

Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

Komissio ja valvontaviranomaiset toteutettavat kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

a)	kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaamista koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoituksella, lähettämällä valituksia käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen, että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

c)	saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)	edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

VI LUKU

Riippumattomat valvontaviranomaiset

1 Jakso

Riippumaton asema

52 artikla

Riippumattomuus

1. Kukin valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

2. Minkään valvontaviranomaisen jäseneen tai jäseniin ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti heidän hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eivätkä he saa pyytää eivätkä ottaa ohjeita miltään taholta.

3. Kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

4. Kunkin jäsenvaltion on varmistettava, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.

5. Kunkin jäsenvaltion on varmistettava, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii asianomaisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.

6. Kunkin jäsenvaltion on varmistettava, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen ja että sillä on erillinen julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

57 artikla

Tehtävät

1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a)	valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;

b)	edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

c)	annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d)	edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

e)	annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g)	tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;

h)	suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

i)	seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

j)	hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;

k)	laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;

l)	annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

m)	kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;

n)	kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

o)	toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;

p)	laadittava ja julkaistava kriteerit 41 artiklan mukaisen elimen akkreditoimiseksi käytännesääntöjen seurantaa varten ja sertifiointielimen akkreditoimiseksi 43 artiklan mukaisesti;

q)	akkreditoitava elin käytännesääntöjen seurantaa varten 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti;

r)	hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

s)	hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;

t)	osallistuttava tietosuojaneuvoston toimintaan;

u)	pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja

v)	suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.

2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

68 artikla

Euroopan tietosuojaneuvosto

1. Perustetaan Euroopan tietosuojaneuvosto, jäljempänä ’tietosuojaneuvosto’, unionin elimeksi, jolla on oikeushenkilöllisyys.

2. Tietosuojaneuvostoa edustaa sen puheenjohtaja.

3. Tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu tai näiden edustajat.

4. Jos jäsenvaltiossa on useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten soveltamisen valvonnasta, nimetään yhteinen edustaja kyseisen jäsenvaltion lainsäädännön mukaisesti.

5. Komissiolla on oikeus osallistua tietosuojaneuvoston toimintaan ja kokouksiin ilman äänioikeutta. Komissio nimeää edustajansa. Tietosuojaneuvoston puheenjohtaja ilmoittaa komissiolle tietosuojaneuvoston toiminnasta.

6. Edellä olevaan 65 artiklaan liittyvissä tapauksissa Euroopan tietosuojavaltuutetulla on äänioikeus vain päätöksissä, jotka koskevat unionin toimielimiin, elimiin ja laitoksiin sovellettavia periaatteita ja sääntöjä, jotka vastaavat asiasisällöltään tämän asetuksen periaatteita ja sääntöjä.

whereas

(18) Tätä asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa ja joka näin ollen ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan.
Henkilökohtaista tai kotitaloutta koskevaa toimintaa voi olla esimerkiksi kirjeenvaihto ja osoitteiston pitäminen sekä sosiaalinen verkostoituminen ja verkkotoiminta, joita harjoitetaan tällaisen henkilökohtaisen tai kotitaloutta koskevan toiminnan yhteydessä.
Asetusta sovelletaan kuitenkin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.

- = -

(20) Vaikka tätä asetusta sovelletaan muun muassa tuomioistuinten ja muiden oikeusviranomaisten toimintaan, unionin oikeudessa tai jäsenvaltion lainsäädännössä voitaisiin täsmentää käsittelytoimia ja -menettelyitä tuomioistuinten ja muiden oikeusviranomaisten suorittaman henkilötietojen käsittelyn osalta.
Valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata oikeuslaitoksen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien.
Tällaisten tiedonkäsittelytoimien valvonta olisi voitava uskoa jäsenvaltion oikeusjärjestelmään kuuluville erityiselimille, joiden olisi erityisesti varmistettava tämän asetuksen sääntöjen noudattaminen, vahvistettava oikeuslaitoksen edustajien tietoisuutta niille tämän asetuksen mukaisesti kuuluvista velvoitteista ja käsiteltävä tällaisiin tiedonkäsittelytoimiin liittyviä valituksia.

- = -

(97) Jos käsittelyn suorittajana on joku muu viranomainen kuin tuomioistuin tai lainkäyttötehtäviään suorittava riippumaton oikeusviranomainen tai käsittelyn suorittaa yksityisellä sektorilla sellainen rekisterinpitäjä, jonka keskeiseen toimintaan sisältyy rekisteröidyn säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia laajamittaisesti, tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat käsittelystä, joka kohdistuu laajamittaisesti henkilötietojen erityisryhmiin ja rikostuomioita tai rikkomuksia koskeviin tietoihin, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oltava apunaan henkilö, jolla on tietosuojalainsäädäntöä ja alan käytänteitä koskevaa erityisasiantuntemusta ja joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä.
Yksityisellä sektorilla rekisterinpitäjän keskeinen toiminta liittyy tämän ensisijaisiin toimintoihin, eikä se liity oheistoimintona tapahtuvaan henkilötietojen käsittelyyn.
Tarvittavan erityisasiantuntemuksen taso olisi määriteltävä etenkin rekisterinpitäjän tai henkilötietojen käsittelijän suorittamien tietojenkäsittelytoimien ja käsiteltävien henkilötietojen edellyttämän suojan perusteella.
Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei.

- = -

(116) Henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta.
Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella.
Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula.
Sen vuoksi on edistettävä tietosuojavalvontaviranomaisten tiiviimpää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ja toteuttaa tutkimuksia kansainvälisten kumppaniensa kanssa.
Jotta voidaan kehittää kansainvälisiä yhteistyömekanismeja, joilla helpotetaan ja tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanoa varten, komission ja valvontaviranomaisten olisi toimivaltansa käyttöön liittyvissä toimissa vaihdettava tietoja ja tehtävä yhteistyötä kolmansien maiden toimivaltaisten viranomaisten kanssa vastavuoroisuuden pohjalta ja tämän asetuksen mukaisesti.

- = -

(119) Jos jäsenvaltio perustaa useita valvontaviranomaisia, sen olisi säädettävä lailla menettelyistä, joiden avulla varmistetaan, että nämä valvontaviranomaiset osallistuvat tehokkaasti yhdenmukaisuusmekanismin toimintaan.
Asianomaisen jäsenvaltion olisi tällöin erityisesti nimettävä valvontaviranomainen, joka toimii yhteyspisteenä ja varmistaa näiden viranomaisten tehokkaan osallistumisen mekanismiin sekä takaa nopean ja sujuvan yhteistyön muiden valvontaviranomaisten, tietosuojaneuvoston ja komission kanssa.

- = -

(132) Yleisölle suunnattuun valvontaviranomaisen tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä pienet ja keskisuuret yritykset mukaan lukien, sekä luonnollisille henkilöille erityisesti koulutuksen yhteydessä.

- = -

(139) Tämän asetuksen johdonmukaisen soveltamisen edistämiseksi tietosuojaneuvosto olisi perustettava riippumattomaksi unionin elimeksi.
Jotta tietosuojaneuvosto voisi täyttää tavoitteensa, sillä olisi oltava oikeushenkilöllisyys.
Tietosuojaneuvostoa olisi edustettava sen puheenjohtaja.
Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä.
Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu tai näiden edustajat.
Komission olisi osallistuttava tietosuojaneuvoston toimintaan ilman äänioikeutta ja Euroopan tietosuojavaltuutetulla olisi oltava erityinen äänioikeus.
Tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle etenkin tietosuojan tasosta kolmansissa maissa ja kansainvälisissä järjestöissä sekä tukemalla valvontaviranomaisten yhteistyötä unionissa.
Tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

- = -

dal 2004 diritto e informatica