interactive GDPR 2016/0679 FI

’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,

3)	’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä,

’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,

’pseudonymisoimisella’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu,

6)	’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,

’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8)	’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,

’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti,

10)

’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,

11)	rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,

12)	’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,

13)

’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla,

14)

’biometrisillä tiedoilla’ kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa,

15)	’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,

16)

’päätoimipaikalla’

kun kyseessä on rekisterinpitäjä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään rekisterinpitäjän unionissa sijaitsevassa toisessa toimipaikassa ja viimeksi mainitulla toimipaikalla on toimivalta panna kyseiset päätökset täytäntöön; tällöin päätoimipaikaksi katsotaan toimipaikka, jossa kyseiset päätökset on tehty;

kun kyseessä on henkilötietojen käsittelijä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, ja jos henkilötietojen käsittelijällä ei ole keskushallintoa unionissa, sitä henkilötietojen käsittelijän unionissa sijaitsevaa toimipaikkaa, jossa henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä suoritettava pääasiallinen käsittelytoiminta tapahtuu siinä määrin kuin henkilötietojen käsittelijään sovelletaan tämän asetuksen mukaisia erityisiä velvoitteita,

17)

’edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista,

18)	’yrityksellä’ taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa,

19)	’konsernilla’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä,

20)

’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojeluperiaatteita, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle rekisterinpitäjälle tai henkilötietojen käsittelijälle konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän sisällä,

21)	’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,

22)

’osallistuvalla valvontaviranomaisella’ valvontaviranomaista, jota henkilökäsittely koskee, koska

a)	rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle;

b)	käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin; tai

c)	kyseiselle valvontaviranomaiselle on tehty valitus,

23)

’rajatylittävällä käsittelyllä’ joko

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai

henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin,

24)

’merkityksellisellä ja perustellulla vastalauseella’ vastalausetta päätösehdotukseen, joka koskee sitä, onko tätä asetusta rikottu vai ei, tai tapauksen mukaan sitä, onko rekisterinpitäjän tai henkilötietojen käsittelijän suhteen suunniteltu toimi asetuksen mukainen, ja jossa osoitetaan selvästi päätösehdotuksen aiheuttamien riskien merkitys rekisteröityjen perusoikeuksille ja -vapauksille ja tapauksen mukaan henkilötietojen vapaalle liikkuvuudelle unionin alueella,

25)	’tietoyhteiskunnan palveluilla’ palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (19) 1 artiklan 1 kohdan b alakohdassa,

26)	’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

II LUKU

Periaatteet

30 artikla

Seloste käsittelytoimista

1. Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

a)	rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;

b)	käsittelyn tarkoitukset;

c)	kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;

d)	henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;

f)	mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;

g)	mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

2. Kunkin henkilötietojen käsittelijän ja tarvittaessa henkilötietojen käsittelijän edustajan on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

a)	henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä rekisterinpitäjän tai tarvittaessa henkilötietojen käsittelijän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;

b)	kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;

d)	mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

3. Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

4. Rekisterinpitäjän tai henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.

5. Edellä 1 ja 2 kohdassa tarkoitetut velvollisuudet eivät koske yritystä tai järjestöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.

31 artikla

Yhteistyö valvontaviranomaisen kanssa

Rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi.

2 Jakso

Henkilötietojen turvallisuus

33 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)	kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)	ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)	kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)	kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

4. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

35 artikla

Tietosuojaa koskeva vaikutustenarviointi

1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.

3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:

luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;

b)	laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin; tai

c)	yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

4. valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi. valvontaviranomaisen on toimitettava tällaiset luettelot 68 artiklassa tarkoitetulle neuvostolle.

5. Valvontaviranomainen voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia. valvontaviranomaisen on toimitettava tällaiset luettelot tietosuojaneuvostolle.

6. Jos 4 ja 5 kohdassa tarkoitettu luettelo sisältää käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen rekisteröidyille tai näiden käyttäytymisen seurantaan useissa jäsenvaltioissa tai jos toimet voivat merkittävästi vaikuttaa henkilötietojen vapaaseen liikkuvuuteen unionissa, toimivaltaisen valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa kyseisen luettelon.

7. Arvioinnin on sisällettävä vähintään:

a)	järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;

b)	arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;

c)	arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja

d)	suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

8. Se, että asianomaiset rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, otetaan asianmukaisesti huomioon arvioitaessa kyseisten rekisterinpitäjien ja henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.

9. Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

10. Jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava unionin oikeus tai jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen käsittelyn oikeusperusteen hyväksymisen yhteydessä, 1–7 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.

11. Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.

36 artikla

Ennakkokuuleminen

1. Rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.

2. Jos valvontaviranomainen katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, valvontaviranomaisen on enintään kahdeksan viikon kuluessa kuulemispyynnöstä annettava kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Jos sovelletaan jatkettua määräaikaa, valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja tarvittaessa henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa pyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes valvontaviranomainen on saanut tiedot, joita se on mahdollisesti pyytänyt kuulemista varten.

3. Kuullessaan 1 kohdan mukaisesti valvontaviranomaista rekisterinpitäjän on toimitettava valvontaviranomaiselle

a)	tarvittaessa rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyyn osallistuneiden henkilötietojen käsittelijöiden vastuualueet erityisesti konsernin sisällä suoritettavaa käsittelyä varten;

b)	suunnitellun käsittelyn tarkoitus ja keinot;

c)	toimenpiteet ja toteutetut suojatoimet rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi tämän asetuksen nojalla;

d)	tapauksen mukaan tietosuojavastaavan yhteystiedot;

e)	edellä 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi; ja

f)	muut valvontaviranomaisen pyytämät tiedot.

4. Jäsenvaltioiden on kuultava valvontaviranomaista valmistellessaan kansallisen parlamentin hyväksyntää varten ehdotusta lainsäädäntötoimenpiteeksi tai tällaiseen lainsäädäntötoimenpiteeseen perustuvaa sääntelytoimenpidettä, joka liittyy henkilötietojen käsittelyyn.

5. Sen estämättä, mitä 1 kohdassa säädetään, jäsenvaltion lainsäädännössä voidaan vaatia rekisterinpitäjiä kuulemaan valvontaviranomaista ja saamaan siltä ennakkolupa, jos rekisterinpitäjä suorittaa henkilötietojen käsittelyn yleiseen etuun liittyvän tehtävän suorittamiseksi, mukaan lukien käsittely sosiaaliturvan ja kansanterveyden alalla.

4 Jakso

Tietosuojavastaava

39 artikla

Tietosuojavastaavan tehtävät

1. Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:

a)	antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia;

seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

c)	antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti;

d)	tehdä yhteistyötä valvontaviranomaisen kanssa;

e)	toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.

2. Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

5 Jakso

Käytännesäännöt ja sertifiointi

41 artikla

Hyväksyttyjen käytännesääntöjen seuranta

1. Tämän asetuksen 40 artiklan mukaisten käytännesääntöjen noudattamisen seurannan voi hoitaa elin, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia.

2. Tämän artiklan 1 kohdassa tarkoitettu elin voidaan akkreditoida valvomaan käytännesääntöjen noudattamista, jos se on:

a)	osoittanut riippumattomuutensa ja asiantuntemuksensa käytännesääntöjen kohteen osalta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;

b)	vahvistanut menettelyt, joiden avulla se voi arvioida asianomaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden kelpoisuutta käytännesääntöjen soveltamisessa, seurata, kuinka ne noudattavat niiden säännöksiä, ja tarkastella määräajoin uudelleen niiden toimintaa;

vahvistanut menettelyt ja rakenteet sellaisten valitusten käsittelemiseksi, jotka koskevat käytännesääntöjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee käytännesääntöjä täytäntöön, ja tekee näistä menettelyistä ja rakenteista rekisteröityjen ja yleisön kannalta läpinäkyviä;

d)	osoittanut toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

3. Toimivaltainen valvontaviranomainen toimittaa tämän artiklan 1 kohdassa tarkoitetun elimen akkreditoimista koskevat kriteeriehdotukset tietosuojaneuvostolle 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.

4. Rekisterinpitäjän tai henkilötietojen käsittelijän syyllistyessä käytännesääntöjen rikkomiseen tämän artiklan 1 kohdassa tarkoitetun elimen on asianmukaisia suojamääräyksiä noudattaen toteutettava tarvittavia toimia, mukaan lukien asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän määräaikainen pidättäminen tehtävästä tai jättäminen käytännesääntöjen soveltamisalan ulkopuolelle, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen tehtäviä ja valtuuksia ja VIII luvun säännösten soveltamista. Elin ilmoittaa toimivaltaiselle valvontaviranomaiselle kyseisistä toimista ja niiden toteuttamisen syistä.

5. Toimivaltainen valvontaviranomainen peruuttaa 1 kohdassa tarkoitetun elimen akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta.

6. Tätä artiklaa ei sovelleta viranomaisten tai julkishallinnon elinten suorittamaan henkilötietojen käsittelyyn.

42 artikla

Sertifiointi

1. Jäsenvaltiot, valvontaviranomaiset, tietosuojaneuvosto ja komissio kannustavat ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä erityisesti unionin tasolla, minkä tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat käsittelytoimia suorittaessaan tätä asetusta. Mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet on otettava huomioon.

2. Tietosuojaa koskevia sertifiointimekanismeja, sinettejä ja merkkejä, jotka on hyväksytty 5 kohdan mukaisesti ja joita sovelletaan tämän asetuksen soveltamisalaan kuuluviin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, voidaan ottaa käyttöön myös tarkoituksena osoittaa, että rekisterinpitäjät tai henkilötietojen käsittelijät, joihin tätä asetusta ei sovelleta 3 artiklan nojalla, soveltavat asianmukaisia suojatoimia siirrettäessä henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille 46 artiklan 2 kohdan f alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaiset rekisterinpitäjät tai henkilötietojen käsittelijöiden on joko sopimusperusteisesti tai muulla oikeudellisesti sitovalla tavalla tehtävä sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamiseksi myös rekisteröityjen oikeuksiin.

3. Sertifioinnin on oltava vapaaehtoista ja helposti saatavilla sellaisen menettelyn perusteella, joka on läpinäkyvä.

4. Tämän artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta eikä se rajoita 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia.

5. Tämän artiklan mukaisen sertifioinnin myöntävät 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen kyseisen toimivaltaisen valvontaviranomaisen 58 artiklan 3 kohdan nojalla tai tietosuojaneuvoston 63 artiklan nojalla hyväksymien kriteerien perusteella. Jos tietosuojaneuvosto on hyväksynyt kriteerit, voidaan tehdä yhteinen sertifiointi, eurooppalainen tietosuojasinetti.

6. Rekisterinpitäjä tai henkilötietojen käsittelijä, joka toimittaa käsittelynsä sertifiointimekanismille, antaa 43 artiklassa tarkoitetulle sertifiointielimelle tai tarvittaessa toimivaltaiselle valvontaviranomaiselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot sekä pääsyn käsittelytoimiinsa.

7. Sertifiointi myönnetään rekisterinpitäjälle tai henkilötietojen käsittelijälle enintään kolmeksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sitä koskevat vaatimukset edelleen täyttyvät. Jäljempänä 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen peruuttavat sen tarvittaessa, jos sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty.

8. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit ja -merkit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

43 artikla

Sertifiointielimet

1. Sertifioinnin myöntää ja uusii sertifiointielin, jolla on tietosuojaan liittyvä asianmukaisen tason asiantuntemus, sen jälkeen kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien käyttämisen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia. Jäsenvaltioiden on säädettävä siitä, akkreditoiko nämä sertifiointielimet yksi tai molemmat seuraavista:

a)	55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen;

b)	Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (20) mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 -standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia.

2. Tämän artiklan 1 kohdassa tarkoitettu sertifiointielin voidaan akkreditoida kyseisen kohdan mukaisesti ainoastaan, jos

a)	se on osoittanut riippumattomuutensa ja asiantuntemuksensa sertifioinnin kohteesta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;

b)	se on luvannut noudattaa 42 artiklan 5 kohdassa tarkoitettuja ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymiä kriteerejä;

c)	se on vahvistanut menettelyt tietosuojasertifioinnin, -sinettien ja -merkkien myöntämistä, määräaikaistarkastelua ja peruuttamista varten;

se on vahvistanut menettelyt ja rakenteet, joilla käsitellään valituksia, jotka koskevat sertifiointimenettelyjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee sertifioinnin täytäntöön, ja saattaa nämä menettelyt ja rakenteet rekisteröityjen ja yleisön kannalta läpinäkyviksi; ja

e)	se osoittaa toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

3. Tämän artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymien kriteerien perusteella. Jos akkreditointi tapahtuu tämän artiklan 1 kohdan b alakohdan nojalla, nämä vaatimukset täydentävät asetuksen (EY) N:o 765/2008 vaatimuksia ja sertifiointielinten menetelmiä ja menettelyjä kuvaavia teknisiä sääntöjä.

4. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ovat vastuussa asianmukaisesta sertifiointiin tai tällaisen sertifioinnin peruuttamiseen johtavasta arvioinnista, sanotun kuitenkaan rajoittamatta rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta. Akkreditointi myönnetään enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sertifiointielin täyttää tässä artiklassa säädetyt vaatimukset.

5. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ilmoittavat toimivaltaiselle valvontaviranomaiselle syyt pyydetyn sertifioinnin myöntämiseen tai peruuttamiseen.

6. Valvontaviranomainen julkistaa tämän artiklan 3 kohdassa tarkoitetut vaatimukset ja 42 artiklan 5 kohdassa tarkoitetut kriteerit helposti saatavilla olevassa muodossa. Valvontaviranomaiset toimittavat nämä vaatimukset ja kriteerit myös tietosuojaneuvostolle. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

7. Toimivaltainen valvontaviranomainen tai kansallinen akkreditointielin peruuttaa tämän artiklan 1 kohdan nojalla sertifiointielimelle myöntämänsä akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta, sanotun kuitenkaan rajoittamatta VIII luvun soveltamista.

8. Komissiolle siirretään 92 artiklan mukaisesti valta antaa delegoituja säädöksiä, joissa täsmennetään 42 artiklan 1 kohdassa tarkoitettujen tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset.

9. Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyt näiden sertifiointimekanismien edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

V LUKU

Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

46 artikla

Siirto asianmukaisia suojatoimia soveltaen

1. Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:

a)	viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;

b)	47 artiklan mukaiset yritystä koskevat sitovat säännöt;

c)	komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;

d)	tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;

e)	40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin;

f)	42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.

3. Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

a)	rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai

b)	säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.

4. valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.

5. Hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes kyseinen valvontaviranomainen tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne. Päätökset, jotka komissio on antanut direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai kumotaan tämän artiklan 2 kohdan mukaisesti annetulla komission päätöksellä.

47 artikla

Yritystä koskevat sitovat säännöt

1. Toimivaltainen valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos

a)	säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin asianomaisiin konsernin tai yritysryhmän jäseniin, jotka harjoittavat yhteistä taloudellista toimintaa, työntekijät mukaan luettuna, ja kaikki nämä yksiköt myös panevat säännöt täytäntöön;

b)	säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia heidän henkilötietojensa käsittelyä koskevia oikeuksia; ja

c)	säännöt täyttävät 2 kohdassa säädetyt vaatimukset.

2. Näissä 1 kohdassa tarkoitetuissa yritystä koskevissa sitovissa säännöissä on määritettävä vähintään

a)	konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, ja sen kaikkien jäsenten rakenne ja yhteystiedot;

b)	tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;

c)	sääntöjen oikeudellinen sitovuus sekä unionin sisällä että sen ulkopuolella;

yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido;

rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;

jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, että asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta osittain tai kokonaan vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta;

g)	se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 13 ja 14 artiklan vaatimusten lisäksi;

kaikkien 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät;

i)	valitusmenettelyt;

mekanismit, joiden avulla konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, pyritään varmistamaan, että yritystä koskevien sitovien sääntöjen noudattaminen varmistetaan. Tällaisia mekanismeja ovat tietosuojaa koskevat tarkastukset ja menetelmät, joilla varmistetaan korjaavat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tällaisten varmistusten tulokset olisi ilmoitettava h alakohdassa tarkoitetulle henkilölle tai yksikölle sekä konsernissa määräysvaltaa käyttävän yrityksen tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän hallitukselle, ja niiden olisi oltava pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla;

k)	mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;

yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön j alakohdassa tarkoitettujen toimenpiteiden varmistamisen tulokset;

mekanismit, joilla ilmoitetaan toimivaltaiselle valvontaviranomaiselle kolmannessa maassa konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän jäseneen mahdollisesta sovellettavista oikeudellisista vaatimuksista, jotka todennäköisesti merkittävästi haittaavat yritystä koskeviin sitoviin sääntöihin sisältyviä takeita; ja

n)	asianmukainen tietosuojakoulutus henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin.

3. Komissio voi vahvistaa muodon ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

51 artikla

Valvontaviranomainen

1. Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa, jäljempänä ’valvontaviranomainen’.

2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.

3. Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, kyseisen jäsenvaltion on nimettävä valvontaviranomainen, joka edustaa viranomaisia tietosuojaneuvostossa, ja perustettava mekanismi, jolla varmistetaan, että muut valvontaviranomaiset noudattavat 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä.

4. Kunkin jäsenvaltion on toimitettava tämän luvun perusteella antamansa säännökset tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

52 artikla

Riippumattomuus

1. Kukin valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

2. Minkään valvontaviranomaisen jäseneen tai jäseniin ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti heidän hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eivätkä he saa pyytää eivätkä ottaa ohjeita miltään taholta.

3. Kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

4. Kunkin jäsenvaltion on varmistettava, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.

5. Kunkin jäsenvaltion on varmistettava, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii asianomaisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.

6. Kunkin jäsenvaltion on varmistettava, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen ja että sillä on erillinen julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

53 artikla

valvontaviranomaisen jäseniä koskevat yleiset edellytykset

1. Jäsenvaltioiden on varmistettava, että niiden valvontaviranomaisten kaikki jäsenet nimitetään läpinäkyvää menettelyä noudattaen niin, että nimittäjänä on:

—	asianomaisen jäsenvaltion parlamentti;

—	asianomaisen jäsenvaltion hallitus;

—	valtionpäämies; taikka

—	riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu.

2. Kullakin jäsenellä on oltava tehtävien hoitamisessa ja valtuuksien käyttämisessä tarvittava pätevyys, kokemus ja ammattitaito erityisesti henkilötietojen suojaamisen alalta.

3. Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hän jää pakolliselle eläkkeelle asianomaisen jäsenvaltion lainsäädännön mukaisesti.

4. Jäsen voidaan erottaa ainoastaan vakavan väärinkäytöksen perusteella tai jos hän ei enää täytä tehtäviensä suorittamiseen tarvittavia edellytyksiä.

54 artikla

valvontaviranomaisen perustamista koskevat säännöt

1. Kunkin jäsenvaltion on laissa säädettävä kaikesta seuraavasta:

a)	kunkin valvontaviranomaisen perustamisesta;

b)	pätevyydestä ja kelpoisuusehdoista, joita kunkin valvontaviranomaisen jäseneksi nimitettäviltä edellytetään;

c)	valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä;

kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä 24 päivän toukokuuta 2016 jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla;

e)	siitä, voidaanko valvontaviranomaisen jäsen tai jäsenet nimittää uudelleen ja, jos näin on, kuinka moneksi toimikaudeksi;

f)	valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä, yhteensopimatonta toimintaa ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen ja tehtävien päättymistä koskevista säännöistä.

2. Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän asetuksen rikkomisista.

2 Jakso

Toimivalta, tehtävät ja valtuudet

56 artikla

Johtavan valvontaviranomaisen toimivalta

1. Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.

2. Poiketen siitä, mitä 1 kohdassa säädetään, jokaisella valvontaviranomaisella on toimivalta käsitellä sille tehtyä valitusta tai tämän asetuksen mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin.

3. Edellä tämän artiklan 2 kohdassa tarkoitetuissa tapauksissa valvontaviranomaisen on ilmoitettava johtavalle valvontaviranomaiselle viipymättä tästä asiasta. Johtavan valvontaviranomaisen on kolmen viikon kuluessa ilmoituksen saatuaan päätettävä, käsitteleekö se asian 60 artiklassa säädetyn menettelyn mukaisesti, ja otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon vai ei.

4. Jos johtava viranomainen päättää käsitellä asiaa, sovelletaan 60 artiklassa säädettyä menettelyä. Johtavalle valvontaviranomaiselle asiasta ilmoittanut valvontaviranomainen voi toimittaa johtavalle valvontaviranomaiselle päätösehdotuksen. Johtavan valvontaviranomaisen on otettava ehdotus huomioon mahdollisimman suuressa määrin laatiessaan 60 artiklan 3 kohdassa tarkoitettua päätösehdotusta.

5. Jos johtava viranomainen päättää olla käsittelemättä asiaa, johtavalle valvontaviranomaiselle ilmoituksen tehnyt valvontaviranomainen käsittelee asiaa 61 ja 62 artiklan mukaisesti.

6. Johtava valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän ainoa yhteystaho kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta.

57 artikla

Tehtävät

1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a)	valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;

b)	edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

c)	annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d)	edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

e)	annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g)	tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;

h)	suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

i)	seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

j)	hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;

k)	laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;

l)	annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

m)	kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;

n)	kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

o)	toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;

p)	laadittava ja julkaistava kriteerit 41 artiklan mukaisen elimen akkreditoimiseksi käytännesääntöjen seurantaa varten ja sertifiointielimen akkreditoimiseksi 43 artiklan mukaisesti;

q)	akkreditoitava elin käytännesääntöjen seurantaa varten 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti;

r)	hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

s)	hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;

t)	osallistuttava tietosuojaneuvoston toimintaan;

u)	pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja

v)	suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.

2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

59 artikla

Toimintakertomukset

Jokaisen valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon voi sisältyä luettelo ilmoitettujen rikkomusten ja 58 artiklan 2 kohdan mukaisesti toteutettujen toimenpiteiden tyypeistä. Nämä kertomukset on toimitettava kansalliselle parlamentille, hallitukselle ja muille jäsenvaltion lainsäädännössä nimetyille viranomaisille. Ne on saatettava yleisön, komission ja tietosuojaneuvoston saataville.

VII LUKU

Yhteistyö ja yhdenmukaisuus

1 Jakso

Yhteistyö

60 artikla

Johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö

1. Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.

2. Johtava valvontaviranomainen voi milloin tahansa pyytää muilta osallistuvilta valvontaviranomaisilta 61 artiklassa tarkoitettua keskinäistä avunantoa ja toteuttaa 62 artiklassa tarkoitettuja yhteisiä operaatioita etenkin toteuttaakseen tutkimuksia tai valvoakseen toisen jäsenvaltion alueelle sijoittautunutta rekisterinpitäjää tai henkilötietojen käsittelijää koskevan toimenpiteen toteuttamista.

3. Johtavan valvontaviranomaisen on viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille. Sen on viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.

4. Jos yksikin muista asianomaisista valvontaviranomaisista esittää päätösehdotukseen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on tämän artiklan 3 kohdan mukaisesti kuultu, johtavan valvontaviranomaisen on, ellei se noudata vastalausetta tai katso, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille.

5. Jos johtava valvontaviranomainen aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.

6. Jos yksikään muista osallistuvista viranomaisista ei ole vastustanut johtavan viranomaisen toimittamaa päätösehdotusta 4 ja 5 kohdassa tarkoitetun määräajan kuluessa, johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen kyseinen päätösehdotus, joka sitoo niitä.

7. Johtavan valvontaviranomaisen on hyväksyttävä päätös ja annettava se tiedoksi tilanteen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava muille asianomaisille valvontaviranomaisille ja tietosuojaneuvostolle kyseessä olevasta päätöksestä, mukaan lukien yhteenveto tosiseikoista ja perustelut. valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava päätöksestä valituksen tekijälle.

8. Jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on 7 kohdasta poiketen hyväksyttävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle.

9. Jos johtava valvontaviranomainen ja osallistuvat valvontaviranomaiset ovat yhtä mieltä siitä, että valitus jätetään tutkimatta tai hylätään tietyiltä osin mutta tutkitaan kyseisen valituksen muilta osin, kustakin tällaisesta asian osasta on annettava erillinen päätös. Johtavan valvontaviranomaisen on annettava päätös rekisterinpitäjään liittyvistä toimista ja annettava se tiedoksi jäsenvaltionsa alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava siitä valituksen tekijälle, kun taas valituksen tekijän valvontaviranomaisen on annettava päätös kyseisen valituksen tutkimatta jättämistä tai hylkäämistä koskevilta osin ja annettava se tiedoksi kyseiselle valituksen tekijälle sekä ilmoitettava siitä rekisterinpitäjälle tai henkilötietojen käsittelijälle.

10. Sen jälkeen kun johtavan valvontaviranomaisen päätös on annettu tiedoksi 7 ja 9 kohdan mukaisesti, rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet varmistaakseen, että päätöstä noudatetaan sen kaikissa unionin alueella sijaitsevissa toimipaikoissa toteutettavissa käsittelytoimissa. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava johtavalle valvontaviranomaiselle tiedoksi päätöksen noudattamiseksi toteutetut toimenpiteet, ja johtavan valvontaviranomaisen on ilmoitettava asiasta muille asianomaisille valvontaviranomaisille.

11. Jos asianomaisella valvontaviranomaisella on poikkeuksellisissa olosuhteissa syytä katsoa, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, sovelletaan 66 artiklassa tarkoitettua kiireellistä menettelyä.

12. Johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten on toimitettava tässä artiklassa vaaditut tiedot toisilleen sähköisesti vakiomuodossa.

61 artikla

Keskinäinen avunanto

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2. Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4. Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos

a)	sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai

b)	pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.

5. Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.

6. Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7. Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.

8. Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.

9. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

62 artikla

Valvontaviranomaisten yhteiset operaatiot

1. Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä tutkimuksia ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä.

2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. Edellä olevan 56 artiklan 1 kohdan tai 4 kohdan mukaisesti toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan kyseisiin yhteisiin operaatioihin ja pyytää sitä vastaamaan viipymättä osallistumista koskevaan valvontaviranomaisen pyyntöön.

3. Valvontaviranomainen voi oman jäsenvaltion lainsäädännön mukaisesti ja avustavan valvontaviranomaisen hyväksynnän perusteella myöntää valtuudet, kuten tutkintavaltuudet, yhteisiin operaatioihin osallistuvan avustavan valvontaviranomaisen jäsenelle tai henkilöstölle, tai siltä osin kuin se on mahdollista vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädännön puitteissa, sallia avustavan valvontaviranomaisen jäsenten tai henkilöstön käyttää tutkintavaltuuksiaan avustavan valvontaviranomaisen jäsenvaltion lainsäädännön mukaisesti. Näitä tutkintavaltuuksia voidaan käyttää ainoastaan vastaanottavan valvontaviranomaisen jäsenten tai henkilöstön johdolla ja heidän läsnä ollessaan. Avustavan valvontaviranomaisen jäseniin tai henkilöstöön sovelletaan vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädäntöä.

4. Jos avustavan valvontaviranomaisen henkilöstö toimii 1 kohdan mukaisesti toisessa jäsenvaltiossa, vastaanottavan valvontaviranomaisen jäsenvaltio on vastuussa heidän toimistaan, mukaan lukien korvausvastuu mahdollisista vahingoista, joita he ovat aiheuttaneet toimintansa aikana, sen jäsenvaltion lainsäädännön mukaisesti, jonka alueella he toimivat.

5. Jäsenvaltio, jonka alueella vahinko aiheutui, vastaa vahingon korvaamisesta henkilöstönsä aiheuttamia vahinkoja koskevien ehtojen mukaisesti. Sen avustavan valvontaviranomaisen jäsenvaltion, jonka henkilöstö on aiheuttanut vahinkoa kenelle tahansa henkilölle toisen jäsenvaltion alueella, on korvattava jälkimmäiselle jäsenvaltiolle kokonaisuudessaan korvaukset, jotka tämä on maksanut heidän puolestaan korvaukseen oikeutetuille.

6. Kukin jäsenvaltio pidättyy 1 kohdassa tarkoitetussa tapauksessa pyytämästä korvausta toiselta jäsenvaltiolta 4 kohdassa tarkoitettujen vahinkojen osalta, sanotun kuitenkaan rajoittamatta sen oikeuksien käyttämistä kolmansiin osapuoliin nähden tai vaikuttamatta 5 kohdan soveltamiseen.

7. Jos yhteinen operaatio on tarkoitus järjestää ja valvontaviranomainen ei noudata tämän artiklan 2 kohdan toisessa virkkeessä säädettyä velvollisuutta kuukauden kuluessa, muut valvontaviranomaiset voivat toteuttaa väliaikaisen toimenpiteen jäsenvaltionsa alueella 55 artiklan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan tietosuojaneuvoston antama kiireellinen lausunto tai kiireellinen sitova päätös 66 artiklan 2 kohdan nojalla.

2 Jakso

Yhdenmukaisuus

64 artikla

Tietosuojaneuvoston lausunto

1. Tietosuojaneuvosto antaa lausunnon aina kun toimivaltainen valvontaviranomainen aikoo toteuttaa jonkin jäljempänä esitetyistä toimenpiteistä. Tätä varten toimivaltaisen valvontaviranomaisen on annettava tietosuojaneuvostolle tiedoksi päätösehdotus

a)	kun toimivaltaisen valvontaviranomaisen tarkoituksena on hyväksyä luettelo käsittelytoimista, joihin sovelletaan 35 artiklan 4 kohdan mukaista tietosuojaa koskevaa vaikutustenarviointivaatimusta;

b)	joka koskee 40 artiklan 7 kohdan mukaista kysymystä siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen;

c)	jonka tarkoituksena on hyväksyä kriteerit 41 artiklan 3 kohdan mukaisen elimen tai 43 artiklan 3 kohdan mukaisen sertifiointielimen akkreditoimiseksi;

d)	jonka tarkoituksena on 46 artiklan 2 kohdan d alakohdassa ja 28 artiklan 8 kohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden määrittäminen;

e)	jonka tarkoituksena on 46 artiklan 3 kohdan a alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

f)	jonka tarkoituksena on 47 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

2. Jokainen valvontaviranomainen, tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.

3. Tietosuojaneuvosto antaa 1 ja 2 kohdassa tarkoitetuissa tapauksissa lausunnon sille toimitetusta asiasta, jollei se ole jo antanut lausuntoa samasta asiasta. Kyseinen lausunto on vahvistettava kahdeksan viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon asian monimutkaisuus. Jäsenen, joka ei ole puheenjohtajan ilmoittaman kohtuullisen määräajan kuluessa vastustanut neuvoston jäsenille 5 kohdan mukaisesti toimitettua 1 kohdan mukaista päätösehdotusta, katsotaan hyväksyvän sen.

4. Valvontaviranomaisten ja komission on ilman aiheetonta viivytystä toimitettava tietosuojaneuvostolle sähköisesti vakiolomaketta käyttäen kaikki olennaiset tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, päätösehdotus, perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, sekä muiden osallistuvien valvontaviranomaisten näkemykset.

5. Tietosuojaneuvoston puheenjohtajan on ilmoitettava sähköisesti ja ilman aiheetonta viivytystä

a)	tietosuojaneuvoston jäsenille ja komissiolle kaikista sille toimitetuista asiaa koskevista olennaisista tiedoista vakiolomaketta käyttäen. Tietosuojaneuvoston sihteeristö toimittaa tarvittaessa myös käännöksen asiaankuuluvista tiedoista; ja

b)	tapauksen mukaan 1 ja 2 kohdassa tarkoitetulle valvontaviranomaiselle sekä komissiolle annetusta lausunnosta ja julkaistava se.

6. Toimivaltainen valvontaviranomainen ei saa hyväksyä 1 kohdassa tarkoitettua päätösehdotusta 3 kohdassa tarkoitetun määräajan kuluessa.

7. Edellä 1 kohdassa tarkoitettu valvontaviranomainen ottaa tietosuojaneuvoston lausunnon huomioon mahdollisimman kattavasti ja ilmoittaa tietosuojaneuvoston puheenjohtajalle sähköisesti kahden viikon kuluessa lausunnon saamisesta, pitäytyykö se päätösehdotuksessaan vai muuttaako se sitä, ja toimittaa puheenjohtajalle mahdollisesti muutetun päätösehdotuksen vakiolomaketta käyttäen.

8. Jos osallistuva valvontaviranomainen ilmoittaa tietosuojaneuvoston puheenjohtajalle tämän artiklan 8 kohdassa tarkoitetun määräajan kuluessa, ettei se aio noudattaa neuvoston lausuntoa kokonaisuudessaan tai osittain ja esittää asianmukaiset perusteet, sovelletaan 65 artiklan 1 kohtaa.

65 artikla

Euroopan tietosuojaneuvoston kiistanratkaisumenettely

1. Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen:

jos 60 artiklan 4 kohdassa tarkoitetussa tapauksessa asianomainen valvontaviranomainen on esittänyt johtavan viranomaisen päätösehdotukseen merkityksellisen ja perustellun vastalauseen tai jos johtava viranomainen on hylännyt tällaisen vastalauseen, koska se ei ollut merkityksellinen ja/tai perusteltu. Sitova päätös koskee kaikkia seikkoja, joista merkityksellinen ja perusteltu vastalause on esitetty, erityisesti sen suhteen, onko tätä asetusta rikottu vai ei;

b)	jos esiintyy eriäviä näkemyksiä siitä, mikä asianomaisista valvontaviranomaisista on toimivaltainen päätoimipaikan osalta;

jos toimivaltainen valvontaviranomainen ei pyydä tietosuojaneuvostolta lausuntoa 64 artiklan 1 kohdassa tarkoitetuissa tapauksissa tai ei noudata tietosuojaneuvoston 64 artiklan nojalla antamaa lausuntoa. Tällöin asianomaiset valvontaviranomaiset tai komissio voivat ilmoittaa asiasta tietosuojaneuvostolle.

2. Edellä 1 kohdassa tarkoitettu päätös on annettava tietosuojaneuvoston jäsenten kahden kolmasosan enemmistöllä kuukauden kuluessa asiaa koskevan pyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon asian monimutkaisuus. Edellä olevan 1 kohdan mukainen päätös on perusteltava ja osoitettava johtavalle valvontaviranomaiselle sekä kaikille asianomaisille valvontaviranomaisille, joita se sitoo.

3. Jos tietosuojaneuvosto ei ole antanut päätöstä 2 kohdassa tarkoitettujen määräaikojen kuluessa, sen on annettava päätöksensä jäsentensä yksinkertaisella enemmistöllä kahden viikon kuluessa 2 kohdassa tarkoitetun toisen kuukauden päättymisestä. Jos tietosuojaneuvoston jäsenten äänet menevät tasan, päätöksen ratkaisee puheenjohtajan ääni.

4. Asianomaiset valvontaviranomaiset eivät anna päätöstä 1 kohdan mukaisesti tietosuojaneuvostolle toimitetusta asiasta 2 ja 3 kohdassa tarkoitettujen määräaikojen kuluessa.

5. Tietosuojaneuvoston puheenjohtaja antaa ilman aiheetonta viivytystä 1 kohdassa tarkoitetun päätöksen tiedoksi asianomaisille valvontaviranomaisille. Se ilmoittaa asiasta komissiolle. Päätös julkaistaan viipymättä tietosuojaneuvoston verkkosivustolla valvontaviranomaisen annettua tiedoksi 6 kohdassa tarkoitetun lopullisen päätöksen.

6. Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on jätetty, on annettava lopullinen päätöksensä tämän artiklan 1 kohdassa tarkoitetun päätöksen perusteella ilman aiheetonta viivästystä ja viimeistään kuukauden kuluessa siitä, kun tietosuojaneuvosto on antanut päätöksensä tiedoksi. Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava tietosuojaneuvostolle päivämäärä, jona sen lopullinen päätös on annettu tiedoksi rekisterinpitäjälle tai henkilötietojen käsittelijälle ja rekisteröidylle. Asianomaisten valvontaviranomaisten lopullinen päätös annetaan 60 artiklan 7, 8 ja 9 kohdan mukaisesti. Lopullisessa päätöksessä on viitattava tämän artiklan 1 kohdassa tarkoitettuun päätökseen ja ilmoitettava, että tämän artiklan 1 kohdassa tarkoitettu päätös julkaistaan tietosuojaneuvoston verkkosivustolla tämän artiklan 5 kohdan mukaisesti. Lopullinen päätös liitetään tämän artiklan 1 kohdassa tarkoitettuun päätökseen.

66 artikla

Kiireellinen menettely

1. Jos asianomainen valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, se voi 63, 64 ja 65 artiklassa tarkoitetusta yhdenmukaisuusmenettelystä tai 60 artiklassa tarkoitetusta menettelystä poiketen välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta. valvontaviranomaisen on annettava tällaiset toimenpiteet ja perustelut niiden hyväksymiselle viipymättä tiedoksi muille asianomaisille valvontaviranomaisille, tietosuojaneuvostolle ja komissiolle.

2. Jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle.

3. Jokainen valvontaviranomainen voi tapauksen mukaan pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä, jos toimivaltainen valvontaviranomainen ei ole toteuttanut tarvittavia toimenpiteitä tilanteessa, jossa on toteutettava kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle ja kiireellisten toimenpiteiden toteuttamiselle.

4. Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto tai kiireellinen sitova päätös vahvistetaan 64 artiklan 3 kohdasta ja 65 artiklan 2 kohdasta poiketen kahden viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä.

68 artikla

Euroopan tietosuojaneuvosto

1. Perustetaan Euroopan tietosuojaneuvosto, jäljempänä ’tietosuojaneuvosto’, unionin elimeksi, jolla on oikeushenkilöllisyys.

2. Tietosuojaneuvostoa edustaa sen puheenjohtaja.

3. Tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu tai näiden edustajat.

4. Jos jäsenvaltiossa on useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten soveltamisen valvonnasta, nimetään yhteinen edustaja kyseisen jäsenvaltion lainsäädännön mukaisesti.

5. Komissiolla on oikeus osallistua tietosuojaneuvoston toimintaan ja kokouksiin ilman äänioikeutta. Komissio nimeää edustajansa. Tietosuojaneuvoston puheenjohtaja ilmoittaa komissiolle tietosuojaneuvoston toiminnasta.

6. Edellä olevaan 65 artiklaan liittyvissä tapauksissa Euroopan tietosuojavaltuutetulla on äänioikeus vain päätöksissä, jotka koskevat unionin toimielimiin, elimiin ja laitoksiin sovellettavia periaatteita ja sääntöjä, jotka vastaavat asiasisällöltään tämän asetuksen periaatteita ja sääntöjä.

77 artikla

Oikeus tehdä valitus valvontaviranomaiselle

1. Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2. valvontaviranomaisen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle valituksen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

78 artikla

Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan

1. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn valituksen etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

3. Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

4. Jos kanne on nostettu sellaista valvontaviranomaisen päätöstä vastaan, jota edelsi tietosuojaneuvoston yhdenmukaisuusmekanismin puitteissa antama lausunto tai päätös, valvontaviranomaisen on toimitettava kyseinen lausunto tai päätös tuomioistuimelle.

83 artikla

Hallinnollisten sakkojen määräämisen yleiset edellytykset

1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2. Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)	rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b)	rikkomisen tahallisuus tai tuottamuksellisuus;

c)	rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d)	rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e)	rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;

f)	yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g)	henkilötietoryhmät, joihin rikkominen vaikuttaa;

h)	tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;

i)	jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j)	40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k)	mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

4. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet;

b)	sertifiointielimen 42 ja 43 artiklan mukaiset velvollisuudet;

c)	edellä 41 artiklan 4 kohdassa tarkoitetut valvontaelimen velvollisuudet.

5. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)	edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna;

b)	rekisteröityjen 12–22 artiklan mukaiset oikeudet;

c)	edellä 44–49 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

d)	kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet;

e)	valvontaviranomaisen 58 artiklan 2 kohdan nojalla antaman määräyksen tai väliaikaisen tai lopullisen rajoituksen tai tietovirtojen keskeyttämismääräyksen noudattamatta jättäminen tai 58 artiklan 1 kohdan mukaisen pääsyn antamista koskevan velvollisuuden rikkominen.

6. Edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

7. Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

8. valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

9. Jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista sakoista, tätä artiklaa voidaan soveltaa niin, että sakon panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Määrättävien sakkojen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Näiden jäsenvaltioiden on toimitettava säännökset, jotka ne hyväksyvät tämän kohdan nojalla, tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

91 artikla

Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt

1. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat luonnollisten henkilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen mukaisiksi.

2. Tämän artiklan 1 kohdassa tarkoitettuja kattavia sääntöjä soveltavat kirkot ja uskonnolliset yhdistykset ovat sellaisen riippumattoman valvontaviranomaisen valvonnassa, joka voi olla erityisviranomainen edellyttäen, että se täyttää tämän asetuksen VI luvussa vahvistetut edellytykset.

X LUKU

Delegoidut säädökset ja täytäntöönpanosäädökset

whereas

(36) Unioniin sijoittautuneen rekisterinpitäjän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään jossakin toisessa unioniin sijoittautuneen rekisterinpitäjän toimipaikassa.
Tässä tapauksessa tämä toinen toimipaikka olisi katsottava päätoimipaikaksi.
Se, sijaitseeko rekisterinpitäjän päätoimipaikka unionissa, olisi määritettävä objektiivisten kriteerien perusteella ja sen yhteydessä olisi otettava huomioon tosiasialliset hallintotoimet, joiden yhteydessä tehdään kiinteässä toimipaikassa toteutettavan käsittelyn tarkoituksia ja keinoja koskevat tärkeimmät päätökset.
Tällaisena kriteerinä ei saisi olla se, toteutetaanko varsinainen henkilötietojen käsittely tuossa paikassa.
Henkilötietojen käsittelyä tai käsittelytoimia varten käytettävien teknisten välineiden ja teknologioiden olemassaolo ja käyttö eivät itsessään osoita päätoimipaikkaa eivätkä ne sen vuoksi ole ratkaiseva kriteeri päätoimipaikan määrittämisessä.
Henkilötietojen käsittelijän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa ja jos sillä ei ole keskushallintoa unionissa, paikka, jossa pääasiallinen käsittelytoiminta unionissa tapahtuu.
Tapauksissa, joihin liittyy sekä rekisterinpitäjä että henkilötietojen käsittelijä, toimivaltaisena johtavana valvontaviranomaisena olisi edelleen oltava sen jäsenvaltion valvontaviranomainen, jossa on rekisterinpitäjän päätoimipaikka, mutta henkilötietojen käsittelijän valvontaviranomainen olisi katsottava osallistuvaksi valvontaviranomaiseksi ja kyseisen henkilötietojen käsittelijän valvontaviranomaisen olisi osallistuttava tässä asetuksessa säädettyyn yhteistyömenettelyyn.
Joka tapauksessa sen jäsenvaltion tai niiden jäsenvaltioiden valvontaviranomaisia, jossa tai joissa henkilötietojen käsittelijällä on yksi tai useampi toimipaikka, ei pitäisi katsoa osallistuviksi valvontaviranomaisiksi silloin, kun päätösehdotus koskee ainoastaan rekisterinpitäjää.
Jos konserni suorittaa käsittelyn, määräysvaltaa käyttävän yrityksen päätoimipaikkaa olisi pidettävä konsernin päätoimipaikkana, paitsi jos jokin muu yritys määrittelee käsittelyn tarkoituksen ja keinot.

- = -

(82) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia.
Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta.

- = -

(86) Rekisterinpitäjän olisi ilmoitettava henkilötietojen tietosuojaloukkauksesta rekisteröidylle viipymättä, jos tämä tietosuojaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin, jotta rekisteröity voi toteuttaa tarvittavat varotoimet.
Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia.
Tällainen ilmoitus rekisteröidylle olisi tehtävä niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa noudattaen valvontaviranomaisen tai muiden asiaankuuluvien viranomaisten (kuten lainvalvontaviranomaisten) antamia ohjeita.
Esimerkiksi tarve lieventää välittömien haittojen riskiä edellyttää sitä, että rekisteröidyille ilmoitetaan viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien henkilötietojen tietoturvaloukkausten estämiseksi voivat olla perusteena pidemmälle ilmoitusajalle.

- = -

(87) Olisi tarkistettava, onko kaikki asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet toteutettu, jotta voidaan selvittää välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja saattaa asia viipymättä valvontaviranomaisen ja rekisteröidyn tiedoksi.
Se, että ilmoitus tehtiin ilman aiheetonta viivytystä, olisi selvitettävä ottaen huomioon erityisesti henkilötietojen tietoturvaloukkauksen luonne ja vakavuus sekä tästä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset.
Kyseinen ilmoitus voi johtaa siihen, että valvontaviranomainen puuttuu asiaan sille tässä asetuksessa säädettyjen tehtävien ja toimivaltuuksien mukaisesti.

- = -

(94) Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, suojaustoimenpiteiden ja -keinojen puuttumisen vuoksi suuri luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttava riski, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen käsittelytoimien aloittamista olisi kuultava valvontaviranomaista.
On todennäköistä, että tällainen korkea riski liittyy tietyntyyppiseen henkilötietojen käsittelyyn ja käsittelyn laajuuteen ja toistumistiheyteen, mikä voi aiheuttaa vahinkoa myös luonnollisen henkilön oikeuksille ja vapauksille tai merkitä niihin puuttumista.
valvontaviranomaisen olisi vastattava kuulemispyyntöön määrätyn ajan kuluessa.
valvontaviranomaisen reagoimattomuus määräajan puitteissa ei kuitenkaan saisi vaikuttaa valvontaviranomaisen mahdollisiin toimiin sille tässä asetuksessa annettujen tehtävien ja valtuuksien puitteissa, kuten valtaan kieltää käsittelytoimia.
Osana kuulemismenettelyä valvontaviranomaiselle voidaan toimittaa käsittelyn osalta toteutetun tietosuojaa koskevan vaikutustenarvioinnin tulos, etenkin toimenpiteet, joiden tarkoituksena on vähentää luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

- = -

(95) Henkilötietojen käsittelijän olisi tarvittaessa ja pyydettäessä avustettava rekisterinpitäjää, joka varmistaa tietosuojaa koskevan vaikutustenarvioinnin toteuttamisesta ja valvontaviranomaisen ennakkokuulemisesta aiheutuvien velvoitteiden noudattamisen.

- = -

(108) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi.
Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita.
Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa.
Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin.
Myös viranomaiset ja julkiset elimet voivat toteuttaa siirtoja kolmansien maiden viranomaisten tai julkisten elinten tai vastaavia tehtäviä suorittavien kansainvälisten järjestöjen kanssa esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella.
Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava toimivaltaisen valvontaviranomaisen lupa.

- = -

(109) Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin.
Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään vakiosuojalausekkeita.

- = -

(117) Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on perustaa jäsenvaltioihin valvontaviranomaiset, joille on myönnetty valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti.
Jäsenvaltioiden olisi voitava perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti.

- = -

(121) valvontaviranomaisen jäseneen tai jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä.
Erityisesti olisi varmistettava, että kyseiset jäsenet nimittää läpinäkyvällä menettelyllä joko jäsenvaltion parlamentti, hallitus tai valtionpäämies hallituksen, hallituksen jäsenen, parlamentin tai parlamentin kamarin esityksestä taikka riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu.
valvontaviranomaisen riippumattomuuden varmistamiseksi sen jäsenen tai jäsenten on toimittava rehellisesti ja pidätyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.
Valvontaviranomaisella olisi oltava oma henkilöstö, jonka valitsee valvontaviranomainen itse tai jäsenvaltion lainsäädännöllä perustettu riippumaton elin ja jonka olisi toimittava valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa valvonnassa.

- = -

(122) Jokaisen valvontaviranomaisen olisi oltava oman jäsenvaltionsa alueella toimivaltainen käyttämään toimivaltaa ja suorittamaan tehtäviä, jotka sille on annettu tämän asetuksen mukaisesti.
Tämän olisi katettava erityisesti käsittely, jota suoritetaan sen oman jäsenvaltion alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, viranomaisten tai yleisen edun hyväksi toimivien yksityisten elinten suorittama henkilötietojen käsittely, käsittely, joka vaikuttaa sen alueella oleviin rekisteröityihin tai sellaisen rekisterinpitäjän tai henkilötietojen käsittelijän suorittama käsittely, joka ei ole sijoittautunut unioniin, kun käsittely kohdistuu sen alueella asuviin rekisteröityihin.
Tähän olisi kuuluttava rekisteröidyn tekemien valitusten käsittely, asetuksen soveltamista koskevien tutkimusten suorittaminen sekä yleisen tietoisuuden edistäminen henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista.

- = -

(124) Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon, tai jos käsittely, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä, vaikuttaa tai on omiaan vaikuttamaan merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan viranomaisen olisi toimittava johtavana viranomaisena.
Sen olisi tehtävä yhteistyötä sellaisten muiden viranomaisten kanssa, joita asia koskee, koska rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka niiden jäsenvaltion alueella, koska käsittely vaikuttaa merkittävästi niiden alueella asuviin rekisteröityihin tai koska niille on tehty valitus.
Jos rekisteröity, joka ei asu kyseisessä jäsenvaltiossa, on tehnyt valituksen, myös valvontaviranomaisen, jolle tällainen valitus on tehty, olisi oltava asianomainen valvontaviranomainen.
Tietosuojaneuvoston, jonka tehtäviin kuuluu suuntaviivojen antaminen kaikista tämän asetuksen soveltamiseen liittyvistä kysymyksistä, olisi voitava antaa suuntaviivoja erityisesti kriteereistä, jotka on otettava huomioon, jotta voidaan arvioida, vaikuttaako kyseessä oleva käsittely merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa ja mistä asiaankuuluva ja perusteltu vastalause muodostuu.

- = -

(125) Johtavalla viranomaisella olisi oltava toimivalta antaa sitovia päätöksiä toimenpiteistä, joita sovelletaan sille tämän asetuksen mukaisesti annettuihin valtuuksiin.
valvontaviranomaisen olisi johtavan viranomaisen ominaisuudessaan otettava asianomaiset valvontaviranomaiset tiiviisti mukaan päätöksentekomenettelyyn ja koordinoitava niiden toimintaa.
valvontaviranomaisen, jolle valitus on tehty, olisi annettava päätös tapauksissa, joissa päätös koskee rekisteröidyn valituksen hylkäämistä kokonaan tai osittain.

- = -

(126) Johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten olisi sovittava yhdessä kyseisestä päätöksestä, ja se olisi osoitettava rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan, ja sen olisi oltava rekisterinpitäjää ja henkilötietojen käsittelijää sitova.
Rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava tarvittavat toimenpiteet varmistaakseen, että tätä asetusta noudatetaan ja että johtavan valvontaviranomaisen rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikalle tiedoksi antama päätös pannaan täytäntöön unionissa toteutettavien käsittelytoimien osalta.

- = -

(127) Jokaisella valvontaviranomaisella, joka ei toimi johtavana valvontaviranomaisena, olisi oltava toimivalta käsitellä paikallisia tapauksia, joissa rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon mutta kyseisen tietojen käsittelyn aihe koskee vain yhdessä jäsenvaltiossa suoritettua tietojen käsittelyä ja siihen liittyy vain saman yhden jäsenvaltion rekisteröityjä, esimerkiksi jos henkilötietojen käsittelyn aihe koskee työntekijöiden tietojen käsittelyä työllisyyteen liittyvissä yhteyksissä jäsenvaltiossa.
Tällaisissa tapauksissa valvontaviranomaisen olisi ilmoitettava asiasta viipymättä johtavalle valvontaviranomaiselle.
Kun johtavalle valvontaviranomaiselle on ilmoitettu, sen olisi päätettävä, käsitteleekö se asiaa johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten väliseen yhteistyöhön perustuvan ”yhden luukun” järjestelmän puitteissa vai olisiko asiasta ilmoittaneen valvontaviranomaisen käsiteltävä sitä paikallistasolla.
Johtavan valvontaviranomaisen päättäessä siitä, käsitteleekö se asiaa, sen olisi otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon, jotta varmistetaan päätöksen tehokas täytäntöönpano rekisterinpitäjään tai henkilötietojen käsittelijään nähden.
Jos johtava valvontaviranomainen päättää käsitellä asiaa, asiasta ilmoittaneella valvontaviranomaisella olisi oltava mahdollisuus toimittaa päätösehdotus, jonka johtava valvontaviranomainen ottaa huomioon mahdollisimman kattavasti laatiessaan päätösehdotuksensa mainitun yhden luukun järjestelmän puitteissa.

- = -

(128) Johtavaa valvontaviranomaista ja yhden luukun järjestelmää koskevia sääntöjä ei pitäisi soveltaa, jos käsittelyn suorittavat viranomaiset tai yleisen edun hyväksi toimivat yksityiset elimet.
Tällaisissa tapauksissa ainoana valvontaviranomaisena, jolla on toimivalta käyttää sille tämän asetuksen mukaisesti annettuja valtuuksia, olisi oltava sen jäsenvaltion valvontaviranomainen, johon viranomainen tai yksityinen elin on sijoittautunut.

- = -

(129) Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät valituksia, ja, rajoittamatta syyttäjäviranomaisten jäsenvaltion lainsäädännön mukaisia valtuuksia, valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet.
Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto.
Jäsenvaltiot voivat täsmentää muita tehtäviä, jotka liittyvät tämän asetuksen mukaiseen henkilötietojen suojaan.
Valvontaviranomaisten valtuuksia olisi käytettävä unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen asianmukaisten menettelytakeiden mukaisesti puolueettomasti, asianmukaisesti ja kohtuullisessa ajassa.
Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaisi häneen epäedullisesti, ja vältetään aiheuttamasta asianomaisille henkilöille tarpeettomia kustannuksia ja liiallisia haittoja.
Toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion prosessioikeuden erityisvaatimusten mukaisesti, joita ovat esimerkiksi ennakkoluvan saamista koskeva vaatimus.
Jokainen valvontaviranomaisen oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antanut valvontaviranomainen ja toimenpiteen antamispäivä, sen olisi oltava valvontaviranomaisen johtajan tai hänen valtuuttamansa valvontaviranomaisen jäsenen allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen.
Tämä ei saisi estää vahvistamasta lisävaatimuksia jäsenvaltion prosessioikeuden nojalla.
Oikeudellisesti sitovan päätöksen antaminen tarkoittaa, että siihen voidaan kohdistaa tuomioistuinvalvontaa päätöksen antaneen valvontaviranomaisen jäsenvaltiossa.

- = -

(130) Jos valvontaviranomainen, jolle valitus on osoitettu, ei ole johtava valvontaviranomainen, johtavan valvontaviranomaisen olisi tehtävä tiivistä yhteistyötä sen valvontaviranomaisen kanssa, jolle valitus on osoitettu, tässä asetuksessa säädettyjen yhteistyötä ja johdonmukaisuutta koskevien säännösten mukaisesti.
Tällaisissa tapauksissa johtavan valvontaviranomaisen olisi oikeusvaikutuksia tuottavia toimenpiteitä – hallinnolliset sakot mukaan luettuina – toteuttaessaan otettava mahdollisimman kattavasti huomioon sen valvontaviranomaisen näkemykset, jolle valitus on osoitettu ja jolla olisi oltava edelleen toimivalta suorittaa mitä tahansa tutkimuksia oman jäsenvaltionsa alueella yhteistyössä johtavan valvontaviranomaisen kanssa.

- = -

(131) Tapauksissa, joissa toisen valvontaviranomaisen olisi toimittava johtavana valvontaviranomaisena rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimissa mutta valituksen konkreettinen aihe tai mahdollinen rikkominen koskee rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimia ainoastaan siinä jäsenvaltiossa, jossa valitus on tehty tai mahdollinen rikkominen havaittu, ja asia ei merkittävästi vaikuta tai ole omiaan merkittävästi vaikuttamaan muissa jäsenvaltioissa oleviin rekisteröityihin, valvontaviranomaisen, joka vastaanottaa valituksen tai joka havaitsee tilanteita tai jolle muulla tavoin tiedotetaan tilanteista, joihin liittyy mahdollisia tämän asetuksen rikkomisia, olisi pyrittävä sovintoratkaisuun rekisterinpitäjän kanssa, ja jos tämä ei onnistu, käytettävä kaikkia valtuuksiaan.
Tähän olisi kuuluttava: erityiskäsittely, joka suoritetaan valvontaviranomaisen jäsenvaltion alueella tai kyseisen jäsenvaltion alueella olevien rekisteröityjen suhteen; käsittely, joka suoritetaan valvontaviranomaisen jäsenvaltion alueella oleville rekisteröidyille nimenomaisesti suunnattujen tavaroiden tai palvelujen tarjoamisen yhteydessä; tai käsittely, joka on arvioitava ottaen huomioon jäsenvaltion lainsäädännön mukaiset asiaankuuluvat lakisääteiset vaatimukset.

- = -

(132) Yleisölle suunnattuun valvontaviranomaisen tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä pienet ja keskisuuret yritykset mukaan lukien, sekä luonnollisille henkilöille erityisesti koulutuksen yhteydessä.

- = -

(134) Jokaisen valvontaviranomaisen olisi tarvittaessa osallistuttava valvontaviranomaisten yhteisiin operaatioihin.
Pyynnön vastaanottanut valvontaviranomainen olisi velvoitettava vastaamaan pyyntöön tietyssä määräajassa.

- = -

(136) Yhdenmukaisuusmekanismin soveltamiseksi tietosuojaneuvoston olisi annettava lausunto tietyssä määräajassa, jos sen jäsenten enemmistö niin päättää tai jos joku asianomainen valvontaviranomainen tai komissio sitä pyytää.
Tietosuojaneuvostolla olisi myös oltava valtuudet antaa oikeudellisesti sitovia päätöksiä, kun valvontaviranomaisten välillä on kiistoja.
Tätä tarkoitusta varten sen olisi lähtökohtaisesti annettava jäsentensä kahden kolmasosan enemmistöllä oikeudellisesti sitovia päätöksiä selkeästi määritellyissä tapauksissa, joissa valvontaviranomaisten näkemykset poikkeavat toisistaan erityisesti johtavan valvontaviranomaisen ja asianomaisen valvontaviranomaisen välisessä yhteistyömenettelyssä tapauksen asiaratkaisun suhteen ja erityisesti sen suhteen, onko tätä asetusta rikottu.

- = -

(137) Saattaa olla tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyn oikeuksien ja vapauksien suojaamiseksi, etenkin jos on olemassa vaara, että jonkin rekisteröidylle kuuluvan oikeuden täytäntöönpanolle voi aiheutua merkittävää haittaa.
Tätä varten valvontaviranomaisen olisi voitava omalla alueellaan toteuttaa asianmukaisesti perusteltuja väliaikaisia toimenpiteitä, joiden voimassaolo on rajoitettu eikä saa ylittää kolmea kuukautta.

- = -

(138) Tällaisen mekanismin soveltamisen olisi oltava valvontaviranomaisen oikeusvaikutuksia tuottavan toimenpiteen lainmukaisuuden edellytys niissä tapauksissa, joissa sen soveltaminen on pakollista.
Muissa tapauksissa, joilla on rajatylittävää merkitystä, olisi sovellettava johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten välistä yhteistyömenettelyä, ja asianomaiset valvontaviranomaiset voivat soveltaa keskinäistä avunantoa ja toteuttaa yhteisiä operaatioita kahden- tai monenväliseltä pohjalta yhdenmukaisuusmekanismiin turvautumatta.

- = -

(139) Tämän asetuksen johdonmukaisen soveltamisen edistämiseksi tietosuojaneuvosto olisi perustettava riippumattomaksi unionin elimeksi.
Jotta tietosuojaneuvosto voisi täyttää tavoitteensa, sillä olisi oltava oikeushenkilöllisyys.
Tietosuojaneuvostoa olisi edustettava sen puheenjohtaja.
Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä.
Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu tai näiden edustajat.
Komission olisi osallistuttava tietosuojaneuvoston toimintaan ilman äänioikeutta ja Euroopan tietosuojavaltuutetulla olisi oltava erityinen äänioikeus.
Tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle etenkin tietosuojan tasosta kolmansissa maissa ja kansainvälisissä järjestöissä sekä tukemalla valvontaviranomaisten yhteistyötä unionissa.
Tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

- = -

(141) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi.
Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi.
valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa.
Jos asiassa tarvitaan lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle.
Valitusten jättämisen helpottamiseksi kaikkien valvontaviranomaisen olisi toteutettava toimenpiteitä, esimerkiksi toimitettava valituslomake, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

- = -

(143) Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on SEUT 263 artiklassa määrätyin edellytyksin oikeus nostaa kumoamiskanne Euroopan unionin tuomioistuimessa tietosuojaneuvoston päätöksiä vastaan.
Asianomaisten valvontaviranomaisten, joille kyseiset päätökset on osoitettu ja jotka haluavat riitauttaa ne, on SEUT 263 artiklan mukaisesti nostettava kanne kahden kuukauden kuluessa siitä, kun päätökset on annettu niille tiedoksi.
Jos tietosuojaneuvoston päätökset koskevat suoraan ja erikseen rekisterinpitäjää, henkilötietojen käsittelijää tai valituksen tekijää, viimeksi mainittu voi nostaa SEUT 263 artiklan mukaisesti kumoamiskanteen kyseisiä päätöksiä vastaan kahden kuukauden kuluessa kyseisten päätösten julkaisemisesta tietosuojaneuvoston verkkosivustolla.
Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin toimivaltaisessa kansallisessa tuomioistuimessa sellaista valvontaviranomaisen päätöstä vastaan, joka tuottaa kyseistä henkilöä koskevia oikeusvaikutuksia, sanotun kuitenkaan rajoittamatta tätä oikeutta SEUT 263 artiklan nojalla.
Tällaiset päätökset koskevat etenkin valvontaviranomaisen tutkintavaltuuksien, korjaavien valtuuksien ja hyväksymisvaltuuksien käyttöä tai valitusten käsittelemättä jättämistä tai hylkäämistä.
Tämä oikeus tehokkaisiin oikeussuojakeinoihin ei kuitenkaan koske valvontaviranomaisten toimenpiteitä, jotka eivät ole oikeudellisesti sitovia, kuten valvontaviranomaisen antamia lausuntoja tai neuvoja.
Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut, ja se olisi toteutettava kyseisen jäsenvaltion prosessioikeuden mukaisesti.
Kyseisten tuomioistuinten olisi käytettävä täyttä oikeudellista toimivaltaa, mukaan lukien toimivalta tarkastella kaikkia tosiseikkoja koskevia ja oikeudellisia kysymyksiä, jotka ovat niiden käsiteltäväksi saatetun asian kannalta merkittäviä.

- = -

(144) Jos tuomioistuimella, jossa on nostettu kanne valvontaviranomaisen päätöstä vastaan, on syytä uskoa, että samaa käsittelyä, kuten saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa tai samaa syytä, koskevia kanteita on nostettu jonkin toisen jäsenvaltion toimivaltaisessa tuomioistuimessa, sen olisi otettava yhteyttä tuohon tuomioistuimeen varmistaakseen tällaisten yhteen liittyvien kanteiden olemassaolon.
Jos yhteen liittyviä kanteita on vireillä toisen jäsenvaltion tuomioistuimessa, muut tuomioistuimet kuin se, jossa kanne on ensin nostettu, voivat keskeyttää asian käsittelyn tai ne voivat jonkin osapuolen pyynnöstä jättää asian tutkimatta sen tuomioistuimen hyväksi, jossa kanne on ensin nostettu, jos tämä tuomioistuin on toimivaltainen tutkimaan kyseiset kanteet ja jos tällaisten yhteen liittyvien kanteiden yhdistäminen on tämän tuomioistuimen lain mukaan sallittua.
Kanteiden katsotaan liittyvän toisiinsa silloin, kun niiden välillä on niin läheinen yhteys, että kanteiden käsittely ja ratkaiseminen yhdessä näyttää tarkoituksenmukaiselta, jotta niiden käsittely eri oikeudenkäynneissä ei johtaisi ristiriitaisiin tuomioihin.

- = -

(148) Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia sakkoja, valvontaviranomaisen tämän asetuksen mukaisesti määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta.
Jos kyseessä on vähäinen rikkominen tai jos määrättävä sakko olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan sakon sijasta antaa huomautus.
Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota.
Seuraamusten, kuten hallinnollisten sakkojen, määräämiseen olisi sovellettava riittäviä menettelytakeita unionin lainsäädännön ja perusoikeuskirjan yleisten periaatteiden mukaisesti, tehokkaat oikeussuojakeinot ja asianmukainen prosessi mukaan luettuina.

- = -

(150) Tämän asetuksen rikkomisen vuoksi määrättävien hallinnollisten seuraamusten lujittamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia sakkoja.
Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien sakkojen enimmäismäärä ja määrän asettamisen perusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki erityisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja sen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi.
Silloin kun sakkoja määrätään yritykselle, yritys olisi ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi.
Jos hallinnollisia sakkoja määrätään henkilöille, jotka eivät ole yrityksiä, valvontaviranomaisen olisi sakon sopivan määrän harkinnassa otettava huomioon jäsenvaltion yleinen tulotaso ja henkilön taloudellinen tilanne.
Yhdenmukaisuusmekanismia voidaan myös käyttää hallinnollisten sakkojen johdonmukaisen soveltamisen edistämiseksi.
Jäsenvaltioilla olisi oltava vastuu määritellä onko viranomaisille määrättävä hallinnollisia sakkoja ja missä määrin.
Hallinnollisen sakon määräämisellä tai varoituksen antamisella ei ole vaikutusta valvontaviranomaisten muiden valtuuksien soveltamiseen eikä muihin tämän asetuksen mukaisiin seuraamuksiin.

- = -

(151) Tanskan ja Viron oikeusjärjestelmät eivät mahdollista tämän asetuksen mukaisia hallinnollisia sakkoja.
Hallinnollisia sakkoja koskevia sääntöjä voi soveltaa niin, että Tanskassa sakon määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena ja Virossa sakon määrää valvontaviranomainen rikkomusmenettelyn puitteissa, edellyttäen että kyseisten jäsenvaltioiden sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla.
Toimivaltaisten kansallisten tuomioistuinten olisi siksi otettava huomioon sakon määräävän valvontaviranomaisen antama suositus.
Määrättävien sakkojen pitäisi joka tapauksessa olla tehokkaita, oikeasuhteisia ja varoittavia.

- = -

dal 2004 diritto e informatica