interactive GDPR 2016/0679 FI

1. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

a)	käsittelyn tarkoitukset;

b)	kyseessä olevat henkilötietoryhmät;

c)	vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;

d)	mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e)	rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;

f)	oikeus tehdä valitus valvontaviranomaiselle;

g)	jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot;

h)	automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

2. Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus 46 artiklassa tarkoitetuista siirtoa koskevista asianmukaisista suojatoimista.

3. Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

4. Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

3 Jakso

Tietojen oikaiseminen ja poistaminen

20 artikla

Oikeus siirtää tiedot järjestelmästä toiseen

1. Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

a)	käsittely perustuu suostumukseen 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan nojalla tai sopimukseen 6 artiklan 1 kohdan b alakohdan nojalla; ja

b)	käsittely suoritetaan automaattisesti.

2. Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

3. Tämän artiklan 1 kohdassa tarkoitetun oikeuden käyttäminen ei kuitenkaan saa rajoittaa 17 artiklan soveltamista. Tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten.

4. Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

4 Jakso

Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtävät yksittäispäätökset

23 artikla

Rajoitukset

1. Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

a)	kansallinen turvallisuus;

b)	puolustus;

c)	yleinen turvallisuus;

d)	rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;

e)	muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;

f)	oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;

g)	säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano;

h)	valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–e ja g alakohdassa tarkoitetuissa tapauksissa;

i)	rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;

j)	yksityisoikeudellisten kanteiden täytäntöönpano.

2. Edellä 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin

a)	käsittelytarkoitusta tai käsittelyn ryhmiä;

b)	henkilötietoryhmiä;

c)	käyttöön otettujen rajoitusten soveltamisalaa;

d)	suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;

e)	rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä;

f)	tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset;

g)	rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja

h)	rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.

IV LUKU

Rekisterinpitäjä ja henkilötietojen käsittelijä

1 Jakso

Yleiset velvollisuudet

24 artikla

Rekisterinpitäjän vastuu

1. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

2. Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

3. Jäljempänä 40 artiklassa tarkoitettujen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan.

32 artikla

Käsittelyn turvallisuus

1. Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a)	henkilötietojen pseudonymisointi ja salaus;

b)	kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;

c)	kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

d)	menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

3. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.

4. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.

33 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

a)	kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

b)	ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

c)	kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;

d)	kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

4. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

34 artikla

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

1. Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2. Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 33 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3. Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b)	rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;

c)	se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

4. Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

3 Jakso

Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen

whereas

(63) Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen.
Tähän sisältyy rekisteröidyn oikeus saada pääsy omiin terveystietoihinsa, kuten terveystiedostoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot.
Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin.
Mikäli mahdollista, rekisterinpitäjän olisi voitava tarjota etäpääsy suojattuun järjestelmään, jossa rekisteröity saa suoran pääsyn henkilötietoihinsa.
Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet.
Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa.
Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjä olisi voitava pyytää rekisteröityä täsmentämään riittävällä tavalla ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee.

- = -

(74) Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä.
Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna.
Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

- = -

(75) Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoitumisen luvattomaan kumoutumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa; kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan; kun käsitellään sellaisia henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta ja ammattiliittoon kuulumista, tai käsitellään geneettisiä tietoja tai terveyttä ja seksuaalista käyttäytymistä tai rikostuomioita ja rikkomuksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; kun arvioidaan henkilökohtaisia ominaisuuksia, erityisesti jos kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; kun käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja; tai kun käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää.

- = -

(76) Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan.
Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.

- = -

(80) Jos unionin alueella olevien rekisteröityjen henkilötietoja käsittelee rekisterinpitäjä tai henkilötietojen käsittelijä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionin alueella riippumatta siitä, edellytetäänkö rekisteröidyltä maksua, tai heidän käyttäytymisensä seurantaan niiltä osin kuin käyttäminen tapahtuu unionissa, rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimettävä edustaja, paitsi jos käsittely on satunnaista eikä kohdistu laajasti henkilötietojen erityisryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin, eikä siihen todennäköisesti liity luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä ottaen huomioon käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset tai jos rekisterinpitäjä on viranomainen tai julkishallinnon elin.
Edustajan olisi toimittava rekisterinpitäjän tai henkilötietojen käsittelijän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset.
Edustaja olisi nimenomaisesti nimettävä rekisterinpitäjän tai henkilötietojen käsittelijän antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tämän asetuksen mukaiset velvoitteet.
Edustajan nimeämisellä ei ole vaikutusta tämän asetuksen mukaisiin rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksiin tai vastuisiin.
Edustajan olisi suoritettava tehtävänsä rekisterinpitäjältä tai henkilötietojen käsittelijältä saadun toimeksiannon mukaisesti, mukaan lukien yhteistyö toimivaltaisten valvontaviranomaisten kanssa kaikissa tämän asetuksen noudattamisen varmistamiseksi toteutettavissa toimissa.
Nimettyyn edustajaan olisi sovellettava täytäntöönpanotoimia, jos rekisterinpitäjä tai henkilötietojen käsittelijä ei noudata asetuksen säännöksiä.

- = -

(81) Jotta voidaan varmistaa, että henkilötietojen käsittelijä noudattaa tämän asetuksen vaatimuksia rekisterinpitäjän puolesta suorittamassaan käsittelyssä, rekisterinpitäjän olisi antaessaan käsittelytoiminnat henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tämän asetuksen vaatimusten mukaiset tekniset ja organisatoriset toimenpiteet, käsittelyn turvallisuus mukaan lukien.
Sitä, että henkilötietojen käsittelijä noudattaa hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia, voidaan käyttää osoittamaan rekisterinpitäjälle asetettujen velvollisuuksien noudattamista.
Henkilötietojen käsittelijän suorittamaa käsittelyä olisi säänneltävä unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitukset, henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja siinä olisi otettava huomioon henkilötietojen käsittelijän erityistehtävät ja vastuualueet suoritettavan käsittelyn yhteydessä sekä rekisteröidyn oikeuksiin ja vapauksiin liittyvä riski.
Rekisterinpitäjä ja henkilötietojen käsittelijä voivat päättää käyttää yksittäistä sopimusta tai sellaisia vakiosopimuslausekkeita, jotka hyväksyy joko suoraan komissio tai valvontaviranomainen yhdenmukaisuusmekanismin mukaisesti komission hyväksymänä.
Kun henkilötietojen käsittelijä on saattanut käsittelyn loppuun rekisterinpitäjän puolesta, sen olisi rekisterinpitäjän valinnan mukaisesti palautettava tai poistettava henkilötiedot, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot.

- = -

(84) Tämän asetuksen noudattamisen edesauttamiseksi tapauksissa, joissa käsittelytoimiin todennäköisesti liittyy luonnollisten henkilöiden oikeuksiin ja vapauksiin liittyvä korkea riski, rekisterinpitäjän olisi vastattava tietosuojaa koskevan vaikutustenarvioinnin suorittamisesta erityisesti kyseisen riskin alkuperän, luonteen, erityisluonteen ja vakavuuden arvioimiseksi.
Arvioinnin tulos olisi otettava huomioon määriteltäessä asianmukaisia toimia, jotka on toteutettava, jotta voidaan osoittaa, että henkilötietojen käsittely on tämän asetuksen säännösten mukaista.
Jos tietosuojaa koskevan vaikutustenarvioinnin perusteella osoitetaan, että käsittelytoimiin liittyy korkea riski, jota rekisterinpitäjä ei voi asianmukaisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen tietojenkäsittelyä olisi kuultava valvontaviranomaista.

- = -

(85) Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoitumisen luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa.
Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan tilivelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.
Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä.

- = -

(90) Tapauksissa, joissa luonnollisten henkilöiden oikeuksiin tai vapauksiin kohdistuu korkea riski, rekisterinpitäjän olisi kyseisen riskin erityisen todennäköisyyden ja vakavuuden arvioimiseksi käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä riskin alkuperän huomioon ottaen tehtävä ennen tietojenkäsittelyä tietosuojaa koskeva vaikutustenarviointi.
Tässä vaikutustenarvioinnissa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä suojatoimia ja mekanismeja, joiden avulla lievennetään edellä mainittua riskiä ja varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu.

- = -

(91) Tätä olisi sovellettava erityisesti laajoihin käsittelytoimiin, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja alueellisella, kansallisella tai ylikansallisella tasolla, jotka voivat vaikuttaa suureen määrään rekisteröityjä ja joihin todennäköisesti liittyy korkea suuri riski esimerkiksi tietojen arkaluonteisuuden vuoksi, jos uutta tekniikkaa käytetään saavutetun teknologisen osaamistason mukaisesti hyvin laajasti myös muihin käsittelytoimiin, joihin liittyy rekisteröityjen oikeuksiin ja vapauksiin vaikuttava korkea riski, varsinkin silloin kun rekisteröityjen on kyseisten toimien johdosta hankalampi käyttää oikeuksiaan.
Tietosuojaa koskeva vaikutustenarviointi olisi toteutettava myös tapauksissa, joissa henkilötietoja käsitellään tiettyjä luonnollisia henkilöitä koskevien päätösten tekemiseksi kyseisten tietojen profilointiin perustuvan luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällisen ja kattavan arvioinnin perusteella tai erityisiä henkilötietoryhmiä, biometrisiä tietoja taikka tietoja, jotka koskevat rikostuomioita ja rikkomuksia tai niihin liittyviä turvaamistoimenpiteitä, koskevan käsittelyn perusteella.
Tietosuojaa koskeva vaikutustenarviointi on tarpeen myös yleisölle avoimien alueiden laaja-alaisessa valvonnassa, erityisesti jos käytetään optoelektronisia laitteita, tai kaikissa muissa toimissa, jos toimivaltainen valvontaviranomainen katsoo, että käsittelyyn todennäköisesti liittyy korkea riski rekisteröityjen oikeuksien ja vapauksien kannalta erityisesti siitä syystä, että ne estävät rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta tai siitä syystä, että kyseisiä toimia toteutetaan järjestelmällisesti laajassa mittakaavassa.
Henkilötietojen käsittelyä ei saisi pitää laaja-alaisena, jos käsittely koskee yksittäisen lääkärin, muun terveydenhuollon ammattilaisen tai lakimiehen asiakkaiden henkilötietoja.
Tällaisissa tapauksissa tietosuojaa koskevan vaikutustenarvioinnin ei pitäisi olla pakollista.

- = -

(94) Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, suojaustoimenpiteiden ja -keinojen puuttumisen vuoksi suuri luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttava riski, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen käsittelytoimien aloittamista olisi kuultava valvontaviranomaista.
On todennäköistä, että tällainen korkea riski liittyy tietyntyyppiseen henkilötietojen käsittelyyn ja käsittelyn laajuuteen ja toistumistiheyteen, mikä voi aiheuttaa vahinkoa myös luonnollisen henkilön oikeuksille ja vapauksille tai merkitä niihin puuttumista.
Valvontaviranomaisen olisi vastattava kuulemispyyntöön määrätyn ajan kuluessa.
Valvontaviranomaisen reagoimattomuus määräajan puitteissa ei kuitenkaan saisi vaikuttaa valvontaviranomaisen mahdollisiin toimiin sille tässä asetuksessa annettujen tehtävien ja valtuuksien puitteissa, kuten valtaan kieltää käsittelytoimia.
Osana kuulemismenettelyä valvontaviranomaiselle voidaan toimittaa käsittelyn osalta toteutetun tietosuojaa koskevan vaikutustenarvioinnin tulos, etenkin toimenpiteet, joiden tarkoituksena on vähentää luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.

- = -

(98) Rekisterinpitäjien tai henkilötietojen käsittelijöiden ryhmiä edustavia yhdistyksiä tai muita elimiä olisi kannustettava laatimaan käytännesääntöjä tässä asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet.
Erityisesti käytännesäännöillä voitaisiin sopeuttaa rekisterinpitäjien tai henkilötietojen käsittelijöiden velvoitteita ottaen huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin todennäköisesti kohdistuva tietojenkäsittelyn riski.

- = -

(109) Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin.
Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään vakiosuojalausekkeita.

- = -

dal 2004 diritto e informatica