interactive GDPR 2016/0679 FI

Rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi.

2 Jakso

Henkilötietojen turvallisuus

39 artikla

Tietosuojavastaavan tehtävät

1. Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:

a)	antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia;

seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

c)	antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti;

d)	tehdä yhteistyötä valvontaviranomaisen kanssa;

e)	toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.

2. Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

5 Jakso

Käytännesäännöt ja sertifiointi

50 artikla

Kansainvälinen yhteistyö henkilötietojen suojaamiseksi

Komissio ja valvontaviranomaiset toteutettavat kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

a)	kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaamista koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi ilmoituksella, lähettämällä valituksia käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen, että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

c)	saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d)	edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytänteiden vaihtamista ja dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

VI LUKU

Riippumattomat valvontaviranomaiset

1 Jakso

Riippumaton asema

51 artikla

Valvontaviranomainen

1. Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa, jäljempänä ’valvontaviranomainen’.

2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.

3. Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, kyseisen jäsenvaltion on nimettävä valvontaviranomainen, joka edustaa viranomaisia tietosuojaneuvostossa, ja perustettava mekanismi, jolla varmistetaan, että muut valvontaviranomaiset noudattavat 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä.

4. Kunkin jäsenvaltion on toimitettava tämän luvun perusteella antamansa säännökset tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset mahdollisimman pian.

57 artikla

Tehtävät

1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan

a)	valvottava tämän asetuksen soveltamista ja pantava se täytäntöön;

b)	edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;

c)	annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d)	edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;

e)	annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g)	tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;

h)	suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

i)	seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;

j)	hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;

k)	laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;

l)	annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;

m)	kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;

n)	kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;

o)	toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;

p)	laadittava ja julkaistava kriteerit 41 artiklan mukaisen elimen akkreditoimiseksi käytännesääntöjen seurantaa varten ja sertifiointielimen akkreditoimiseksi 43 artiklan mukaisesti;

q)	akkreditoitava elin käytännesääntöjen seurantaa varten 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti;

r)	hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;

s)	hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;

t)	osallistuttava tietosuojaneuvoston toimintaan;

u)	pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja

v)	suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.

2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

60 artikla

Johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö

1. Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.

2. Johtava valvontaviranomainen voi milloin tahansa pyytää muilta osallistuvilta valvontaviranomaisilta 61 artiklassa tarkoitettua keskinäistä avunantoa ja toteuttaa 62 artiklassa tarkoitettuja yhteisiä operaatioita etenkin toteuttaakseen tutkimuksia tai valvoakseen toisen jäsenvaltion alueelle sijoittautunutta rekisterinpitäjää tai henkilötietojen käsittelijää koskevan toimenpiteen toteuttamista.

3. Johtavan valvontaviranomaisen on viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille. Sen on viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.

4. Jos yksikin muista asianomaisista valvontaviranomaisista esittää päätösehdotukseen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on tämän artiklan 3 kohdan mukaisesti kuultu, johtavan valvontaviranomaisen on, ellei se noudata vastalausetta tai katso, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille.

5. Jos johtava valvontaviranomainen aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.

6. Jos yksikään muista osallistuvista viranomaisista ei ole vastustanut johtavan viranomaisen toimittamaa päätösehdotusta 4 ja 5 kohdassa tarkoitetun määräajan kuluessa, johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen kyseinen päätösehdotus, joka sitoo niitä.

7. Johtavan valvontaviranomaisen on hyväksyttävä päätös ja annettava se tiedoksi tilanteen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava muille asianomaisille valvontaviranomaisille ja tietosuojaneuvostolle kyseessä olevasta päätöksestä, mukaan lukien yhteenveto tosiseikoista ja perustelut. Valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava päätöksestä valituksen tekijälle.

8. Jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on 7 kohdasta poiketen hyväksyttävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle.

9. Jos johtava valvontaviranomainen ja osallistuvat valvontaviranomaiset ovat yhtä mieltä siitä, että valitus jätetään tutkimatta tai hylätään tietyiltä osin mutta tutkitaan kyseisen valituksen muilta osin, kustakin tällaisesta asian osasta on annettava erillinen päätös. Johtavan valvontaviranomaisen on annettava päätös rekisterinpitäjään liittyvistä toimista ja annettava se tiedoksi jäsenvaltionsa alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava siitä valituksen tekijälle, kun taas valituksen tekijän valvontaviranomaisen on annettava päätös kyseisen valituksen tutkimatta jättämistä tai hylkäämistä koskevilta osin ja annettava se tiedoksi kyseiselle valituksen tekijälle sekä ilmoitettava siitä rekisterinpitäjälle tai henkilötietojen käsittelijälle.

10. Sen jälkeen kun johtavan valvontaviranomaisen päätös on annettu tiedoksi 7 ja 9 kohdan mukaisesti, rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet varmistaakseen, että päätöstä noudatetaan sen kaikissa unionin alueella sijaitsevissa toimipaikoissa toteutettavissa käsittelytoimissa. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava johtavalle valvontaviranomaiselle tiedoksi päätöksen noudattamiseksi toteutetut toimenpiteet, ja johtavan valvontaviranomaisen on ilmoitettava asiasta muille asianomaisille valvontaviranomaisille.

11. Jos asianomaisella valvontaviranomaisella on poikkeuksellisissa olosuhteissa syytä katsoa, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, sovelletaan 66 artiklassa tarkoitettua kiireellistä menettelyä.

12. Johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten on toimitettava tässä artiklassa vaaditut tiedot toisilleen sähköisesti vakiomuodossa.

61 artikla

Keskinäinen avunanto

1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2. Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4. Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos

a)	sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai

b)	pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.

5. Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.

6. Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7. Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.

8. Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.

9. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

63 artikla

Yhdenmukaisuusmekanismi

Jotta voidaan edistää tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa valvontaviranomaisten on tehtävä yhteistyötä toistensa ja tarvittaessa komission kanssa tämän jakson mukaisen yhdenmukaisuusmekanismin puitteissa.

70 artikla

Tietosuojaneuvoston tehtävät

1. Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti. Tätä varten tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai tarvittaessa komission pyynnöstä erityisesti seuraavia tehtäviä:

a)	tämän asetuksen asianmukaisen soveltamisen seuranta ja varmistaminen 64 ja 65 artiklassa säädetyissä tapauksissa, sanotun kuitenkaan rajoittamatta kansallisten valvontaviranomaisten tehtäviä;

b)	antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän asetuksen mahdollisesta muuttamisesta;

c)	antaa komissiolle neuvoja rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välisen tietojenvaihdon muodoista ja menettelyistä, kun kyse on yritystä koskevista sitovista säännöistä;

d)	antaa suuntaviivoja, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista, siten kuin 17 artiklan 2 kohdassa tarkoitetaan;

e)	tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

f)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 22 artiklan 2 kohdan mukaisia profilointiin perustuvia päätöksiä koskevien kriteerien ja edellytysten tarkemmaksi määrittelemiseksi;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 33 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietoturvaloukkausten toteamiseksi ja aiheettoman viivytyksen määrittelemiseksi sekä niiden erityisten olosuhteiden määrittelemiseksi, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

h)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 34 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen siirroille, jotka perustuvat rekisterinpitäjien ja henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin, sekä lisävaatimuksista, jotka ovat tarpeen 47 artiklassa tarkoitettujen asianomaisten rekisteröityjen henkilötietojen suojan varmistamiseksi;

j)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 49 artiklan 1 kohdan mukaisia henkilötietojen siirtoja koskevien kriteerien ja vaatimusten tarkemmaksi määrittelemiseksi;

k)	laatii valvontaviranomaisille suuntaviivoja, jotka koskevat 58 artiklan 1, 2 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä 83 artiklan nojalla;

l)	tarkastelee e ja f alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön;

m)	antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä sellaisten yhdenmukaisten menettelyjen laatimiseksi, joilla luonnolliset henkilöt voivat ilmoittaa tämän asetuksen rikkomisista 54 artiklan 2 kohdan mukaisesti;

n)	edistää käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa 40 ja 42 artiklan mukaisesti;

toteuttaa sertifiointielinten akkreditointia ja 43 artiklan mukaista määräaikaistarkastelua sekä pitää yllä 43 artiklan 6 kohdan mukaista akkreditoitujen elinten julkista rekisteriä ja 42 artiklan 7 kohdan mukaista kolmansiin maihin sijoittautuneiden akkreditoitujen rekisterinpitäjien tai henkilötietojen käsittelijöiden julkista rekisteriä;

p)	määrittelee 43 artiklan 3 kohdassa tarkoitetut vaatimukset sertifiointielinten akkreditoimiseksi 42 artiklan nojalla;

q)	antaa komissiolle lausunnon 43 artiklan 8 kohdassa tarkoitetuista sertifiointivaatimuksista;

r)	antaa komissiolle lausunnon 12 artiklan 7 kohdassa tarkoitetuista kuvakkeista;

antaa komissiolle lausunnon kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö enää varmistamaan tietosuojan riittävää tasoa. Tätä varten komissio toimittaa tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto;

t)	antaa lausuntoja valvontaviranomaisten toimenpideluonnoksista 64 artiklan 1 kohdassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti ja 64 artiklan 2 kohdan mukaisesti sille toimitetuissa asioissa sekä antaa sitovia päätöksiä 65 artiklan nojalla, myös 66 artiklassa tarkoitetuissa tapauksissa;

u)	edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

v)	edistää yhteisiä koulutusohjelmia ja tukea henkilövaihtoa valvontaviranomaisten välillä ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

w)	edistää tietosuojalainsäädäntöä ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa;

x)	antaa lausuntoja unionin tasolla 40 artiklan 9 kohdan mukaisesti laadituista käytännesäännöistä; ja

y)	pitää yllä julkista sähköistä rekisteriä päätöksistä, joita valvontaviranomaiset ja tuomioistuimet ovat tehneet yhdenmukaisuusmekanismissa käsitellyissä asioissa.

2. Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

3. Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 93 artiklassa tarkoitetulle komitealle ja julkaistava ne.

4. Tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 76 artiklan soveltamista.

97 artikla

Komission kertomukset

1. Viimeistään 25 päivänä toukokuuta 2020 ja joka neljäs vuosi sen jälkeen komissio toimittaa Euroopan parlamentille ja neuvostolle säännöllisesti kertomukset tämän asetuksen arvioinnista ja uudelleentarkastelusta. Kertomukset julkistetaan.

2. Edellä 1 kohdassa tarkoitettujen arviointien ja uudelleentarkastelujen yhteydessä komissio tarkastelee erityisesti seuraavien soveltamista ja toimivuutta:

a)	kolmansiin maihin ja kansainvälisiin järjestöihin tehtäviä henkilötietojen siirtoja koskeva V luku siten, että erityistä huomiota kiinnitetään tämän asetuksen 45 artiklan 3 kohdan ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyihin päätöksiin;

b)	yhteistyötä ja yhdenmukaisuutta koskeva VII luku.

3. Komissio voi pyytää jäsenvaltioilta ja valvontaviranomaisilta tietoja 1 kohdan mukaista tarkoitusta varten.

4. Kun komissio tekee 1 ja 2 kohdassa tarkoitettuja arviointeja ja uudelleenarviointeja, se ottaa huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset.

5. Komissio esittää tarvittaessa ehdotuksia tämän asetuksen muuttamiseksi ottaen erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuvan kehityksen.

whereas

(82) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia.
Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta.

- = -

(116) Henkilötietojen siirtäminen valtioiden rajojen yli unionin ulkopuolelle voi vaikeuttaa luonnollisten henkilöiden mahdollisuuksia käyttää oikeuttaan tietosuojaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta.
Toisaalta valvontaviranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan valtion rajojen ulkopuolella.
Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula.
Sen vuoksi on edistettävä tietosuojavalvontaviranomaisten tiiviimpää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ja toteuttaa tutkimuksia kansainvälisten kumppaniensa kanssa.
Jotta voidaan kehittää kansainvälisiä yhteistyömekanismeja, joilla helpotetaan ja tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanoa varten, komission ja valvontaviranomaisten olisi toimivaltansa käyttöön liittyvissä toimissa vaihdettava tietoja ja tehtävä yhteistyötä kolmansien maiden toimivaltaisten viranomaisten kanssa vastavuoroisuuden pohjalta ja tämän asetuksen mukaisesti.

- = -

(123) Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden varmistamiseksi sisämarkkinoilla.
Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa ilman, että tarvitaan mitään jäsenvaltioiden välistä sopimusta keskinäisen avunannon antamisesta tai tällaisesta yhteistyöstä.

- = -

(124) Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon, tai jos käsittely, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä, vaikuttaa tai on omiaan vaikuttamaan merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan viranomaisen olisi toimittava johtavana viranomaisena.
Sen olisi tehtävä yhteistyötä sellaisten muiden viranomaisten kanssa, joita asia koskee, koska rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka niiden jäsenvaltion alueella, koska käsittely vaikuttaa merkittävästi niiden alueella asuviin rekisteröityihin tai koska niille on tehty valitus.
Jos rekisteröity, joka ei asu kyseisessä jäsenvaltiossa, on tehnyt valituksen, myös valvontaviranomaisen, jolle tällainen valitus on tehty, olisi oltava asianomainen valvontaviranomainen.
Tietosuojaneuvoston, jonka tehtäviin kuuluu suuntaviivojen antaminen kaikista tämän asetuksen soveltamiseen liittyvistä kysymyksistä, olisi voitava antaa suuntaviivoja erityisesti kriteereistä, jotka on otettava huomioon, jotta voidaan arvioida, vaikuttaako kyseessä oleva käsittely merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa ja mistä asiaankuuluva ja perusteltu vastalause muodostuu.

- = -

(130) Jos valvontaviranomainen, jolle valitus on osoitettu, ei ole johtava valvontaviranomainen, johtavan valvontaviranomaisen olisi tehtävä tiivistä yhteistyötä sen valvontaviranomaisen kanssa, jolle valitus on osoitettu, tässä asetuksessa säädettyjen yhteistyötä ja johdonmukaisuutta koskevien säännösten mukaisesti.
Tällaisissa tapauksissa johtavan valvontaviranomaisen olisi oikeusvaikutuksia tuottavia toimenpiteitä – hallinnolliset sakot mukaan luettuina – toteuttaessaan otettava mahdollisimman kattavasti huomioon sen valvontaviranomaisen näkemykset, jolle valitus on osoitettu ja jolla olisi oltava edelleen toimivalta suorittaa mitä tahansa tutkimuksia oman jäsenvaltionsa alueella yhteistyössä johtavan valvontaviranomaisen kanssa.

- = -

(135) Olisi perustettava yhdenmukaisuusmekanismi valvontaviranomaisten keskinäistä yhteistyötä varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen kaikkialla unionissa.
Tätä mekanismia olisi sovellettava erityisesti silloin kun valvontaviranomainen aikoo hyväksyä oikeusvaikutuksia tuottavan toimenpiteen sellaisiin käsittelytoimiin liittyen, jotka vaikuttavat olennaisella tavalla merkittävään määrään useissa eri jäsenvaltioissa olevia rekisteröityjä.
Sitä olisi sovellettava myös silloin kun joku asianomainen valvontaviranomainen tai komissio pyytää tällaisen asian käsittelyä yhdenmukaisuusmekanismin puitteissa.
Tämä mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla.

- = -

(139) Tämän asetuksen johdonmukaisen soveltamisen edistämiseksi tietosuojaneuvosto olisi perustettava riippumattomaksi unionin elimeksi.
Jotta tietosuojaneuvosto voisi täyttää tavoitteensa, sillä olisi oltava oikeushenkilöllisyys.
Tietosuojaneuvostoa olisi edustettava sen puheenjohtaja.
Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä.
Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu tai näiden edustajat.
Komission olisi osallistuttava tietosuojaneuvoston toimintaan ilman äänioikeutta ja Euroopan tietosuojavaltuutetulla olisi oltava erityinen äänioikeus.
Tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle etenkin tietosuojan tasosta kolmansissa maissa ja kansainvälisissä järjestöissä sekä tukemalla valvontaviranomaisten yhteistyötä unionissa.
Tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.

- = -

(153) Jäsenvaltioiden lainsäädännössä olisi sovitettava yhteen sananvapautta ja tiedonvälityksen vapautta, muun muassa journalistista, akateemista, taiteellista ja kirjallista ilmaisua, koskevat säännöt ja tämän asetuksen mukainen oikeus henkilötietojen suojaan.
Eräiden tämän asetuksen säännösten noudattamista koskevia poikkeuksia tai vapautuksia olisi tarvittaessa myönnettävä yksinomaan journalistisia tarkoituksia tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettavaan henkilötietojen käsittelyyn, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan sekä oikeus sananvapauden ja tiedonvälityksen vapauteen perusoikeuskirjan 11 artiklassa vahvistetulla tavalla.
Tätä olisi sovellettava erityisesti audiovisuaalialalla sekä uutis- ja lehtiarkistoissa tapahtuvaan henkilötietojen käsittelyyn.
Jäsenvaltioiden olisi tätä varten hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja poikkeuksista näiden perusoikeuksien tasapainottamista varten.
Jäsenvaltioiden olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä, johdonmukaisuutta ja tietojenkäsittelyyn liittyviä erityistilanteita.
Jos nämä vapautukset tai poikkeukset vaihtelevat jäsenvaltiosta toiseen, olisi sovellettava rekisterinpitäjään sovellettavaa jäsenvaltion lainsäädäntöä.
Jotta voitaisiin ottaa huomioon sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa yhteiskunnissa, tähän vapauteen liittyviä käsitteitä, kuten journalismia, on tulkittava väljästi.

- = -

dal 2004 diritto e informatica