EPNAs (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (GDPR) 27.4.2016
EUTS
Ks. L sähköisen viestinnän palveluista 917/2014, TietosuojaL 1050/2018, L yksityisyyden suojasta työelämässä 759/2004 sekä LuottotietoL 527/2007. Ks. L henkilötietojen käsittelystä Rajavartiolaitoksessa 639/2019, L henkilötietojen käsittelystä poliisitoimessa 616/2019, L henkilötietojen käsittelystä Rikosseuraamuslaitoksessa 1301/2021 sekä L henkilötietojen käsittelystä Tullissa 650/2019. Ks. myös L lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa 657/2019 sekä L sosiaali- ja terveystietojen toissijaisesta käytöstä 552/2019.
Ks. KAs (EU) 611/2013 henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin EPNDir 2002/58/EY mukaisten henkilötietojen tietoturvaloukkausten ilmoittamiseen sovellettavista toimenpiteistä.
Ks. myös EPNAs (EU) 2018/1725 luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä EPNDir (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta.
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka
ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 artiklan,
ottavat huomioon Euroopan komission ehdotuksen,
sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,
ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (EUVL C 229, 31.7.2012, s. 90.),
ottavat huomioon alueiden komitean lausunnon (EUVL C 391, 18.12.2012, s. 127.),
noudattavat tavallista lainsäätämisjärjestystä (Euroopan parlamentin kanta, vahvistettu 12. maaliskuuta 2014 (ei vielä julkaistu virallisessa lehdessä), ja neuvoston ensimmäisen käsittelyn kanta, vahvistettu 8. huhtikuuta 2016 (ei vielä julkaistu virallisessa lehdessä). Euroopan parlamentin kanta, vahvistettu 14. huhtikuuta 2016.),
sekä katsovat seuraavaa:
(1) Luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Euroopan unionin perusoikeuskirjan, jäljempänä ’perusoikeuskirja’, 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.
(2) Sen vuoksi niissä periaatteissa ja säännöissä, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä, olisi heidän kansalaisuudestaan ja asuinpaikastaan riippumatta otettava huomioon heidän perusoikeutensa ja -vapautensa ja erityisesti oikeus henkilötietojen suojaan. Tämän asetuksen tarkoituksena on tukea vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä luonnollisten henkilöiden hyvinvointia.
(3) Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).) tarkoituksena on yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien ja -vapauksien suojelua ja varmistaa henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä.
(4) Henkilötietojen käsittely olisi suunniteltava niin, että se palvelee ihmiskuntaa. Oikeus henkilötietojen suojaan ei ole absoluuttinen; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin. Tässä asetuksessa kunnioitetaan kaikkia perusoikeuksia ja otetaan huomioon perusoikeuskirjassa tunnustetut vapaudet ja periaatteet sellaisina kuin ne ovat vahvistettuina perussopimuksissa, erityisesti jokaisen oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan, oikeus henkilötietojen suojaan, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja oikeudenmukaiseen oikeudenkäyntiin sekä oikeus kulttuuriseen, uskonnolliseen ja kielelliseen monimuotoisuuteen. (Oikaisu EUVL L 74 4.3.2021)
(5) Sisämarkkinoiden toiminnasta aiheutuva taloudellinen ja sosiaalinen yhdentyminen on huomattavasti lisännyt rajatylittäviä henkilötietojen siirtoja. Henkilötietojen vaihto unionin julkisten ja yksityisten toimijoiden, kuten luonnollisten henkilöiden, järjestöjen sekä yritysten, kesken on lisääntynyt. Unionin oikeudessa jäsenvaltioiden viranomaisia kehotetaan toimimaan yhteistyössä ja vaihtamaan keskenään henkilötietoja, jotta ne voisivat täyttää velvollisuutensa tai suorittaa tehtäviä jonkin toisen jäsenvaltion viranomaisten puolesta.
(6) Teknologian nopea kehitys ja globalisaatio ovat tuoneet henkilötietojen suojeluun uusia haasteita. Henkilötietoja jaetaan ja kerätään nyt merkittävän paljon enemmän. Teknologian ansiosta sekä yksityiset yritykset että viranomaiset voivat käyttää toiminnassaan henkilötietoja ennennäkemättömän laajasti. Myös luonnolliset henkilöt saattavat yhä useammin henkilötietojaan julkisuuteen maailmanlaajuisesti. Teknologia on mullistanut sekä talouden että sosiaalisen elämän. Tulevaisuudessa se helpottanee edelleen henkilötietojen vapaata kulkua unionissa ja tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille ja varmistaa samalla henkilötietojen korkeatasoisen suojan.
(7) Tällainen kehitys edellyttää vahvaa ja johdonmukaisempaa tietosuojakehystä unionissa, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Luonnollisten henkilöiden olisi voitava hallita omia henkilötietojaan. Oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen olisi vahvistettava luonnollisten henkilöiden ja talouden toimijoiden sekä viranomaisten kannalta. (Oikaisu EUVL L 74 4.3.2021)
(8) Kun tässä asetuksessa säädetään täsmennyksistä tai rajoituksista, joita jäsenvaltioiden lainsäädännössä voidaan tehdä asetuksen sääntöihin, jäsenvaltiot voivat – siinä määrin kuin johdonmukaisuus ja kansallisten säännösten ymmärrettävyys niille, joihin niitä sovelletaan, edellyttävät – sisällyttää tämän asetuksen osia kansalliseen lainsäädäntöönsä. (Oikaisu EUVL L 74 4.3.2021)
(9) Direktiivin 95/46/EY tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta eri puolilla unionia, oikeudellista epävarmuutta tai laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy luonnollisten henkilöiden suojelun kannalta huomattavia riskejä. Jäsenvaltioiden väliset eroavuudet henkilötietojen käsittelyssä suhteessa luonnollisten henkilöiden oikeuksien ja vapauksien suojeluun, erityisesti oikeudessa henkilötietojen suojaan, voivat estää henkilötietojen vapaan liikkuvuuden unionin alueella. Nämä eroavuudet voivat muodostua esteeksi unionin taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Tällaiset suojelun tasossa ilmenevät eroavuudet johtuvat direktiivin 95/46/EY täytäntöönpanossa ja soveltamisessa esiintyvistä eroista.
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. Henkilötietojen käsittelyn lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joilla tämän asetuksen sääntöjen soveltamista voitaisiin täsmentää entisestään. Yhdessä direktiivin 95/46/EY täytäntöön panevan, tietosuojaa koskevan yleisen ja horisontaalisen lainsäädännön kanssa jäsenvaltioilla on useita alakohtaisia lakeja aloilla, joilla tarvitaan yksityiskohtaisempia säännöksiä. Lisäksi tässä asetuksessa annetaan jäsenvaltioille liikkumavaraa sääntöjen täsmentämisen suhteen, mukaan lukien henkilötietojen erityisryhmien, jäljempänä ’arkaluontoiset tiedot’, käsittelyä koskevat säännöt. Näiltä osin tällä asetuksella ei suljeta pois jäsenvaltioiden lainsäädäntöä, jossa määritellään erityisiä käsittelytilanteita koskevat olosuhteet, mukaan lukien niiden edellytysten tarkempi määrittely, joiden täyttyessä henkilötietojen käsittely on laillista. (Oikaisu EUVL L 74 4.3.2021)
(11) Henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien sekä henkilötietoja käsittelevien ja henkilötietojen käsittelyä määrittävien velvollisuuksien vahvistamista ja täsmentämistä samoin kuin samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa. (Oikaisu EUVL L 74 4.3.2021)
(12) SEUT 16 artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat säännöt, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä, sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.
(13) Jotta voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys taloudellisille toimijoille, mukaan lukien mikroyritykset sekä pienet ja keskisuuret yritykset, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet sekä rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, jotta varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. Sisämarkkinoiden moitteeton toiminta edellyttää, että henkilötietojen vapaata liikkuvuutta unionin sisällä ei rajoiteta eikä kielletä syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä. Jotta voitaisiin huomioida mikroyritysten sekä pienten ja keskisuurten yritysten erityistilanne, tässä asetuksessa säädettäisiin selostetta koskevasta poikkeuksesta, jota sovellettaisiin organisaatioihin, joissa on alle 250 työntekijää. Lisäksi unionin toimielimiä ja elimiä sekä jäsenvaltioita ja niiden valvontaviranomaisia kehotetaan ottamaan tämän asetuksen soveltamisessa huomioon mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet. Mikroyritysten sekä pienten ja keskisuurten yritysten määritelmän olisi perustuttava komission suosituksen 2003/361/EY (Komission suositus, annettu 6 päivänä toukokuuta 2003, mikroyritysten sekä pienten ja keskisuurten yritysten määritelmästä (K(2003) 1422) (EUVL L 124, 20.5.2003, s. 36).) liitteessä olevaan 2 artiklaan. (Oikaisu EUVL L 74 4.3.2021)
(14) Tämän asetuksen tarjoaman suojelun olisi koskettava luonnollisia henkilöitä heidän kansalaisuudestaan ja asuinpaikastaan riippumatta, silloin kun on kyse henkilötietojen käsittelystä. Tämä asetus ei koske oikeushenkilöiden ja erityisesti oikeushenkilön muodossa perustettujen yritysten yksilöintitietojen käsittelyä, kuten oikeushenkilön nimeä, oikeudellista muotoa ja yhteystietoja. (Oikaisu EUVL L 74 4.3.2021)
(15) Sen estämiseksi, että syntyisi vakava riski säännösten kiertämisestä, luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava henkilötietojen automaattista käsittelyä sekä niiden manuaalista käsittelyä, jos henkilötiedot sisältyvät tai ne on tarkoitus sisällyttää rekisteriin. Tämän asetuksen soveltamisalaan ei ole tarkoitus sisällyttää sellaisia asiakirjoja tai asiakirjakokoelmia kansilehtineen, joita ei ole järjestetty tiettyjen perusteiden mukaisesti. (Oikaisu EUVL L 74 4.3.2021)
(16) Tämä asetus ei koske unionin oikeuden soveltamisalaan kuulumattomia perusoikeuksien ja -vapauksien suojeluun tai henkilötietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, kuten kansallista turvallisuutta koskevia toimia. Tämä asetus ei koske henkilötietojen käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimia.
(17) Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 (Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).). Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset olisi mukautettava tässä asetuksessa vahvistettujen periaatteiden ja sääntöjen mukaisiksi ja niitä olisi sovellettava tämä asetus huomioon ottaen. Vahvan ja johdonmukaisen tietosuojakehyksen luomiseksi unioniin asetukseen (EY) N:o 45/2001 olisi syytä tehdä tarpeelliset mukautukset tämän asetuksen hyväksymisen jälkeen, jotta sitä voitaisiin soveltaa samanaikaisesti tämän asetuksen kanssa. (Oikaisu EUVL L 74 4.3.2021)
(18) Tätä asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa ja joka näin ollen ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Henkilökohtaista tai kotitaloutta koskevaa toimintaa voi olla esimerkiksi kirjeenvaihto ja osoitteiston pitäminen sekä sosiaalinen verkostoituminen ja verkkotoiminta, joita harjoitetaan tällaisen henkilökohtaisen tai kotitaloutta koskevan toiminnan yhteydessä. Asetusta sovelletaan kuitenkin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, jotka tarjoavat keinot tällaiseen henkilökohtaiseen tai kotitaloutta koskevaan henkilötietojen käsittelyyn.
(19) Luonnollisten henkilöiden suojelusta tapauksissa, joissa toimivaltaiset viranomaiset käsittelevät henkilötietoja rikosten estämistä, selvittämistä, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, sekä näiden henkilötietojen vapaasta liikkuvuudesta on annettu erillinen unionin säädös. Tätä asetusta ei näin ollen olisi sovellettava näitä tarkoituksia varten tehtävään henkilötietojen käsittelyyn. Kun viranomaiset käsittelevät tämän asetuksen soveltamisalaan kuuluvia henkilötietoja näitä tarkoituksia varten, olisi sen sijaan sovellettava unionin erityissäädöstä eli Euroopan parlamentin ja neuvoston direktiiviä (EU) 2016/680 (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkintaa, paljastamista ja rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (ks. tämän virallisen lehden s. 89).). Jäsenvaltiot voivat antaa direktiivissä (EU) 2016/680 tarkoitetuille toimivaltaisille viranomaisille tehtäviä, joita ei välttämättä suoriteta rikosten estämistä, selvittämistä, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Tällöin muita tarkoituksia varten tehtävä henkilötietojen käsittely kuuluu tämän asetuksen soveltamisalaan, sikäli kuin se kuuluu unionin lainsäädännön soveltamisalaan. (Oikaisu EUVL L 74 4.3.2021)
Kyseisten toimivaltaisten viranomaisten suorittaman, tämän asetuksen soveltamisalaan kuuluviin tarkoituksiin suoritetun henkilötietojen käsittelyssä jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä mukauttaakseen tässä asetuksessa vahvistettujen sääntöjen soveltamista. Näillä säännöksillä voidaan määrittää täsmällisemmin kyseisten toimivaltaisten viranomaisten kyseisiin muihin tarkoituksiin suorittamaa henkilötietojen käsittelyä koskevat erityisvaatimukset ottaen huomioon kunkin jäsenvaltion oma perustuslaki, organisaatio ja hallintorakenne. Kun yksityisten elinten suorittama henkilötietojen käsittely kuuluu tämän asetuksen soveltamisalaan, tässä asetuksessa olisi annettava jäsenvaltioille mahdollisuus erityisin edellytyksin rajoittaa lainsäädäntötoimenpiteellä tiettyjä velvoitteita ja oikeuksia, silloin kun tällainen rajoittaminen on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide tiettyjen tärkeiden etujen, kuten yleisen turvallisuuden ja rikosten ennalta estämisen, tutkinnan, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon turvaamiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Tämä on asianmukaista esimerkiksi rahanpesun torjunnan tai rikosteknisten laboratorioiden toiminnan puitteissa. (Oikaisu EUVL L 74 4.3.2021)
(20) Vaikka tätä asetusta sovelletaan muun muassa tuomioistuinten ja muiden oikeusviranomaisten toimintaan, unionin oikeudessa tai jäsenvaltion lainsäädännössä voitaisiin täsmentää käsittelytoimia ja -menettelyitä tuomioistuinten ja muiden oikeusviranomaisten suorittaman henkilötietojen käsittelyn osalta. Valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata oikeuslaitoksen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien. Tällaisten tiedonkäsittelytoimien valvonta olisi voitava uskoa jäsenvaltion oikeusjärjestelmään kuuluville erityiselimille, joiden olisi erityisesti varmistettava tämän asetuksen sääntöjen noudattaminen, vahvistettava oikeuslaitoksen edustajien tietoisuutta niille tämän asetuksen mukaisesti kuuluvista velvoitteista ja käsiteltävä tällaisiin tiedonkäsittelytoimiin liittyviä valituksia.
(21) Tämä asetus ei vaikuta Euroopan parlamentin ja neuvoston direktiivin 2000/31/EY (Euroopan parlamentin ja neuvoston direktiivi 2000/31/EY, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (direktiivi sähköisestä kaupankäynnistä) (EYVL L 178, 17.7.2000, s. 1).) soveltamiseen eikä etenkään direktiivin 12–15 artiklassa säädettyihin välittäjinä toimivien palveluntarjoajien vastuuta koskeviin sääntöihin. Direktiivin tavoitteena on edistää sisämarkkinoiden moitteetonta toimintaa varmistamalla tietoyhteiskunnan palvelujen vapaa liikkuvuus jäsenvaltioiden välillä.
(22) Tätä asetusta olisi noudatettava kaikessa henkilötietojen käsittelyssä, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toiminnan yhteydessä, riippumatta siitä, tapahtuuko itse käsittely unionin alueella. Sijoittautuminen edellyttää tosiasiallista toimintaa ja pysyviä järjestelyjä. Sijoittautumisen oikeudellisella muodolla eli sillä, onko kyseessä sivuliike vai tytäryhtiö, jolla on oikeushenkilöys, ei ole tässä suhteessa ratkaisevaa merkitystä.
(23) Jotta luonnolliset henkilöt eivät jäisi ilman heille tämän asetuksen mukaisesti kuuluvaa suojaa, tätä asetusta olisi sovellettava kaikkien unionin alueella olevien rekisteröityjen henkilötietojen käsittelyyn, jos sitä suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin ja jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille, riippumatta siitä, liittyykö niihin maksu. Jotta voidaan määrittää, tarjoaako kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä tavaroita ja palveluja unionin alueella oleville rekisteröidyille, olisi varmistettava, onko ilmeistä, että rekisterinpitäjä tai henkilötietojen käsittelijä aikoo tarjota palveluja rekisteröidyille yhdessä tai useammassa jäsenvaltiossa unionissa. Koska pelkkä rekisterinpitäjän, henkilötietojen käsittelijän tai välittäjän unionissa olevan verkkosivuston, sähköpostiosoitteen tai muiden yhteystietojen saatavuus tai siinä kolmannessa maassa, johon rekisterinpitäjä on sijoittautunut, yleisesti käytettävän kielen käyttö ei riitä tällaisen aikomuksen varmistamiseksi, seikat, kuten yhdessä tai useammassa jäsenvaltiossa yleisesti käytettävän kielen tai valuutan käyttö ja mahdollisuus tilata tavaroita ja palveluja kyseisellä muulla kielellä tai maininta unionissa olevista asiakkaista tai käyttäjistä, voivat osoittaa olevan ilmeistä, että rekisterinpitäjä aikoo tarjota tavaroita ja palveluja rekisteröidyille unionissa. (Oikaisu EUVL L 74 4.3.2021)
(24) Tätä asetusta olisi sovellettava myös unionin alueella olevien rekisteröityjen henkilötietojen käsittelyyn, jos sitä suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin ja jos käsittely liittyy näiden rekisteröityjen käyttäytymisen seurantaan niiltä osin kuin käyttäytyminen tapahtuu unionissa. Jotta voidaan määrittää, voidaanko käsittelytoiminta katsoa rekisteröityjen käyttäytymisen seuraamisena, olisi varmistettava, seurataanko luonnollisia henkilöitä internetissä, mukaan lukien sellaisten henkilötietojen käsittelytekniikoiden mahdollinen myöhempi käyttö, jotka käsittävät tietyn yksilön profiloinnin erityisesti häntä koskevien päätösten tekemistä varten tai hänen henkilökohtaisten mieltymystensä, käyttäytymisensä ja asenteidensa analysointia tai ennakoimista varten.
(25) Jos kansainvälisen julkisoikeuden nojalla on sovellettava jäsenvaltion lakia, esimerkiksi jäsenvaltion diplomaatti- tai konsuliedustustossa, tätä asetusta olisi sovellettava myös sellaiseen rekisterinpitäjään, joka ei ole sijoittautunut unioniin.
(26) Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.
(27) Tätä asetusta ei sovelleta kuolleita henkilöitä koskeviin tietoihin. Jäsenvaltiot voivat säätää kuolleiden henkilöiden henkilötietojen käsittelyä koskevista säännöistä.
(28) Pseudonymisoinnin soveltaminen henkilötietoihin voi vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan. ”Pseudonymisoinnin” nimenomaisella sisällyttämisellä tähän asetukseen ei ole tarkoitus sulkea pois mitään muita tietosuojatoimenpiteitä.
(29) Pseudonymisointiin tähtäävien kannusteiden luomiseksi henkilötietoja käsiteltäessä samalle rekisterinpitäjälle olisi sallittava pseudonymisoimista koskevien toimenpiteiden toteuttaminen siten, että samalla sallitaan yleinen analyysi, kun kyseinen rekisterinpitäjä on toteuttanut tarvittavat tekniset ja organisatoriset toimenpiteet tämän asetuksen täytäntöönpanon varmistamiseksi kyseisen käsittelytapahtuman osalta ja varmistaen, että henkilötietojen yhdistämisen tiettyyn rekisteröityyn mahdollistavat lisätiedot säilytetään erillään. Henkilötietoja käsittelevän rekisterinpitäjän olisi ilmoitettava saman rekisterinpitäjän valtuutetut henkilöt.
(30) Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimien vastaanottamiin tietoihin. (Oikaisu EUVL L 74 4.3.2021)
(31) Viranomaisia, joille luovutetaan henkilötietoja lakisääteisen velvoitteen mukaisesti niiden julkisen tehtävän suorittamiseksi, kuten vero- ja tulliviranomaiset, talousrikosten tutkintayksiköt, riippumattomat hallintoviranomaiset tai rahoitusvalvontaviranomaiset, jotka vastaavat arvopaperimarkkinoiden sääntelystä ja valvonnasta, ei olisi pidettävä tietojen vastaanottajina niiden vastaanottaessa tietoja, jotka ovat tarpeen jonkin tietyn yleisen edun vuoksi tehtävän tiedustelun toteuttamiseksi unionin tai jäsenvaltion lainsäädännön mukaisesti. Viranomaisten lähettämien luovutuspyyntöjen olisi aina oltava kirjallisia, perusteltuja ja satunnaisia, eikä niiden pitäisi koskea kokonaista rekisteriä tai johtaa rekisterien yhdistämiseen. Näiden viranomaisten olisi käsiteltävä henkilötietoja sovellettavien tietosuojasääntöjen ja tietojenkäsittelyn tarkoitusten mukaisesti. (Oikaisu EUVL L 74 4.3.2021)
(32) Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten. Jos rekisteröidyn on annettava suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan.
(33) Usein tieteellisiä tutkimustarkoituksia varten tehtävän käsittelyn tarkoitusta ei ole mahdollista täysin määrittää siinä vaiheessa, kun henkilötietoja kerätään. Tästä syystä rekisteröityjen olisi voitava antaa suostumuksensa tietyille tieteellisen tutkimuksen aloille silloin, kun noudatetaan tieteellisen tutkimuksen vakiintuneita eettisiä standardeja. Rekisteröidyillä olisi oltava mahdollisuus antaa suostumuksensa ainoastaan tietyille tutkimusaloille tai tutkimushankkeiden osille siinä määrin kuin niiden tarkoitus sen mahdollistaa. (Oikaisu EUVL L 74 4.3.2021)
(34) Geneettiset tiedot olisi määriteltävä henkilötiedoiksi, jotka liittyvät luonnollisen henkilön perittyihin tai hankittuihin geneettisiin ominaisuuksiin ja jotka on saatu analysoimalla näytettä, joka on otettu kyseisestä luonnollisesta henkilöstä, erityisesti analysoimalla kromosomeja, DNA:ta tai RNA:ta tai muita vastaavia tietoja tarjoavaa tekijää. (Oikaisu EUVL L 74 4.3.2021)
(35) Terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoja rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta. Tähän kuuluvat luonnollista henkilöä koskevat tiedot, jotka on kerätty tämän rekisteröityessä Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU (Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45).) tarkoitettujen terveyspalvelujen saamista varten tai niiden tarjoamisen yhteydessä; luonnolliselle henkilölle annettu numero, symboli tai tunniste, jolla hänet voidaan tunnistaa yksiselitteisesti terveydenhuollon piirissä; kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, mukaan lukien geneettiset tiedot ja biologiset näytteet, sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, potilastiedoista tai lääketieteellisistä hoidoista sekä tieto rekisteröidyn fyysisestä tai lääketieteellisestä tilasta riippumatta siitä, mistä lähteestä tieto on saatu, esimerkiksi lääkäriltä tai muulta terveydenhuollon ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta tai diagnostisesta in vitro -testistä. (Oikaisu EUVL L 74 4.3.2021)
(36) Unioniin sijoittautuneen rekisterinpitäjän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään jossakin toisessa unioniin sijoittautuneen rekisterinpitäjän toimipaikassa. Tässä tapauksessa tämä toinen toimipaikka olisi katsottava päätoimipaikaksi. Se, sijaitseeko rekisterinpitäjän päätoimipaikka unionissa, olisi määritettävä objektiivisten kriteerien perusteella ja sen yhteydessä olisi otettava huomioon tosiasialliset hallintotoimet, joiden yhteydessä tehdään kiinteässä toimipaikassa toteutettavan käsittelyn tarkoituksia ja keinoja koskevat tärkeimmät päätökset. Tällaisena kriteerinä ei saisi olla se, toteutetaanko varsinainen henkilötietojen käsittely tuossa paikassa. Henkilötietojen käsittelyä tai käsittelytoimia varten käytettävien teknisten välineiden ja teknologioiden olemassaolo ja käyttö eivät itsessään osoita päätoimipaikkaa eivätkä ne sen vuoksi ole ratkaiseva kriteeri päätoimipaikan määrittämisessä. Henkilötietojen käsittelijän päätoimipaikan olisi oltava sen keskushallinnon sijaintipaikka unionissa ja jos sillä ei ole keskushallintoa unionissa, paikka, jossa pääasiallinen käsittelytoiminta unionissa tapahtuu. Tapauksissa, joihin liittyy sekä rekisterinpitäjä että henkilötietojen käsittelijä, toimivaltaisena johtavana valvontaviranomaisena olisi edelleen oltava sen jäsenvaltion valvontaviranomainen, jossa on rekisterinpitäjän päätoimipaikka, mutta henkilötietojen käsittelijän valvontaviranomainen olisi katsottava osallistuvaksi valvontaviranomaiseksi ja kyseisen henkilötietojen käsittelijän valvontaviranomaisen olisi osallistuttava tässä asetuksessa säädettyyn yhteistyömenettelyyn. Joka tapauksessa valvontaviranomaisia siinä jäsenvaltiossa jossa tai niissä jäsenvaltioissa joissa henkilötietojen käsittelijällä on yksi tai useampi toimipaikka, ei olisi katsottava osallistuviksi valvontaviranomaisiksi silloin, kun päätösehdotus koskee ainoastaan rekisterinpitäjää. Jos konserni suorittaa käsittelyn, määräysvaltaa käyttävän yrityksen päätoimipaikkaa olisi pidettävä konsernin päätoimipaikkana, paitsi jos jokin muu yritys määrittelee käsittelyn tarkoitukset ja keinot. (Oikaisu EUVL L 74 4.3.2021)
(37) Konsernin olisi katettava sekä määräysvaltaa käyttävä yritys että sen määräysvallassa olevat yritykset niin, että määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen sääntöjen perusteella tai jolla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt. Yritys, joka hallinnoi henkilötietojen käsittelyä siihen yhteydessä olevissa yrityksissä, olisi voitava katsoa konserniksi.
(38) Erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin lasten henkilötietojen käyttämistä markkinointitarkoituksiin tai henkilö- tai käyttäjäprofiilien luomiseen ja lapsia koskevien henkilötietojen keräämistä, kun käytetään suoraan lapsille tarjottuja palveluja. Vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle.
(39) Henkilötietojen käsittelyn olisi oltava laillista ja asianmukaista. Luonnollisille henkilöille olisi oltava läpinäkyvää, että heitä koskevia henkilötietoja kerätään ja käytetään ja niihin tutustutaan tai niitä käsitellään muulla tavoin sekä missä määrin henkilötietoja käsitellään tai on määrä käsitellä. Läpinäkyvyyden periaate edellyttää, että kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröidyille annettavia tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista sekä lisätietoja, joilla varmistetaan kyseisiä luonnollisia henkilöitä koskevien henkilötietojen käsittelyn asianmukaisuus ja läpinäkyvyys, sekä heidän oikeuttaan saada vahvistus ja tieto heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn tarkoitusten olisi oltava nimenomaisia ja laillisia ja ne olisi määriteltävä henkilötietojen keruun yhteydessä. Henkilötietojen olisi oltava riittäviä ja olennaisia sekä rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että varmistetaan, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Olisi toteutettava kaikki kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö. (Oikaisu EUVL L 74 4.3.2021)
(40) Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen rekisteröidyn suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien tarve noudattaa rekisterinpitäjää koskevaa lakisääteistä velvoitetta tai tarve panna täytäntöön sopimus, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
(41) Aina kun tässä asetuksessa viitataan käsittelyn oikeusperusteeseen tai lainsäädäntötoimeen, siinä ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä, sanotun kuitenkaan rajoittamatta asianomaisen jäsenvaltion perustuslaillisen järjestyksen edellyttämien vaatimusten soveltamista. Kyseisen käsittelyn oikeusperusteen tai lainsäädäntötoimen olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen olisi oltava ennakoitavissa henkilöille, joita se koskee, Euroopan unionin tuomioistuimen, jäljempänä ’unionin tuomioistuin’, ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti. (Oikaisu EUVL L 74 4.3.2021)
(42) Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Neuvoston direktiivin 93/13/ETY (Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29).) mukaisesti rekisterinpitäjän ennalta muotoilema ilmoitus suostumuksesta olisi annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä eikä siihen pitäisi sisältyä kohtuuttomia ehtoja. Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän identiteetti ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. (Oikaisu EUVL L 74 4.3.2021)
(43) Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa, tai jos sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi.
(44) Käsittely olisi laillista silloin, kun se on tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten. (Oikaisu EUVL L 74 4.3.2021)
(45) Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. … Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava viranomainen tai muu julkisoikeudellinen luonnollinen henkilö tai oikeushenkilö, tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, kuten esimerkiksi ammatillinen yhteenliittymä, mikäli se on perusteltua yleistä etua koskevien syiden, kuten terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten. (Oikaisu EUVL L 74 4.3.2021)
(46) Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella, silloin kun käsittelylle ei ole muuta ilmeistä oikeusperustetta. Tietyntyyppinen käsittely voi palvella sekä yleistä etua että rekisteröidyn elintärkeää etua koskevia tärkeitä syitä esimerkiksi silloin, kun tietojenkäsittely on tärkeää humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä. (Oikaisu EUVL L 74 4.3.2021)
(47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn. Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.
(48) Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Tämä ei vaikuta yleisperiaatteisiin, joita sovelletaan henkilötietojen siirtoon konsernin sisällä kolmannessa maassa sijaitsevaan yritykseen.
(49) On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvät CERT-ryhmät (Computer Emergency Response Teams), tietoturvaloukkauksiin reagoivat ja niitä tutkivat CSIRT-toimijat (Computer Security Incident Response Teams), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.
(50) Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi. Myös unionin oikeuden tai jäsenvaltion lainsäädännön tarjoama käsittelyn oikeusperuste henkilötietojen käsittelylle voi muodostaa käsittelyn oikeusperusteen myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.
Jos rekisteröity on antanut suostumuksensa tai käsittely perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen, jolla pyritään turvaamaan erityisesti yleiseen julkiseen etuun liittyviä tärkeitä tavoitteita, rekisterinpitäjälle olisi sallittava henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Kaikissa tapauksissa olisi kuitenkin varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja varmistettava erityisesti, että rekisteröidylle ilmoitetaan näistä muista tarkoituksista ja hänen oikeuksistaan, kuten oikeudesta vastustaa henkilötietojenkäsittelyä. Rekisterinpitäjän oikeutetun edun mukaiseksi on katsottava se, että tämä ilmoittaa mahdollisista rikollisista teoista tai yleiseen turvallisuuteen kohdistuvista uhkista ja toimittaa olennaiset henkilötiedot toimivaltaisille viranomaisille yksittäistapauksissa tai useissa tapauksissa, jotka liittyvät samaan rikolliseen tekoon tai yleiseen turvallisuuteen kohdistuvaan uhkaan. Tällaisen tietojen siirron rekisterinpitäjän oikeutetun edun nimissä tai henkilötietojen myöhemmän käsittelyn olisi kuitenkin oltava kiellettyä, mikäli käsittely on ristiriidassa johonkin oikeudelliseen, ammatilliseen tai muuhun sitovaan salassapitovelvollisuuteen nähden.
(51) Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Tällaisiin henkilötietoihin olisi sisällyttävä myös henkilötiedot, joista ilmenee rotu tai etninen alkuperä. Ilmaisun ”rotu” käyttäminen tässä asetuksessa ei kuitenkaan tarkoita sitä, että unioni hyväksyisi teorioita, joilla yritetään määrittää eri ihmisrotujen olemassaolo. Valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen. Tällaisia henkilötietoja ei pitäisi käsitellä, ellei käsittelyä sallita tässä asetuksessa vahvistetuissa erityistapauksissa, ottaen huomioon, että jäsenvaltioiden lainsäädännössä voidaan vahvistaa erityisiä tietosuojasäännöksiä tämän asetuksen sääntöjen soveltamisen mukauttamiseksi lakisääteisen velvoitteen noudattamista tai yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Tällaista käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa tai silloin, kun kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.
(52) Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön ja tapahtuu asianmukaisia suojatoimia soveltaen, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden vuoksi, joita ovat erityisesti henkilötietojen käsittely työlainsäädännön ja sosiaalista suojelua koskevan lainsäädännön aloilla, eläkkeet mukaan luettuina, terveysturvaa varten, valvonta- ja hälytystarkoituksiin sekä tartuntatautien ja muiden vakavien terveysuhkien estämiseksi tai hallitsemiseksi. Tällainen poikkeus voidaan tehdä terveydenhuoltoon liittyvien syiden vuoksi, muun muassa kansanterveyden ja terveydenhuoltopalvelujen hallinnon alalla, erityisesti laadun ja kustannustehokkuuden takaamiseksi sairausvakuutustoiminnassa etuuksia ja palveluja koskevien vaatimusten käsittelymenettelyssä tai yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Tällaisten henkilötietojen käsittely olisi myös sallittava poikkeuksellisesti, jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi oikeudellisessa menettelyssä tai hallinnollisessa tai tuomioistuimen ulkopuolisessa menettelyssä. (Oikaisu EUVL L 74 4.3.2021)
(53) Erityisiin henkilötietoryhmiin kuuluvia, erityissuojelua tarvitsevia henkilötietoja olisi voitava käsitellä vain terveyteen liittyvien syiden perusteella silloin, kun se on tarpeen luonnollisten henkilöiden ja koko yhteiskunnan etua palvelevien tarkoitusten toteuttamiseksi, erityisesti terveyden- tai sosiaalihuollon palvelujen ja järjestelmien hallinnon yhteydessä, mukaan lukien hallinnon ja keskeisten kansallisten terveysviranomaisten suorittama tällaisten tietojen käsittely terveydenhuoltotai sosiaalihuoltojärjestelmän laadun valvomiseksi, hallintotietoja ja yleistä kansallista ja paikallista valvontaa varten … Näin ollen tässä asetuksessa olisi säädettävä erityisiin henkilötietoryhmiin kuuluvien terveyttä koskevien henkilötietojen käsittelyn yhdenmukaisista ehdoista erityistarpeiden osalta erityisesti, kun henkilö, jolla on lakisääteinen salassapitovelvollisuus, käsittelee tällaisia tietoja tiettyjä terveyteen liittyviä tarkoituksia varten. … Tämän ei kuitenkaan pitäisi saada vaikeuttaa henkilötietojen vapaata liikkuvuutta unionissa niissä tapauksissa, joissa näitä ehtoja sovelletaan kyseisten henkilötietojen rajatylittävään käsittelyyn. (Oikaisu EUVL L 74 4.3.2021)
(54) Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saattaa olla tarpeen käsitellä ilman rekisteröidyn suostumusta kansanterveyteen liittyvää yleistä etua koskevista syistä. … Tässä yhteydessä ’kansanterveydellä’ olisi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1338/2008 (1) esitetyn määritelmän mukaisesti tarkoitettava kaikkia niitä osatekijöitä, jotka koskevat terveyttä, erityisesti terveydentilaa, myös sairastuvuutta ja vammaisuutta, terveydentilaan vaikuttavia tekijöitä, terveydenhuollon tarvetta, terveydenhuoltoon myönnettyjä resursseja, terveydenhuollon tarjontaa ja yleistä saatavuutta, terveydenhuollon menoja ja rahoitusta sekä kuolleisuuden syitä.Tällainen yleistä etua koskevista syistä suoritettava terveystietojen käsittely ei saisi johtaa siihen, että henkilötietoja käsitellään muita tarkoituksia varten kolmansien osapuolten, kuten työnantajien tai vakuutusyhtiöiden ja pankkien, toimesta. (Oikaisu EUVL L 74 4.3.2021)
(55) Myös viranomaisten suorittama henkilötietojen käsittely valtiosääntöoikeudessa ja kansainvälisessä julkisoikeudessa säädettyjen virallisesti tunnustettujen uskonnollisten yhdistysten päämäärien toteuttamiseksi toteutetaan yleisen edun perusteella.
(56) Jos demokraattisen järjestelmän vaaleihin liittyvä toiminta tietyissä jäsenvaltioissa edellyttää, että poliittiset puolueet keräävät henkilötietoja henkilöiden poliittisista mielipiteistä, kyseisten tietojen käsittely voidaan sallia yleisen edun vuoksi sillä edellytyksellä, että otetaan käyttöön asianmukaiset suojatoimet.
(57) Jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjää ei saisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä. Rekisterinpitäjän ei pitäisi kuitenkaan kieltäytyä vastaanottamasta rekisteröidyn antamia lisätietoja tämän oikeuksien käyttämisen tukemiseksi. Tunnistamiseen olisi sisällytettävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.
(58) Läpinäkyvyyden periaatteen mukaisesti yleisölle tai rekisteröidylle tarkoitettujen tietojen on oltava tiiviisti esitettyjä sekä helposti saatavilla ja ymmärrettäviä, ne on ilmaistava selkeällä ja yksinkertaisella kielellä ja lisäksi tarvittaessa ne on havainnollistettava. Tällaiset tiedot voidaan antaa sähköisessä muodossa esimerkiksi internetsivuston kautta silloin kun ne on tarkoitettu yleisölle. Tämä on erityisen tärkeää tilanteissa, joissa rekisteröidyn on toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten; tällainen tilanne voi olla esimerkiksi verkkomainonnan kaltaisissa yhteyksissä. Koska lapset tarvitsevat erityistä suojelua, kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä.
(59) Olisi säädettävä yksityiskohtaisesti siitä, miten tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttämistä voitaisiin helpottaa, mukaan lukien mekanismit, joilla rekisteröity voi erityisesti pyytää oikeutta saada tutustua henkilötietoihin ja mahdollisuuksien mukaan saada ne maksutta, ja esittää henkilötietojen oikaisemista tai poistamista koskevan pyynnön sekä käyttää oikeuttaan vastustaa henkilötietojen käsittelyä. Rekisterinpitäjän olisi myös tarjottava keinot esittää tällaiset pyynnöt sähköisesti erityisesti silloin, kun henkilötietoja käsitellään sähköisesti. Rekisterinpitäjä olisi velvoitettava vastaamaan rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perustelemaan kieltäytymisensä siinä tapauksessa, että rekisterinpitäjä ei aio noudattaa tällaista pyyntöä. (Oikaisu EUVL L 74 4.3.2021)
(60) Asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista. Rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. Rekisteröidylle olisi myös ilmoitettava profiloinnin olemassaolosta ja sen seurauksista. Jos henkilötietoja kerätään rekisteröidyltä, tälle olisi lisäksi ilmoitettava, onko hänen pakko toimittaa henkilötiedot, sekä kieltäytymisen seurauksista. Nämä tiedot voidaan antaa yhdessä vakiomuotoisten kuvakkeiden kanssa, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden olisi oltava koneellisesti luettavissa.
(61) Rekisteröidylle olisi ilmoitettava häntä koskevien henkilötietojen käsittelystä tietojen keruun yhteydessä tai, jos henkilötiedot on saatu jostain muusta lähteestä, kohtuullisen ajan kuluessa tietojen keruusta, tapaukseen liittyvät olosuhteet huomioon ottaen. Jos henkilötietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun henkilötietoja luovutetaan ensimmäisen kerran. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja muuhun tarkoitukseen kuin siihen, jota varten ne on kerätty, rekisterinpitäjän olisi toimitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tiedot tästä muusta tarkoituksesta sekä muut tarvittavat tiedot. Jos rekisteröidylle ei ole voitu ilmoittaa henkilötietojen alkuperää johtuen siitä, että on käytetty useita lähteitä, olisi annettava yleiset tiedot.
(62) Ei kuitenkaan tarvitse vaatia tietojen antamista silloin kun rekisteröidyllä jo on tämä tieto, kun lainsäädännössä nimenomaisesti säädetään henkilötietojen tallentamisesta tai luovuttamisesta tai kun tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa. Viimeksi mainittu tilanne liittyy erityisesti tapauksiin, jossa käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Tällöin olisi voitava ottaa huomioon rekisteröityjen määrä, tietojen ikä ja käyttöön otetut asianmukaiset suojatoimet. (Oikaisu EUVL L 74 4.3.2021)
(63) Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Tähän sisältyy rekisteröidyn oikeus saada pääsy omiin terveystietoihinsa, kuten potilastietoihin, joihin on koottu esimerkiksi diagnoosit, tutkimustulokset, hoitavien lääkärien arviot ja muut hoitoa tai muita toimenpiteitä koskevat tiedot. Jokaisella rekisteröidyllä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Mikäli mahdollista, rekisterinpitäjän olisi voitava tarjota etäpääsy suojattuun järjestelmään, jossa rekisteröity saa suoran pääsyn henkilötietoihinsa. Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai teollis- ja tekijänoikeudet ja erityisesti ohjelmistoja suojaavat tekijänoikeudet. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjä olisi voitava pyytää rekisteröityä täsmentämään riittävällä tavalla ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee. (Oikaisu EUVL L 74 4.3.2021)
(64) Rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalvelujen ja verkkotunnistetietojen yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten.
(65) Rekisteröidyllä olisi oltava oikeus saada häntä koskevat virheelliset henkilötiedot oikaistuiksi ja oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta tai jäsenvaltion lainsäädäntöä. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on perunut tietojenkäsittelyä koskevan suostumuksensa tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, eikä ole ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä. Rekisteröidyn olisi voitava käyttää tätä oikeutta siitä huolimatta, että hän ei enää ole lapsi. Henkilötietojen edelleen säilyttämisen tulisi kuitenkin olla lainmukaista, jos se on tarpeen sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi, lakisääteisen velvoitteen noudattamiseksi, yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, kansanterveyteen liittyvää yleistä etua koskevista syistä, yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten tai oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. (Oikaisu EUVL L 74 4.3.2021)
(66) Jotta voitaisiin vahvistaa ”oikeutta tulla unohdetuksi” verkkoympäristössä, oikeutta tietojen poistamiseen olisi laajennettava siten, että henkilötiedot julkistanut rekisterinpitäjä olisi velvollinen ilmoittamaan näitä henkilötietoja käsitteleville rekisterinpitäjille, että kyseisten rekisterinpitäjien on poistettava kaikki näihin henkilötietoihin liittyvät linkit, jäljennökset ja kopiot. Näin menetellessään rekisterinpitäjän olisi toteutettava kohtuulliset toimenpiteet, mukaan lukien tekniset toimenpiteet, ottaen huomioon käytettävissä oleva teknologia ja keinot, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille rekisteröidyn pyynnöstä. (Oikaisu EUVL L 74 4.3.2021)
(67) Henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.
(68) Jotta voitaisiin edelleen vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan silloin, kun henkilötietojen käsittely suoritetaan automaattisesti, rekisteröidyn olisi myös voitava saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirtämisen. Tätä oikeutta olisi sovellettava silloin, kun rekisteröity on antanut henkilötiedot oman suostumuksensa perusteella tai kun käsittely on tarpeen sopimuksen täytäntöönpanemiseksi. Sitä ei sovelleta silloin, kun käsittely perustuu muuhun lailliseen perusteeseen kuin suostumukseen tai sopimukseen. Tämä oikeus on luonteeltaan sellainen, ettei sitä olisi käytettävä niitä rekisterinpitäjiä vastaan, joiden julkisiin velvollisuuksiin henkilötietojen käsittely kuuluu. Siksi sitä ei pitäisi soveltaa silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. Rekisteröidyn oikeus siirtää tai vastaanottaa häntä koskevia henkilötietoja ei saisi luoda rekisterinpitäjille velvoitetta hyväksyä tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia. Jos tietyssä henkilötietoja sisältävässä tietojoukossa tiedot koskevat useampia kuin yhtä rekisteröityä, oikeus vastaanottaa henkilötietoja ei saisi rajoittaa toisten rekisteröityjen tämän asetuksen mukaisia oikeuksia ja vapauksia. Tämä oikeus ei saisi myöskään rajoittaa rekisteröidyn oikeutta saada henkilötiedot poistetuiksi eikä tämän asetuksen mukaisia rajoituksia kyseiseen oikeuteen, ja se ei etenkään saisi merkitä niiden rekisteröityä koskevien henkilötietojen poistamista, jotka tämä on antanut sopimuksen täytäntöönpanoa varten, siinä määrin ja niin kauan kuin henkilötiedot ovat tarpeen sopimuksen täytäntöönpanoa varten. Kun se on teknisesti mahdollista, rekisteröidyllä pitäisi olla oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle.
(69) Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen vuoksi, rekisteröidyllä olisi kuitenkin oltava oikeus vastustaa hänen nimenomaiseen tilanteeseensa liittyvien henkilötietojen käsittelyä. Rekisterinpitäjän olisi osoitettava, että rekisterinpitäjän huomattavan tärkeät oikeutetut edut voivat syrjäyttää rekisteröidyn edut tai perusoikeudet ja -vapaudet. (Oikaisu EUVL L 74 4.3.2021)
(70) Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä olisi oltava oikeus milloin tahansa ja maksutta vastustaa käsittelyä, mukaan lukien profilointia niiltä osin kuin se liittyy suoramarkkinointiin, olipa kyse sitten alkuperäisestä tai myöhemmästä käsittelystä. Tämä oikeus olisi nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
(71) Rekisteröidyllä olisi oltava oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka saattaa sisältää hänen henkilökohtaisia ominaisuuksiaan arvioivan toimenpiteen, joka perustuu yksinomaan automaattiseen tietojenkäsittelyyn ja josta hänelle aiheutuu oikeudellisia vaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin perusteella saatu hylkäävä päätös, joihin ei ole liittynyt ihmisen osallistumista. Kyseinen tietojenkäsittely sisältää ”profiloinnin”, joka tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla. Kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien petosten ja veronkierron valvomiseksi ja ehkäisemiseksi unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standardien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin tulisi sisältyä käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen. (Oikaisu EUVL L 74 4.3.2021)
Rekisteröityä koskevan asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys, rekisterinpitäjän olisi käytettävä profiloinnissa asianmukaisia matemaattisia tai tilastollisia menetelmiä, toteutettava teknisiä ja organisatorisia toimenpiteitä, jotka soveltuvat erityisesti sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan, sekä turvattava henkilötiedot siten, että rekisteröidyn etuihin ja oikeuksiin kohdistuvat mahdolliset riskit otetaan huomioon ja estetään muun muassa luonnollisten henkilöiden syrjintä rodun tai etnisen alkuperän, poliittisten mielipiteiden, uskonnon tai vakaumuksen, ammattiliittoon kuulumisen, geneettisen tilan, terveydentilan tai seksuaalisen suuntautumisen perusteella taikka käsittely, jonka johdosta toteutetaan toimenpiteitä, joilla on tällaisia seurauksia. Henkilötietojen erityisluokitteluun perustuva automaattinen päätöksenteko ja profilointi olisi sallittava vain erityistilanteissa. (Oikaisu EUVL L 127 23.5.2018)
(72) Profilointiin sovelletaan tämän asetuksen sääntöjä henkilötietojen käsittelystä, kuten säännöt käsittelyn lainmukaisuudesta ja henkilötietojen käsittelyä koskevista periaatteista. Tällä asetuksella perustetulla Euroopan tietosuojaneuvostolla, jäljempänä ’tietosuojaneuvosto’, olisi oltava mahdollisuus antaa ohjausta tässä yhteydessä. (Oikaisu EUVL L 74 4.3.2021)
(73) Rajoituksia, jotka koskevat erityisiä periaatteita ja oikeutta saada ilmoitus tietojenkäsittelystä, pääsyä tietoihin ja oikeutta oikaista tai poistaa henkilötietoja ja oikeutta siirtää tiedot järjestelmästä toiseen, oikeutta vastustaa tietojenkäsittelyä, profilointiin perustuvia päätöksiä sekä henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle sekä eräitä näihin liittyviä rekisterinpitäjän velvollisuuksia, voidaan asettaa unionin oikeudessa tai jäsenvaltion lainsäädännössä siltä osin kuin ne ovat välttämättömiä ja oikeasuhtaisia demokraattisessa yhteiskunnassa yleisen turvallisuuden takaamiseksi, muun muassa ihmishenkien suojelemiseksi erityisesti ihmisen aiheuttaman katastrofin tai luonnonkatastrofin yhteydessä taikka rikosten ennalta ehkäisemiseksi, tutkintaa tai syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta tai tiettyjen säänneltyjen ammattien ammattieettisten periaatteiden rikkomuksilta tai muiden unionin tai jäsenvaltion tärkeiden yleistä etua koskevien tavoitteiden suojelemiseksi tai näihin kohdistuvien uhkien ehkäisemiseksi, erityisesti unionin tai jäsenvaltion tärkeiden taloudellisten tai rahoitusta koskevien etujen vuoksi, yleiseen etuun liittyvistä syistä pidettävien julkisten rekisterien pitämiseksi, arkistoitujen henkilötietojen edelleen käsittelemiseksi, jotta saadaan yksityiskohtaista tietoa poliittisesta käyttäytymisestä entisten totalitaaristen valtioiden järjestelmissä, tai rekisteröidyn suojelemiseksi tai muille kuuluvien oikeuksien ja vapauksien, muun muassa sosiaaliturvan, kansanterveyden ja humanitaaristen tarkoitusten, turvaamiseksi. Näiden rajoitusten olisi oltava perusoikeuskirjassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyssä eurooppalaisessa yleissopimuksessa vahvistettujen vaatimusten mukaisia. (Oikaisu EUVL L 74 4.3.2021)
(74) Olisi vahvistettava rekisterinpitäjän vastuu tämän suorittamasta tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Erityisesti rekisterinpitäjällä olisi oltava velvollisuus toteuttaa asianmukaisia ja tehokkaita toimenpiteitä, ja sen olisi voitava osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia, toimenpiteiden tehokkuus mukaan luettuna. Näitä toimenpiteitä toteutettaessa olisi otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.
(75) Nämä todennäköisyydeltään ja vakavuudeltaan vaihtelevat luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit voivat aiheutua henkilötietojen käsittelystä, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, erityisesti jos käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetykseen, pseudonymisoinnin luvattomaan purkautumiseen tai aiheuttaa muuta merkittävää taloudellista tai sosiaalista haittaa; jos rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä hallitsemasta omia henkilötietojaan; jos käsitellään sellaisia henkilötietoja, jotka paljastavat rodun tai etnisen alkuperän, poliittisia mielipiteitä, uskonnollisen tai filosofisen vakaumuksen ja ammattiliiton jäsenyyden, tai käsitellään geneettisiä tietoja tai terveyttä ja seksuaalista käyttäytymistä tai rikostuomioita ja rikoksia tai niihin liittyviä turvaamistoimenpiteitä koskevia tietoja; jos arvioidaan henkilökohtaisia ominaisuuksia, erityisesti jos kyseessä on henkilöprofiilin luomista tai käyttämistä varten suoritettu analyysi tai ennakointi työsuorituksesta, taloudellisesta tilanteesta, terveydestä, henkilökohtaisista mieltymyksistä tai kiinnostuksen kohteista, luotettavuudesta tai käyttäytymisestä, sijainnista tai liikkeistä; jos käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja; tai jos käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää. (Oikaisu EUVL L 74 4.3.2021)
(76) Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määriteltävä tietojenkäsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin riski tai korkea riski.
(77) Asianmukaisten toimenpiteiden toteuttamista koskevaa opastusta ja opastusta sen osoittamiseksi, onko rekisterinpitäjä tai henkilötietojen käsittelijä täyttänyt vaatimukset, erityisesti tietojenkäsittelyyn liittyvien riskien tunnistamisen ja niiden alkuperän, luonteen, todennäköisyyden ja vakavuuden arvioinnissa sekä riskien minimoinnin kannalta parhaiden käytäntöjen määrittelyssä, voitaisiin antaa erityisesti hyväksyttyjen käytännesääntöjen, hyväksyttyjen sertifiointien tai tietosuojaneuvoston suuntaviivojen avulla taikka tietosuojavastaavan tiedotteilla. Tietosuojaneuvosto voi myös antaa suuntaviivoja käsittelytoimista, joiden ei katsota todennäköisesti aiheuttavan suurta riskiä luonnollisten henkilöiden oikeuksille ja vapauksille, ja mainita, mitkä toimenpiteet voivat tällaisissa tilanteissa olla riittäviä tällaisen riskin torjumiseksi. (Oikaisu EUVL L 74 4.3.2021)
(78) Luonnollisten henkilöiden oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että asetuksessa säädetyt vaatimukset täyttyvät. Jotta voidaan osoittaa, että asetusta on noudatettu, rekisterinpitäjän olisi hyväksyttävä sisäisiä menettelyjä ja toteutettava toimenpiteet, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Tällaisia toimenpiteitä voisivat olla muun muassa henkilötietojen käsittelyn minimointi, henkilötietojen pseudonymisointi niin pian kuin se on mahdollista, läpinäkyvyyden toteuttaminen henkilötietojen käsittelyssä ja sen tarkoituksissa, sen mahdollistaminen, että rekisteröity voi valvoa tietojenkäsittelyä ja että rekisterinpitäjä voi luoda ja parantaa turvaominaisuuksia. Kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä sovelluksia, palveluja ja tuotteita, jotka perustuvat henkilötietojen käsittelyyn tai käsittelevät henkilötietoja tehtävänsä täyttämiseksi, tuotteiden, palvelujen ja sovellusten tuottajia olisi kannustettava ottamaan huomioon oikeus tietosuojaan niiden kehittäessä ja suunnitellessa tällaisia tuotteita, palveluja ja sovelluksia ja varmistamaan uusin tekniikka asianmukaisesti huomioon ottaen, että rekisterinpitäjät ja henkilötietojen käsittelijät pystyvät täyttämään tietosuojavelvoitteensa. Sisäänrakennetun ja oletusarvoisen tietosuojan periaatteet olisi myös huomioitava julkisten tarjouskilpailujen yhteydessä. (Oikaisu EUVL L 74 4.3.2021)
(79) Rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttää, että tässä asetuksessa säädetyt vastuualueet jaetaan selkeästi, myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta.
(80) Jos unionin alueella olevien rekisteröityjen henkilötietoja käsittelee rekisterinpitäjä tai henkilötietojen käsittelijä, joka ei ole sijoittautunut unioniin, ja käsittely liittyy tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionin alueella riippumatta siitä, edellytetäänkö rekisteröidyltä maksua, tai heidän käyttäytymisensä seurantaan niiltä osin kuin käyttäytyminen tapahtuu unionissa, rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimettävä edustaja, paitsi jos käsittely on satunnaista eikä kohdistu laajasti erityisiin henkilötietoryhmiin kuuluviin tietoihin tai rikostuomioita tai rikoksia koskeviin tietoihin, eikä siihen todennäköisesti liity luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä ottaen huomioon käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset tai jos rekisterinpitäjä on viranomainen tai julkishallinnon elin. Edustajan olisi toimittava rekisterinpitäjän tai henkilötietojen käsittelijän puolesta, ja edustajaan voivat ottaa yhteyttä kaikki valvontaviranomaiset. Edustaja olisi nimenomaisesti nimettävä rekisterinpitäjän tai henkilötietojen käsittelijän antamalla kirjallisella valtuutuksella hoitamaan tämän puolesta tämän asetuksen mukaiset velvoitteet. Edustajan nimeämisellä ei ole vaikutusta tämän asetuksen mukaisiin rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksiin tai vastuisiin. Edustajan olisi suoritettava tehtävänsä rekisterinpitäjältä tai henkilötietojen käsittelijältä saadun toimeksiannon mukaisesti, mukaan lukien yhteistyö toimivaltaisten valvontaviranomaisten kanssa kaikissa tämän asetuksen noudattamisen varmistamiseksi toteutettavissa toimissa. Nimettyyn edustajaan olisi sovellettava täytäntöönpanotoimia, jos rekisterinpitäjä tai henkilötietojen käsittelijä ei noudata asetuksen säännöksiä. (Oikaisu EUVL L 74 4.3.2021)
(81) Jotta voidaan varmistaa, että henkilötietojen käsittelijä noudattaa tämän asetuksen vaatimuksia rekisterinpitäjän puolesta suorittamassaan käsittelyssä, rekisterinpitäjän olisi antaessaan käsittelytoiminnat henkilötietojen käsittelijän tehtäväksi käytettävä ainoastaan sellaisia henkilötietojen käsittelijöitä, joilla on antaa riittävät takeet erityisesti asiantuntemuksesta, luotettavuudesta ja resursseista, jotta ne voivat panna täytäntöön tämän asetuksen vaatimusten mukaiset tekniset ja organisatoriset toimenpiteet, käsittelyn turvallisuus mukaan lukien. Sitä, että henkilötietojen käsittelijä noudattaa hyväksyttyjä käytännesääntöjä tai hyväksyttyä sertifiointimekanismia, voidaan käyttää osoittamaan rekisterinpitäjälle asetettujen velvollisuuksien noudattamista. Henkilötietojen käsittelijän suorittamaa käsittelyä olisi säänneltävä unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella sopimuksella tai muulla oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijän rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitukset, henkilötietojen tyyppi ja rekisteröityjen ryhmät, ja siinä olisi otettava huomioon henkilötietojen käsittelijän erityistehtävät ja vastuualueet suoritettavan käsittelyn yhteydessä sekä rekisteröidyn oikeuksiin ja vapauksiin liittyvä riski. Rekisterinpitäjä ja henkilötietojen käsittelijä voivat päättää käyttää yksittäistä sopimusta tai sellaisia vakiosopimuslausekkeita, jotka hyväksyy joko suoraan komissio tai valvontaviranomainen yhdenmukaisuusmekanismin mukaisesti, jonka jälkeen komissio hyväksyy ne. Kun henkilötietojen käsittelijä on saattanut käsittelyn loppuun rekisterinpitäjän puolesta, sen olisi rekisterinpitäjän valinnan mukaisesti palautettava tai poistettava henkilötiedot, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot. (Oikaisu EUVL L 74 4.3.2021)
(82) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta.
(83) Turvallisuuden ylläpitämiseksi ja asetuksen säännösten vastaisen käsittelyn estämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän olisi arvioitava käsittelyyn liittyvät riskit ja toteutettava toimenpiteitä näiden riskien lieventämiseksi esimerkiksi salauksella. Näiden toimenpiteiden avulla olisi varmistettava asianmukainen turvallisuustaso, muun muassa luottamuksellisuus, ottaen huomioon uusin tekniikka ja toteuttamiskustannukset suhteessa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen. Tietosuojariskiä arvioitaessa olisi otettava huomioon henkilötietojen käsittelyyn liittyvät riskit, kuten siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai laiton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai henkilötietoihin pääsy, mikä voi aiheuttaa etenkin fyysisiä, aineellisia tai aineettomia vahinkoja.
(84) Tämän asetuksen noudattamisen edesauttamiseksi tapauksissa, joissa käsittelytoimiin todennäköisesti liittyy luonnollisten henkilöiden oikeuksiin ja vapauksiin liittyvä korkea riski, rekisterinpitäjän olisi vastattava tietosuojaa koskevan vaikutustenarvioinnin suorittamisesta erityisesti kyseisen riskin alkuperän, luonteen, erityisluonteen ja vakavuuden arvioimiseksi. Arvioinnin tulos olisi otettava huomioon määriteltäessä asianmukaisia toimia, jotka on toteutettava, jotta voidaan osoittaa, että henkilötietojen käsittely on tämän asetuksen säännösten mukaista. Jos tietosuojaa koskevan vaikutustenarvioinnin perusteella osoitetaan, että käsittelytoimiin liittyy korkea riski, jota rekisterinpitäjä ei voi asianmukaisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen tietojenkäsittelyä olisi kuultava valvontaviranomaista.
(85) Jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton purkautuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan osoitusvelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä. (Oikaisu EUVL L 74 4.3.2021)
(86) Rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle viipymättä, jos tämä tietoturvaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin, jotta rekisteröity voi toteuttaa tarvittavat varotoimet. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia. Tällainen ilmoitus rekisteröidylle olisi tehtävä niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa noudattaen valvontaviranomaisen tai muiden asiaankuuluvien viranomaisten, kuten lainvalvontaviranomaisten, antamia ohjeita. Esimerkiksi tarve lieventää välittömien haittojen riskiä edellyttää sitä, että rekisteröidyille ilmoitetaan viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien henkilötietojen tietoturvaloukkausten estämiseksi voivat olla perusteena pidemmälle ilmoitusajalle. (Oikaisu EUVL L 74 4.3.2021)
(87) Olisi tarkistettava, onko kaikki asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet toteutettu, jotta voidaan selvittää välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja saattaa asia viipymättä valvontaviranomaisen ja rekisteröidyn tiedoksi. Se, että ilmoitus tehtiin ilman aiheetonta viivytystä, olisi selvitettävä ottaen huomioon erityisesti henkilötietojen tietoturvaloukkauksen luonne ja vakavuus sekä tästä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset. Kyseinen ilmoitus voi johtaa siihen, että valvontaviranomainen puuttuu asiaan sille tässä asetuksessa säädettyjen tehtävien ja toimivaltuuksien mukaisesti.
(88) Laadittaessa yksityiskohtaisia sääntöjä henkilötietojen tietoturvaloukkausten ilmoittamisen muodosta ja ilmoittamisessa sovellettavista menettelyistä olisi otettava asianmukaisesti huomioon loukkaukseen liittyvät seikat, kuten se, oliko henkilötiedot suojattu asianmukaisin teknisin suojauskeinoin, mikä vähentää olennaisesti henkilöllisyyttä koskevan petoksen tai muiden väärinkäytösten todennäköisyyttä. Tällaisissa säännöissä ja menettelyissä olisi myös otettava huomioon lainvalvontaviranomaisten oikeutetut edut tapauksissa, joissa varhainen ilmoittaminen voisi tarpeettomasti haitata henkilötietojen tietoturvaloukkauksen tutkintaa.
(89) Direktiivissä 95/46/EY säädettiin yleisestä velvollisuudesta ilmoittaa henkilötietojen käsittelystä valvontaviranomaisille. Vaikka tämä velvollisuus aiheuttaa hallinnollista ja taloudellista rasitusta, se ei aina ole edistänyt henkilötietojen suojaa. Tällaisista yleisistä ilmoitusvelvollisuuksista olisi luovuttava ja korvattava ne tehokkailla menettelyillä ja mekanismeilla, jotka keskittyvät sen sijaan niihin käsittelytoimien tyyppeihin, joihin niiden luonteen, laajuuden, asiayhteyden ja tarkoitusten vuoksi todennäköisesti liittyy luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkea riski. Tällaisiin käsittelytoimien tyyppeihin voivat kuulua erityisesti toimet, jotka perustuvat erityisesti uusien tekniikoiden käyttöön tai jotka ovat uudenlaisia ja joiden osalta rekisterinpitäjä ei ole ensin tehnyt tietosuojaa koskevaa vaikutustenarviointia, tai tietosuojaa koskeva vaikutustenarviointi on tullut tarpeelliseksi, koska aikaa on kulunut siitä kun käsittely alkoi. (Oikaisu EUVL L 74 4.3.2021)
(90) Tällaisissa tapauksissa rekisterinpitäjän olisi ennen tietojenkäsittelyä tehtävä tietosuojaa koskeva vaikutustenarviointi korkean riskin erityisen todennäköisyyden ja vakavuuden arvioimiseksi, ottaen huomioon käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä riskin syyt. Tässä vaikutustenarvioinnissa olisi tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä suojatoimia ja mekanismeja, joiden avulla lievennetään edellä mainittua riskiä ja varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu. (Oikaisu EUVL L 74 4.3.2021)
(91) Tätä olisi sovellettava erityisesti laajoihin käsittelytoimiin, joissa on tarkoitus käsitellä huomattavia määriä henkilötietoja alueellisella, kansallisella tai ylikansallisella tasolla ja jotka voivat vaikuttaa suureen määrään rekisteröityjä ja joihin todennäköisesti liittyy korkea riski, kuten esimerkiksi tietojen arkaluonteisuuden vuoksi, jos uutta teknologiaa käytetään saavutetun teknologisen osaamistason mukaisesti hyvin laajasti myös muihin käsittelytoimiin, joihin liittyy rekisteröityjen oikeuksiin ja vapauksiin vaikuttava korkea riski, varsinkin silloin kun rekisteröityjen on kyseisten toimien johdosta hankalampi käyttää oikeuksiaan. Tietosuojaa koskeva vaikutustenarviointi olisi toteutettava myös tapauksissa, joissa henkilötietoja käsitellään tiettyjä luonnollisia henkilöitä koskevien päätösten tekemiseksi kyseisten tietojen profilointiin perustuvan luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällisen ja kattavan arvioinnin perusteella tai erityisiä henkilötietoryhmiä, biometrisiä tietoja taikka tietoja, jotka koskevat rikostuomioita ja rikkomuksia tai niihin liittyviä turvaamistoimenpiteitä, koskevan käsittelyn perusteella.Tietosuojaa koskevaa vaikutustenarviointia edellytetään myös yleisölle avoimien alueiden laajamittaista valvontaa varten, erityisesti jos käytetään optoelektronisia laitteita, tai mitä tahansa muuta toimintaa varten, jos toimivaltainen valvontaviranomainen katsoo, että käsittelyyn todennäköisesti liittyy korkea riski rekisteröityjen oikeuksien ja vapauksien kannalta erityisesti siitä syystä, että ne estävät rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta tai siitä syystä, että kyseisiä toimia toteutetaan järjestelmällisesti laajassa mittakaavassa. Henkilötietojen käsittelyä ei saisi pitää laajamittaisena, jos käsittely koskee potilaiden tai asiakkaiden henkilötietoja ja käsittelyn suorittaa yksittäinen lääkäri, muu terveydenhuollon ammattilainen tai lakimies. Tällaisissa tapauksissa tietosuojaa koskevan vaikutustenarvioinnin ei pitäisi olla pakollista. (Oikaisu EUVL L 74 4.3.2021)
(92) Joissain olosuhteissa voi olla järkevää ja taloudellista laatia tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan asioita laajemmin kuin yhden projektin kannalta, esimerkiksi kun viranomaiset tai julkishallinnon elimet aikovat luoda yhteisen sovelluksen tai käsittelyalustan tai kun useat rekisterinpitäjät aikovat ottaa käyttöön yhteisen sovelluksen tai käsittely-ympäristön kokonaista teollisuuden alaa tai segmenttiä tai jotakin laajalti käytettävää horisontaalista toimintoa varten.
(93) Jäsenvaltiot voivat katsoa, että tällainen arviointi on syytä tehdä ennen käsittelytoimien aloittamista, kun hyväksytään jäsenvaltioiden lainsäädäntöä, johon viranomaisen tai julkishallinnon elimen tehtävien suorittaminen perustuu ja jolla säädellään siihen liittyvää käsittelytointa tai liittyviä käsittelytoimia.
(94) Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittelyyn liittyisi riskin lieventämistä koskevien suojatoimien, suojaustoimenpiteiden ja -keinojen puuttumisen vuoksi korkea riski luonnollisten henkilöiden oikeuksille ja vapauksille, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein lieventää saatavilla olevan teknologian ja toteuttamiskustannusten suhteen, ennen käsittelytoimien aloittamista olisi kuultava valvontaviranomaista. On todennäköistä, että tällainen korkea riski liittyy tietyntyyppiseen henkilötietojen käsittelyyn ja käsittelyn laajuuteen ja toistumistiheyteen, mikä voi aiheuttaa vahinkoa myös luonnollisen henkilön oikeuksille ja vapauksille tai merkitä niihin puuttumista. Valvontaviranomaisen olisi vastattava kuulemispyyntöön määrätyn ajan kuluessa. Valvontaviranomaisen reagoimattomuus määräajan puitteissa ei kuitenkaan saisi vaikuttaa valvontaviranomaisen mahdollisiin toimiin sille tässä asetuksessa annettujen tehtävien ja valtuuksien puitteissa, kuten toimivaltaan kieltää käsittelytoimia. Osana kuulemismenettelyä valvontaviranomaiselle voidaan toimittaa käsittelyn osalta toteutetun tietosuojaa koskevan vaikutustenarvioinnin tulos, etenkin toimenpiteet, joiden tarkoituksena on lieventää luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. (Oikaisu EUVL L 74 4.3.2021)
(95) Henkilötietojen käsittelijän olisi tarvittaessa ja pyydettäessä avustettava rekisterinpitäjää tietosuojaa koskevan vaikutustenarvioinnin tekemisestä seuraavien velvoitteiden ja valvontaviranomaisen ennakkokuulemisesta aiheutuvien velvoitteiden noudattamisessa. (Oikaisu EUVL L 74 4.3.2021)
(96) Valvontaviranomaista olisi kuultava myös silloin, kun valmistellaan henkilötietojen käsittelyä koskevaa lainsäädäntö- tai sääntelytoimenpidettä, jotta voitaisiin varmistaa, että aiotussa käsittelyssä noudatetaan tätä asetusta, ja erityisesti pienentää rekisteröityyn henkilöön kohdistuvia riskejä.
(97) Jos käsittelyn suorittajana on joku muu viranomainen kuin tuomioistuin tai lainkäyttötehtäviään suorittava riippumaton oikeusviranomainen tai käsittelyn suorittaa yksityisellä sektorilla sellainen rekisterinpitäjä, jonka keskeisiin toimintoihin sisältyy rekisteröityjen laajamittaista, säännöllistä ja järjestelmällistä valvontaa vaativia käsittelytoimia, taikka rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset toiminnat muodostuvat käsittelystä, joka kohdistuu laajamittaisesti erityisiin henkilötietoryhmiin kuuluviin henkilötietoihin sekä rikostuomioihin tai rikoksiin liittyviin henkilötietoihin, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oltava apunaan henkilö, jolla on tietosuojalainsäädäntöä ja alan käytänteitä koskevaa erityisasiantuntemusta ja joka valvoo tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä. Yksityisellä sektorilla rekisterinpitäjän keskeinen toiminta liittyy tämän ensisijaisiin toimintoihin, eikä se liity oheistoimintona tapahtuvaan henkilötietojen käsittelyyn. Tarvittavan erityisasiantuntemuksen taso olisi määriteltävä etenkin rekisterinpitäjän tai henkilötietojen käsittelijän suorittamien tietojenkäsittelytoimien ja käsiteltävien henkilötietojen edellyttämän suojan perusteella. Tällaisen tietosuojavastaavan olisi voitava suorittaa velvollisuutensa ja tehtävänsä riippumattomasti, olipa hän palvelussuhteessa rekisterinpitäjään tai ei. (Oikaisu EUVL L 74 4.3.2021)
(98) Rekisterinpitäjien tai henkilötietojen käsittelijöiden ryhmiä edustavia yhdistyksiä tai muita elimiä olisi kannustettava laatimaan käytännesääntöjä tässä asetuksessa asetetuissa rajoissa, jotta voitaisiin helpottaa tämän asetuksen soveltamista ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet. Erityisesti käytännesäännöillä voitaisiin sopeuttaa rekisterinpitäjien tai henkilötietojen käsittelijöiden velvoitteita ottaen huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin todennäköisesti kohdistuva tietojenkäsittelyn riski.
(99) Laadittaessa, muutettaessa tai laajennettaessa käytännesääntöjä rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten olisi kuultava asianomaisia sidosryhmiä, mahdollisuuksien mukaan myös rekisteröityjä, ja ottaa huomioon kuulemisen pohjalta saadut vastaukset ja niissä esitetyt näkemykset.
(100) Läpinäkyvyyden ja tämän asetuksen noudattamisen tehostamiseksi olisi edistettävä sertifiointimekanismien sekä tietosuojasinettien ja -merkkien käyttöönottoa, jotta rekisteröidyt voisivat nopeasti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason.
(101) Henkilötietojen rajatylittävät siirrot unionin ulkopuolisiin maihin, kansainvälisiin järjestöihin ja niistä unioniin ovat tarpeen kansainvälisen kaupan ja yhteistyön kehittämiseksi. Tällaisten siirtojen lisääntyminen on luonut uusia henkilötietojen suojaan liittyviä haasteita ja huolenaiheita. Henkilötietojen siirtäminen unionista kolmansissa maissa tai kansainvälisissä järjestöissä oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille ei saisi kuitenkaan vaarantaa luonnollisten henkilöiden henkilötietojen suojan tasoa, joka unionissa perustuu tähän asetukseen, ei myöskään silloin, kun kolmannesta maasta tai kansainväliseltä järjestöltä vastaanotettuja henkilötietoja siirretään edelleen samassa tai muussa kolmannessa maassa tai muussa kansainvälisessä järjestössä oleville rekisterinpitäjille tai henkilötietojen käsittelijöille. Siirtoja kolmansiin maihin ja kansainvälisille järjestöille voidaan joka tapauksessa toteuttaa ainoastaan tätä asetusta kaikilta osin noudattaen. Siirto voitaisiin toteuttaa ainoastaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä noudattaa tämän asetuksen säännöksissä vahvistettuja edellytyksiä, jotka liittyvät henkilötietojen siirtoon kolmansiin maihin tai kansainvälisille järjestöille, ellei tämän asetuksen muista säännöksistä muuta johdu.
(102) Tämä asetus ei vaikuta unionin ja kolmansien maiden välillä tehtyihin kansainvälisiin sopimuksiin, jotka koskevat henkilötietojen siirtoa, rekisteröidyille taattavat asianmukaiset suojatoimet mukaan lukien. Jäsenvaltiot voivat tehdä kansainvälisiä sopimuksia, joihin liittyy henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille, edellyttäen, että tällaiset sopimukset eivät vaikuta tähän asetukseen tai muuhun unionin lainsäädäntöön ja että niihin sisältyy rekisteröityjen perusoikeuksien asianmukainen suojataso.
(103) Komissio voi tehdä koko unionia koskevan päätöksen siitä, että tietty kolmas maa tai tietty alue tai tietty sektori jossakin kolmannessa maassa tai tietty kansainvälinen järjestö tarjoaa riittävän tasoisen tietosuojan ja näin varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan tai kansainvälisen järjestön osalta, jonka katsotaan tarjoavan tämän tasoista suojaa.Tällöin henkilötietoja voidaan siirtää kyseiseen maahan ilman erillistä lupaa. Komissio voi myös päättää kumota tekemänsä päätöksen ilmoitettuaan asiasta ja toimitettuaan kattavat perustelut asianomaiselle kolmannelle maalle tai kansainväliselle järjestölle. (Oikaisu EUVL L 74 4.3.2021)
(104) Unionin perusarvojen ja erityisesti ihmisoikeuksien suojan mukaisesti komission olisi kolmatta maata tai kolmannen maan aluetta tai sen tiettyä sektoria arvioidessaan otettava huomioon, miten tietyssä kolmannessa maassa noudatetaan oikeusvaltioperiaatetta, oikeussuojaa ja kansainvälisiä ihmisoikeussääntöjä ja -normeja sekä kyseisen maan yleistä ja alakohtaista lainsäädäntöä, kuten yleistä turvallisuutta, puolustusta, kansallista turvallisuutta sekä yleistä järjestystä ja rikosoikeutta koskevaa lainsäädäntöä. Hyväksyttäessä päätös kolmannen maan alueen tai sen tietyn sektorin tietosuojan riittävyydestä olisi otettava huomioon selkeät ja objektiiviset perusteet, kuten erityiset henkilötietojen käsittelytoimet sekä kolmannessa maassa sovellettavien oikeusnormien soveltamisala ja voimassa oleva lainsäädäntö. Kolmannen maan olisi tarjottava takeet, joilla varmistetaan riittävä tietosuojan taso, joka vastaa olennaisilta osin Euroopan unionissa taattua suojan tasoa, erityisesti kun henkilötietoja käsitellään yhdellä tai useammalla sektorilla. Kolmannen maan olisi erityisesti varmistettava tehokas ja riippumaton tietosuojavalvonta ja huolehdittava jäsenvaltioiden tietosuojaviranomaisten kanssa käytettävistä yhteistyömekanismeista, ja rekisteröidyille olisi taattava tehokkaat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot. (Oikaisu EUVL L 74 4.3.2021)
(105) Komission olisi kolmannen maan tai kansainvälisen järjestön tekemien kansainvälisten sitoumusten lisäksi otettava huomioon velvoitteet, jotka johtuvat kolmannen maan tai kansainvälisen järjestön osallistumisesta monenvälisiin tai alueellisiin järjestelmiin, ja otettava huomioon erityisesti sellaiset velvoitteet, jotka koskevat henkilötietojen suojaamista, sekä kyseisten velvoitteiden täytäntöönpano. Erityisesti olisi otettava huomioon kolmannen maan liittyminen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 28 päivänä tammikuuta 1981 tehtyyn Euroopan neuvoston yleissopimukseen ja sen lisäpöytäkirjaan. Komission olisi kuultava tietosuojaneuvostoa arvioidessaan kolmansien maiden tai kansainvälisten järjestöjen suojan tasoa.
(106) Komission olisi valvottava kolmannen maan tai sen alueen tai sen tietyn sektorin tai kansainvälisen järjestön tietosuojan tasoa koskevien päätösten, kuten direktiivin 95/46/EY 25 artiklan 6 kohdan tai 26 artiklan 4 kohdan perusteella tehtyjen päätösten, toimivuutta. Komission tehdessä päätöksiä tietosuojan riittävyydestä sen olisi tehtävä määräaikaisarviointi niiden toimivuudesta. Tällaista määräaikaisarviointia tehtäessä olisi kuultava kyseistä kolmatta maata tai kansainvälistä järjestöä ja otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Valvoessaan ja toteuttaessaan määräaikaisarviointeja komission olisi otettava huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset. Komission olisi arvioitava kohtuullisen ajan kuluessa viimeksi mainittujen päätösten toimivuutta ja raportoitava olennaisista löydöksistä Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 182/2011 (Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).) tarkoitetulle, tämän asetuksen mukaisesti perustetulle komitealle, Euroopan parlamentille ja neuvostolle. (Oikaisu EUVL L 74 4.3.2021)
(107) Komissio voi todeta, että jokin kolmas maa, kolmannen maan alue tai sen tietty sektori taikka kansainvälinen järjestö ei enää tarjoa riittävän tasoista tietosuojaa. Tällöin henkilötietojen siirtäminen kyseiseen kolmanteen maahan tai kyseiselle kansainväliselle järjestölle olisi kiellettävä, elleivät tässä asetuksessa säädetyt edellytykset, jotka liittyvät siirtoihin asianmukaisia suojatoimia soveltaen, myös siirtoihin yritystä koskevien sitovien sääntöjen perusteella, ja erityistilanteita koskeviin poikkeuksiin, täyty. Kyseisessä tapauksessa olisi mahdollistettava komission ja kyseisten kolmansien maiden tai kansainvälisten järjestöjen väliset kuulemismenettelyt. Komission olisi hyvissä ajoin ilmoitettava kolmannelle maalle tai kansainväliselle järjestölle perustelut ja aloitettava sen kanssa neuvottelut tilanteen korjaamiseksi. (Oikaisu EUVL L 74 4.3.2021)
(108) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä, joiden avulla rekisteröidylle voidaan tarjota asianmukaiset suojatoimet kolmannen maan puutteellisen tietosuojan kompensoimiseksi. Nämä asianmukaiset suojatoimet voivat tarkoittaa sitä, että sovelletaan yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita. Näillä suojatoimilla olisi varmistettava tietosuojavaatimusten noudattaminen ja unionin sisäiselle tietojenkäsittelylle ominainen rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien rekisteröityjen täytäntöönpanokelpoisten oikeuksien ja tehokkaiden oikeussuojakeinojen, kuten tehokkaiden hallinnollisten ja oikeudellisten muutoksenhakukeinojen ja korvauksenvaatimisoikeuden, saatavuus unionissa tai kolmannessa maassa. Niiden olisi erityisesti liityttävä henkilötietojen käsittelyä koskevien yleisten periaatteiden noudattamiseen sekä sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin. Myös viranomaiset ja julkiset elimet voivat toteuttaa siirtoja kolmansien maiden viranomaisten tai julkisten elinten tai vastaavia tehtäviä suorittavien kansainvälisten järjestöjen kanssa esimerkiksi yhteisymmärryspöytäkirjoihin tai muihin rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia sisältäviin hallinnollisiin järjestelyihin sisällytettävien määräysten perusteella. Kun suojatoimet perustuvat muihin kuin oikeudellisesti sitoviin hallinnollisiin järjestelyihin, tähän olisi saatava toimivaltaisen valvontaviranomaisen lupa.
(109) Se, että rekisterinpitäjä tai henkilötietojen käsittelijä voi käyttää joko komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita, ei saisi estää rekisterinpitäjää tai henkilötietojen käsittelijää sisällyttämästä tietosuojaa koskevia vakiolausekkeita laajempiin sopimuksiin, kuten henkilötietojen käsittelijän toisen henkilötietojen käsittelijän kanssa tekemään sopimukseen, eikä lisäämästä muita lausekkeita tai toteuttamasta muita suojatoimia, kunhan ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiosopimuslausekkeiden kanssa eivätkä vaikuta rekisteröidyn perusoikeuksiin tai -vapauksiin. Rekisterinpitäjiä ja henkilötietojen käsittelijöitä olisi kannustettava tarjoamaan lisäsuojaa sopimusperusteisilla velvoitteilla, joilla täydennetään vakiosuojalausekkeita.
(110) Konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän olisi voitava soveltaa hyväksyttyjä yritystä koskevia sitovia sääntöjä sen kansainvälisiin tiedonsiirtoihin unionista samaan konserniin tai yhteistä taloudellista toimintaa harjoittavaan yritysryhmään kuuluville organisaatioille, kunhan näihin sitoviin sääntöihin on sisällytetty kaikki olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet, joiden avulla voidaan varmistaa asianmukaiset suojatoimet tällaisia henkilötietojen siirtoja tai siirtojen ryhmiä varten. (Oikaisu EUVL L 74 4.3.2021)
(111) Olisi säädettävä mahdollisuudesta tehdä tiedonsiirtoja tietyissä tilanteissa, kun rekisteröity on antanut nimenomaisen suostumuksensa ja kun siirto tapahtuu satunnaisesti ja on tarpeellinen sopimukselle tai oikeudelliselle vaateelle, riippumatta siitä, onko kyse oikeudellisesta menettelystä tai hallinnollisesta tai tuomioistuimen ulkopuolisesta menettelystä, sääntelyelimen menettelyt mukaan luettuina. Olisi myös säädettävä mahdollisuudesta tehdä tiedonsiirtoja, kun unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvat, tärkeää yleistä etua koskevat syyt niin vaativat tai kun siirto suoritetaan lailla perustetusta rekisteristä, joka on tarkoitettu yleisön tai kenen tahansa sellaisen henkilön käyttöön, jonka oikeutettu etu sitä edellyttää. Viimeksi mainitussa tapauksessa siirto ei saisi käsittää kaikkia rekisterissä olevia henkilötietoja tai rekisterin sisältämiä kokonaisia tietoryhmiä, ja jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joiden oikeutettu etu sitä edellyttää, siirto olisi tehtävä ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia siten, että otetaan täysimääräisesti huomioon rekisteröidyn edut ja perusoikeudet. (Oikaisu EUVL L 74 4.3.2021)
(112)Näitä poikkeuksia olisi sovellettava erityisesti tiedonsiirtoihin, jotka ovat tarpeen yleistä etua koskevien tärkeiden syiden vuoksi, esimerkiksi kun on kyse kansainvälisestä tiedonvaihdosta kilpailuviranomaisten, vero- tai tullihallintojen, finanssivalvonnasta vastaavien viranomaisten tai sosiaaliturvasta vastaavien yksikköjen välillä, tai kansanterveydellisistä syistä, esimerkiksi tartuntatautien yhteydessä tehtävän kontaktien jäljittämiseksi tai urheilussa esiintyvän dopingin vähentämiseksi ja/tai lopettamiseksi. Henkilötietojen siirtoa olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen, kuten fyysisen koskemattomuuden ja hengen suojelemiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen tietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jäsenvaltioiden olisi ilmoitettava komissiolle tällaisista säännöksistä. Jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, hänen henkilötietojensa siirto kansainväliselle humanitaariselle järjestölle, jotta se voisi suorittaa tehtävän, joka sille kuuluu Geneven yleissopimusten nojalla, tai noudattaa aseellisissa konflikteissa sovellettavaa kansainvälistä humanitaarista oikeutta, voidaan katsoa tarpeelliseksi yleistä etua koskevan tärkeän syyn vuoksi tai koska se on rekisteröidyn elintärkeiden etujen mukaista. (Oikaisu EUVL L 74 4.3.2021)
(113) Tiedonsiirrot, joita ei voida pitää toistuvina ja jotka koskevat vain suppeaa rekisteröityjen määrää, voitaisiin myös sallia rekisterinpitäjän pakottavien oikeutettujen etujen toteuttamiseksi, jos rekisteröidyn edut taikka oikeudet ja vapaudet eivät syrjäytä kyseisiä etuja ja jos rekisterinpitäjä on arvioinut kaikki tällaisiin siirtoihin liittyvät olosuhteet. Rekisterinpitäjän olisi kiinnitettävä erityistä huomiota henkilötietojen luonteeseen sekä ehdotetun käsittelytoimen tai ehdotettujen käsittelytoimien tarkoitukseen ja kestoon sekä tilanteeseen tietojen alkuperämaassa, kolmannessa maassa ja lopullisessa kohdemaassa, ja olisi toteutettava asianmukaiset suojatoimet luonnollisten henkilöiden perusoikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyn yhteydessä. Tällaisten tiedonsiirtojen olisi oltava mahdollisia ainoastaan yksittäisissä tapauksissa, joihin mikään muu peruste tietojen siirrolle ei sovellu. Tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi otettava huomioon tiedon lisäämistä koskevat yhteiskunnan oikeutetut odotukset. Rekisterinpitäjän olisi ilmoitettava tiedonsiirrosta valvontaviranomaiselle ja rekisteröidylle. (Oikaisu EUVL L 74 4.3.2021)
(114) Jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista.
(115) Jotkut kolmannet maat hyväksyvät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten henkilöiden ja oikeushenkilöiden käsittelytoimia. Näihin voi kuulua kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätöksiä, joissa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista ja jotka eivät perustu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla kansainvälisen oikeuden vastaista ja estää tähän asetukseen perustuvan luonnollisten henkilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä tunnustetun tärkeän yleistä etua koskevan syyn vuoksi. (Oikaisu EUVL L 74 4.3.2021)
(116) Kun henkilötietoja siirretään unionin rajojen ulkopuolelle, luonnollisten henkilöiden mahdollisuus käyttää tietosuojaan liittyviä oikeuksiaan voi heikentyä, erityisesti kun on kyse heidän mahdollisuudestaan suojautua henkilötietojen laittomalta käytöltä tai luovuttamiselta. Toisaalta henkilötietojen suojaa valvovat viranomaiset eivät välttämättä pysty käsittelemään valituksia tai toteuttamaan tutkimuksia, jotka liittyvät toimintaan kyseisten viranomaisten valtioiden rajojen ulkopuolella. Lisäksi rajatylittävissä tapauksissa tehtävää yhteistyötä voivat vaikeuttaa myös riittämättömät toimivaltuudet ennalta ehkäiseviin tai korjaaviin toimiin, oikeudellisen toimintaympäristön epäyhtenäisyys ja käytännön esteet, kuten resurssipula. Sen vuoksi on edistettävä tietosuojavalvontaviranomaisten tiiviimpää keskinäistä yhteistyötä, jotta ne voivat vaihtaa tietoja ja toteuttaa tutkimuksia kansainvälisten kumppaniensa kanssa. Jotta voidaan kehittää kansainvälisiä yhteistyömekanismeja, joilla helpotetaan ja tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanoa varten, komission ja valvontaviranomaisten olisi toimivaltansa käyttöön liittyvissä toimissa vaihdettava tietoja ja tehtävä yhteistyötä kolmansien maiden toimivaltaisten viranomaisten kanssa vastavuoroisuuden pohjalta ja tämän asetuksen mukaisesti. (Oikaisu EUVL L 74 4.3.2021)
(117) Keskeinen osa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä on perustaa jäsenvaltioihin valvontaviranomaiset, joille on myönnetty valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti. Jäsenvaltioiden olisi voitava perustaa useampia kuin yhden valvontaviranomaisen oman perustuslakinsa, organisaationsa ja hallintorakenteensa mukaisesti.
(118) Valvontaviranomaisten riippumattomuudella ei tarkoiteta, ettei valvontaviranomaisten varojen käyttöön voitaisi soveltaa valvonta- tai seurantamekanismeja tai valvontaviranomaisiin kohdistaa tuomioistuinvalvontaa. (Oikaisu EUVL L 74 4.3.2021)
(119) Jos jäsenvaltio perustaa useita valvontaviranomaisia, sen olisi säädettävä lailla menettelyistä, joiden avulla varmistetaan, että nämä valvontaviranomaiset osallistuvat tehokkaasti yhdenmukaisuusmekanismin toimintaan. Asianomaisen jäsenvaltion olisi tällöin erityisesti nimettävä valvontaviranomainen, joka toimii yhteyspisteenä ja varmistaa näiden viranomaisten tehokkaan osallistumisen kyseiseen menettelyyn, jotta taataan nopea ja sujuva yhteistyö muiden valvontaviranomaisten, tietosuojaneuvoston ja komission kanssa. (Oikaisu EUVL L 74 4.3.2021)
(120) Kullekin valvontaviranomaiselle olisi osoitettava taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät keskinäiseen avunantoon ja yhteistyöhön muiden valvontaviranomaisten kanssa kaikkialla unionissa. Kullakin valvontaviranomaisella olisi oltava erillinen ja julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.
(121) Valvontaviranomaisen jäseneen tai jäseniin sovellettavat yleiset edellytykset olisi vahvistettava kunkin jäsenvaltion lainsäädännössä, ja niillä olisi erityisesti varmistettava, että kyseiset jäsenet nimittää joko jäsenvaltion parlamentti, hallitus tai jäsenvaltion päämies läpinäkyvää menettelyä soveltaen hallituksen, hallituksen jäsenen, parlamentin tai parlamentin kamarin taikka jäsenvaltion lainsäädännössä nimetyn riippumattoman elimen esityksestä. Valvontaviranomaisen riippumattomuuden varmistamiseksi sen jäsenen tai jäsenten on toimittava rehellisesti ja pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa. Valvontaviranomaisella olisi oltava oma henkilöstö, jonka valitsee valvontaviranomainen itse tai jäsenvaltion lainsäädännöllä perustettu riippumaton elin ja jonka olisi toimittava valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa valvonnassa. (Oikaisu EUVL L 74 4.3.2021)
(122) Jokaisen valvontaviranomaisen olisi oltava oman jäsenvaltionsa alueella toimivaltainen käyttämään toimivaltaa ja suorittamaan tehtäviä, jotka sille on annettu tämän asetuksen mukaisesti. Tämän olisi katettava erityisesti käsittely, jota suoritetaan sen oman jäsenvaltion alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, viranomaisten tai yleisen edun hyväksi toimivien yksityisten elinten suorittama henkilötietojen käsittely, käsittely, joka vaikuttaa sen alueella oleviin rekisteröityihin tai sellaisen rekisterinpitäjän tai henkilötietojen käsittelijän suorittama käsittely, joka ei ole sijoittautunut unioniin, kun käsittely kohdistuu sen alueella asuviin rekisteröityihin. Tähän olisi kuuluttava rekisteröidyn tekemien valitusten käsittely, asetuksen soveltamista koskevien tutkimusten suorittaminen sekä yleisen tietoisuuden edistäminen henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista.
(123) Valvontaviranomaisten olisi seurattava tämän asetuksen säännösten soveltamista ja edistettävä sen yhdenmukaista soveltamista koko unionissa luonnollisten henkilöiden suojaamiseksi henkilötietojen käsittelyn yhteydessä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi sisämarkkinoilla. Sitä varten valvontaviranomaisten olisi tehtävä yhteistyötä keskenään ja komission kanssa ilman, että tarvitaan mitään jäsenvaltioiden välistä sopimusta keskinäisen avunannon antamisesta tai tällaisesta yhteistyöstä. (Oikaisu EUVL L 74 4.3.2021)
(124) Jos henkilötietojen käsittely suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä, ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon, tai jos käsittely, jota suoritetaan unioniin sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä, vaikuttaa tai on omiaan vaikuttamaan merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa, rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai rekisterinpitäjän tai henkilötietojen käsittelijän ainoan toimipaikan viranomaisen olisi toimittava johtavana viranomaisena. Sen olisi tehtävä yhteistyötä sellaisten muiden viranomaisten kanssa, joita asia koskee, koska rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka niiden jäsenvaltion alueella, koska käsittely vaikuttaa merkittävästi niiden alueella asuviin rekisteröityihin tai koska niille on tehty valitus. Jos rekisteröity, joka ei asu kyseisessä jäsenvaltiossa, on tehnyt valituksen, myös valvontaviranomaisen, jolle tällainen valitus on tehty, olisi oltava asianomainen valvontaviranomainen. Tietosuojaneuvoston, jonka tehtäviin kuuluu suuntaviivojen antaminen kaikista tämän asetuksen soveltamiseen liittyvistä kysymyksistä, olisi voitava antaa suuntaviivoja erityisesti kriteereistä, jotka on otettava huomioon, jotta voidaan arvioida, vaikuttaako kyseessä oleva käsittely merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa ja mistä asiaankuuluva ja perusteltu vastalause muodostuu.
(125) Johtavalla viranomaisella olisi oltava toimivalta antaa sitovia päätöksiä toimenpiteistä sille tässä asetuksessa annettujen toimivaltuuksien mukaisesti. Valvontaviranomaisen olisi johtavan viranomaisen ominaisuudessaan otettava asianomaiset valvontaviranomaiset tiiviisti mukaan päätöksentekomenettelyyn ja koordinoitava niiden toimintaa. Valvontaviranomaisen, jolle valitus on tehty, olisi annettava päätös tapauksissa, joissa päätös koskee rekisteröidyn valituksen hylkäämistä kokonaan tai osittain. (Oikaisu EUVL L 74 4.3.2021)
(126) Johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten olisi sovittava yhdessä kyseisestä päätöksestä, ja se olisi osoitettava rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan, ja sen olisi oltava rekisterinpitäjää ja henkilötietojen käsittelijää sitova. Rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava tarvittavat toimenpiteet varmistaakseen, että tätä asetusta noudatetaan ja että johtavan valvontaviranomaisen rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikalle tiedoksi antama päätös pannaan täytäntöön unionissa toteutettavien käsittelytoimien osalta.
(127) Jokaisella valvontaviranomaisella, joka ei toimi johtavana valvontaviranomaisena, olisi oltava toimivalta käsitellä paikallisia tapauksia, joissa rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon mutta kyseisen tietojen käsittelyn aihepiiri koskee vain yhdessä jäsenvaltiossa suoritettua tietojen käsittelyä ja siihen liittyy vain saman yhden jäsenvaltion rekisteröityjä, esimerkiksi jos henkilötietojen käsittelyn aihepiiri koskee työntekijöiden tietojen käsittelyä tietyssä työsuhteisiin liittyvässä yhteydessä jäsenvaltiossa. Tällaisissa tapauksissa valvontaviranomaisen olisi ilmoitettava asiasta viipymättä johtavalle valvontaviranomaiselle. Kun johtavalle valvontaviranomaiselle on ilmoitettu, sen olisi päätettävä, käsitteleekö se asiaa johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten väliseen yhteistyöhön perustuvan ”yhden luukun” järjestelmän puitteissa vai olisiko asiasta ilmoittaneen valvontaviranomaisen käsiteltävä sitä paikallistasolla. Johtavan valvontaviranomaisen päättäessä siitä, käsitteleekö se asiaa, sen olisi otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon, jotta varmistetaan päätöksen tehokas täytäntöönpano rekisterinpitäjään tai henkilötietojen käsittelijään nähden. Jos johtava valvontaviranomainen päättää käsitellä asiaa, asiasta ilmoittaneella valvontaviranomaisella olisi oltava mahdollisuus toimittaa päätösehdotus, jonka johtava valvontaviranomainen ottaa huomioon mahdollisimman kattavasti laatiessaan päätösehdotuksensa mainitun yhden luukun järjestelmän puitteissa. (Oikaisu EUVL L 74 4.3.2021)
(128) Johtavaa valvontaviranomaista ja yhden luukun järjestelmää koskevia sääntöjä ei pitäisi soveltaa, jos käsittelyn suorittavat viranomaiset tai yleisen edun hyväksi toimivat yksityiset elimet. Tällaisissa tapauksissa ainoana valvontaviranomaisena, jolla on toimivalta käyttää sille tämän asetuksen mukaisesti annettuja valtuuksia, olisi oltava sen jäsenvaltion valvontaviranomainen, johon viranomainen tai yksityinen elin on sijoittautunut.
(129) Jotta voidaan varmistaa tämän asetuksen johdonmukainen seuranta ja täytäntöönpano kaikkialla unionissa, valvontaviranomaisilla olisi oltava kaikissa jäsenvaltioissa samanlaiset tehtävät ja valtuudet, kuten tutkintavaltuudet, korjaavat toimivaltuudet ja valtuudet määrätä seuraamuksia sekä hyväksymis- ja neuvontavaltuudet, erityisesti silloin kun luonnolliset henkilöt tekevät valituksia, ja, rajoittamatta syyttäjäviranomaisten jäsenvaltion lainsäädännön mukaisia valtuuksia, valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja panna vireille oikeustoimet. Valtuuksiin olisi kuuluttava myös valtuus asettaa väliaikainen tai pysyvä tietojenkäsittelyn rajoitus, kuten käsittelykielto. Jäsenvaltiot voivat täsmentää muita tehtäviä, jotka liittyvät tämän asetuksen mukaiseen henkilötietojen suojaan. Valvontaviranomaisten valtuuksia olisi käytettävä unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen asianmukaisten menettelytakeiden mukaisesti puolueettomasti, asianmukaisesti ja kohtuullisessa ajassa. Jokaisen toimenpiteen olisi erityisesti oltava tarkoituksenmukainen, tarpeellinen ja oikeasuhteinen, jotta voidaan varmistaa tämän asetuksen noudattaminen siten, että otetaan huomioon kunkin yksittäisen tapauksen olosuhteet, kunnioitetaan jokaisen henkilön oikeutta tulla kuulluksi ennen kuin ryhdytään yksittäiseen toimenpiteeseen, joka vaikuttaisi häneen epäedullisesti, ja vältetään aiheuttamasta asianomaisille henkilöille tarpeettomia kustannuksia ja liiallisia haittoja. Toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion prosessioikeuden erityisvaatimusten mukaisesti, joita ovat esimerkiksi ennakkoluvan saamista koskeva vaatimus. Jokainen valvontaviranomaisen oikeudellisesti sitova toimenpide olisi esitettävä kirjallisesti, sen olisi oltava selkeä ja yksiselitteinen, siinä olisi mainittava toimenpiteen antanut valvontaviranomainen ja toimenpiteen antamispäivä, sen olisi oltava valvontaviranomaisen johtajan tai hänen valtuuttamansa valvontaviranomaisen jäsenen allekirjoittama ja siinä olisi annettava toimenpiteen syyt ja viitattava tehokkaita oikeussuojakeinoja koskevaan oikeuteen. Tämä ei saisi estää vahvistamasta lisävaatimuksia jäsenvaltion prosessioikeuden nojalla. Oikeudellisesti sitovan päätöksen antaminen tarkoittaa, että siihen voidaan kohdistaa tuomioistuinvalvontaa päätöksen antaneen valvontaviranomaisen jäsenvaltiossa.
(130) Jos valvontaviranomainen, jolle valitus on osoitettu, ei ole johtava valvontaviranomainen, johtavan valvontaviranomaisen olisi tehtävä tiivistä yhteistyötä sen valvontaviranomaisen kanssa, jolle valitus on osoitettu, tässä asetuksessa säädettyjen yhteistyötä ja johdonmukaisuutta koskevien säännösten mukaisesti. Tällaisissa tapauksissa johtavan valvontaviranomaisen olisi oikeusvaikutuksia tuottavia toimenpiteitä – hallinnolliset seuraamusmaksut mukaan luettuina – toteuttaessaan otettava mahdollisimman kattavasti huomioon sen valvontaviranomaisen näkemykset, jolle valitus on osoitettu ja jolla olisi oltava edelleen toimivalta suorittaa mitä tahansa tutkimuksia oman jäsenvaltionsa alueella yhteistyössä johtavan valvontaviranomaisen kanssa. (Oikaisu EUVL L 74 4.3.2021)
(131) Tapauksissa, joissa toisen valvontaviranomaisen olisi toimittava johtavana valvontaviranomaisena rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimissa mutta valituksen konkreettinen aihe tai mahdollinen rikkominen koskee rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimia ainoastaan siinä jäsenvaltiossa, jossa valitus on tehty tai mahdollinen rikkominen havaittu, ja asia ei merkittävästi vaikuta tai ole omiaan merkittävästi vaikuttamaan muissa jäsenvaltioissa oleviin rekisteröityihin, valvontaviranomaisen, joka vastaanottaa valituksen tai joka havaitsee tilanteita tai jolle muulla tavoin tiedotetaan tilanteista, joihin liittyy mahdollisia tämän asetuksen rikkomisia, olisi pyrittävä sovintoratkaisuun rekisterinpitäjän kanssa, ja jos tämä ei onnistu, käytettävä kaikkia valtuuksiaan. Tähän olisi kuuluttava: erityiskäsittely, joka suoritetaan valvontaviranomaisen jäsenvaltion alueella tai kyseisen jäsenvaltion alueella olevien rekisteröityjen suhteen; käsittely, joka suoritetaan valvontaviranomaisen jäsenvaltion alueella oleville rekisteröidyille nimenomaisesti suunnattujen tavaroiden tai palvelujen tarjoamisen yhteydessä; tai käsittely, joka on arvioitava ottaen huomioon jäsenvaltion lainsäädännön mukaiset asiaankuuluvat lakisääteiset vaatimukset.
(132) Yleisölle suunnattuun valvontaviranomaisen tiedotustoimintaan olisi sisällytettävä erityistoimia, jotka on osoitettu rekisterinpitäjille ja henkilötietojen käsittelijöille, mikroyritykset sekä pienet ja keskisuuret yritykset mukaan lukien, sekä luonnollisille henkilöille erityisesti koulutuksen yhteydessä.
(133) Valvontaviranomaisten olisi autettava toisiaan tehtävien suorittamisessa ja annettava keskinäistä apua, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano sisämarkkinoilla. Keskinäistä apua pyytänyt valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen, jos se ei saa vastausta keskinäistä apua koskevaan pyyntöön kuukauden kuluessa siitä, kun toinen valvontaviranomainen on vastaanottanut pyynnön.
(134) Jokaisen valvontaviranomaisen olisi tarvittaessa osallistuttava valvontaviranomaisten yhteisiin operaatioihin. Pyynnön vastaanottanut valvontaviranomainen olisi velvoitettava vastaamaan pyyntöön tietyssä määräajassa.
(135) Olisi luotava yhdenmukaisuusmekanismi valvontaviranomaisten keskinäistä yhteistyötä varten, jotta voidaan varmistaa tämän asetuksen johdonmukainen soveltaminen kaikkialla unionissa. Tätä mekanismia olisi sovellettava erityisesti silloin kun valvontaviranomainen aikoo hyväksyä oikeusvaikutuksia tuottavan toimenpiteen sellaisiin käsittelytoimiin liittyen, jotka vaikuttavat olennaisella tavalla merkittävään määrään useissa eri jäsenvaltioissa olevia rekisteröityjä. Sitä olisi sovellettava myös silloin kun joku asianomainen valvontaviranomainen tai komissio pyytää tällaisen asian käsittelyä yhdenmukaisuusmekanismin puitteissa. Tämä mekanismi ei saisi vaikuttaa toimenpiteisiin, joita komissio voi toteuttaa perussopimuksissa vahvistettujen toimivaltuuksiensa nojalla. (Oikaisu EUVL L 74 4.3.2021)
(136) Yhdenmukaisuusmekanismia sovellettaessa tietosuojaneuvoston olisi annettava lausunto tietyssä määräajassa, jos sen jäsenten enemmistö niin päättää tai jos joku asianomainen valvontaviranomainen tai komissio sitä pyytää. Tietosuojaneuvostolla olisi myös oltava valtuudet antaa oikeudellisesti sitovia päätöksiä, kun valvontaviranomaisten välillä on kiistoja. Tätä tarkoitusta varten sen olisi lähtökohtaisesti annettava jäsentensä kahden kolmasosan enemmistöllä oikeudellisesti sitovia päätöksiä selkeästi määritellyissä tapauksissa, joissa valvontaviranomaisten näkemykset poikkeavat toisistaan erityisesti johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten välisessä yhteistyömenettelyssä tapauksen asiaratkaisun suhteen ja erityisesti sen suhteen, onko tätä asetusta rikottu. (Oikaisu EUVL L 74 4.3.2021)
(137) Saattaa olla tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyn oikeuksien ja vapauksien suojaamiseksi, etenkin jos on olemassa vaara, että jonkin rekisteröidylle kuuluvan oikeuden täytäntöönpanolle voi aiheutua merkittävää haittaa. Tätä varten valvontaviranomaisen olisi voitava omalla alueellaan toteuttaa asianmukaisesti perusteltuja väliaikaisia toimenpiteitä, joiden voimassaolo on rajoitettu eikä saa ylittää kolmea kuukautta.
(138) Tällaisen mekanismin soveltamisen olisi oltava valvontaviranomaisen oikeusvaikutuksia tuottavan toimenpiteen lainmukaisuuden edellytys niissä tapauksissa, joissa sen soveltaminen on pakollista. Muissa tapauksissa, joilla on rajatylittävää merkitystä, olisi sovellettava johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten välistä yhteistyömenettelyä, ja asianomaiset valvontaviranomaiset voivat soveltaa keskinäistä avunantoa ja toteuttaa yhteisiä operaatioita kahden- tai monenväliseltä pohjalta yhdenmukaisuusmekanismiin turvautumatta.
(139) Tämän asetuksen johdonmukaisen soveltamisen edistämiseksi tietosuojaneuvosto olisi perustettava riippumattomaksi unionin elimeksi. Jotta tietosuojaneuvosto voisi täyttää tavoitteensa, sillä olisi oltava oikeushenkilöllisyys. Tietosuojaneuvostoa olisi edustettava sen puheenjohtaja. Sen olisi korvattava direktiivillä 95/46/EY perustettu tietosuojatyöryhmä. Siinä olisi oltava mukana kunkin jäsenvaltion valvontaviranomaisen päällikkö ja Euroopan tietosuojavaltuutettu tai näiden edustajat. Komission olisi osallistuttava tietosuojaneuvoston toimintaan ilman äänioikeutta ja Euroopan tietosuojavaltuutetulla olisi oltava erityinen äänioikeus. Tietosuojaneuvoston olisi edistettävä tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, muun muassa antamalla neuvoja komissiolle etenkin tietosuojan tasosta kolmansissa maissa ja kansainvälisissä järjestöissä sekä tukemalla valvontaviranomaisten yhteistyötä unionissa. Tietosuojaneuvoston olisi hoidettava tehtäviään riippumattomasti.
(140) Euroopan tietosuojavaltuutetun olisi järjestettävä sihteeristö, joka avustaa tietosuojaneuvostoa. Tietosuojaneuvostolle tässä asetuksessa annettujen tehtävien suorittamiseen osallistuvan Euroopan tietosuojavaltuutetun henkilöstön olisi hoidettava tehtävänsä yksinomaan tietosuojaneuvoston puheenjohtajan ohjeiden mukaisesti sekä raportoitava hänelle.
(141) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä kantelu yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus turvautua tehokkaisiin oikeussuojakeinoihin perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele kantelua, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Kantelun seurauksena tehtävä tutkinta olisi suoritettava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja asia olisi voitava saattaa tuomioistuimen käsiteltäväksi. Valvontaviranomaisen olisi ilmoitettava rekisteröidylle valituksen käsittelyn etenemisestä ja sen ratkaisusta kohtuullisen ajan kuluessa. Jos asia edellyttää lisäselvityksiä tai koordinointia toisen valvontaviranomaisen kanssa, tästä olisi ilmoitettava rekisteröidylle. Valitusten jättämisen helpottamiseksi kaikkien valvontaviranomaisen olisi toteutettava toimenpiteitä, esimerkiksi toimitettava valituslomake, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta. (Oikaisu EUVL L 74 4.3.2021)
(142) Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta. Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä valitus ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta. Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.
(143) Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on SEUT 263 artiklassa määrätyin edellytyksin oikeus nostaa kumoamiskanne Euroopan unionin tuomioistuimessa tietosuojaneuvoston päätöksiä vastaan. Asianomaisten valvontaviranomaisten, joille kyseiset päätökset on osoitettu ja jotka haluavat riitauttaa ne, on SEUT 263 artiklan mukaisesti nostettava kanne kahden kuukauden kuluessa siitä, kun päätökset on annettu niille tiedoksi. Jos tietosuojaneuvoston päätökset koskevat suoraan ja erikseen rekisterinpitäjää, henkilötietojen käsittelijää tai valituksen tekijää, viimeksi mainittu voi nostaa SEUT 263 artiklan mukaisesti kumoamiskanteen kyseisiä päätöksiä vastaan kahden kuukauden kuluessa kyseisten päätösten julkaisemisesta tietosuojaneuvoston verkkosivustolla. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin toimivaltaisessa kansallisessa tuomioistuimessa sellaista valvontaviranomaisen päätöstä vastaan, joka tuottaa kyseistä henkilöä koskevia oikeusvaikutuksia, sanotun kuitenkaan rajoittamatta tätä oikeutta SEUT 263 artiklan nojalla. Tällaiset päätökset koskevat etenkin valvontaviranomaisen tutkintavaltuuksien, korjaavien valtuuksien ja hyväksymisvaltuuksien käyttöä tai valitusten käsittelemättä jättämistä tai hylkäämistä. Tämä oikeus tehokkaisiin oikeussuojakeinoihin ei kuitenkaan koske valvontaviranomaisten toimenpiteitä, jotka eivät ole oikeudellisesti sitovia, kuten valvontaviranomaisen antamia lausuntoja tai neuvoja. Kanne valvontaviranomaista vastaan olisi nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut, ja se olisi toteutettava kyseisen jäsenvaltion prosessioikeuden mukaisesti. Kyseisten tuomioistuinten olisi käytettävä täyttä oikeudellista toimivaltaa, mukaan lukien toimivalta tarkastella kaikkia tosiseikkoja koskevia ja oikeudellisia kysymyksiä, jotka ovat niiden käsiteltäväksi saatetun asian kannalta merkittäviä.
Jos valvontaviranomainen on hylännyt tai jättänyt käsittelemättä valituksen, valituksen tekijä voi nostaa kanteen kyseisen jäsenvaltion tuomioistuimissa. Tämän asetuksen soveltamiseen liittyvien oikeussuojakeinojen yhteydessä niiden kansallisten tuomioistuinten, jotka katsovat, että asiaa koskeva päätös on tarpeen, jotta ne voivat antaa tuomion, voivat pyytää, tai SEUT 267 määrätyssä tapauksessa niiden on pyydettävä, unionin tuomioistuimelta ennakkoratkaisua unionin oikeuden tulkinnasta, tämä asetus mukaan lukien. Lisäksi, jos tietosuojaneuvoston päätöksen täytäntöön paneva valvontaviranomaisen päätös on riitautettu kansallisessa tuomioistuimessa ja kyseessä on tietosuojaneuvoston päätöksen pätevyys, kyseisellä kansallisella tuomioistuimella ei ole toimivaltaa julistaa tietosuojaneuvoston päätöstä pätemättömäksi, vaan sen on esitettävä pätevyyttä koskeva ennakkoratkaisukysymys unionin tuomioistuimelle SEUT 267 artiklan mukaisesti, sellaisena kuin se on unionin tuomioistuimen tulkitsemana, aina kun se katsoo, että päätös on pätemätön. Kansallinen tuomioistuin ei kuitenkaan saa esittää tietosuojaneuvoston päätöksen pätevyyttä koskevaa ennakkoratkaisukysymystä sellaisen luonnollisen henkilön tai oikeushenkilön pyynnöstä, jolla oli tilaisuus nostaa kumoamiskanne kyseistä päätöstä vastaan, erityisesti jos päätös koski tätä suoraan ja erikseen, mutta joka ei tehnyt niin SEUT 263 artiklassa vahvistetun määräajan kuluessa. (Oikaisu EUVL L 74 4.3.2021)
(144) Jos tuomioistuimella, jossa on nostettu kanne valvontaviranomaisen päätöstä vastaan, on syytä uskoa, että samaa käsittelyä, kuten saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa tai samaa syytä, koskevia kanteita on nostettu jonkin toisen jäsenvaltion toimivaltaisessa tuomioistuimessa, sen olisi otettava yhteyttä tuohon tuomioistuimeen varmistaakseen tällaisten yhteen liittyvien kanteiden olemassaolon. Jos yhteen liittyviä kanteita on vireillä toisen jäsenvaltion tuomioistuimessa, muut tuomioistuimet kuin se, jossa kanne on ensin nostettu, voivat keskeyttää asian käsittelyn tai ne voivat jonkin osapuolen pyynnöstä jättää asian tutkimatta sen tuomioistuimen hyväksi, jossa kanne on ensin nostettu, jos tämä tuomioistuin on toimivaltainen tutkimaan kyseiset kanteet ja jos tällaisten yhteen liittyvien kanteiden yhdistäminen on tämän tuomioistuimen lain mukaan sallittua. Kanteiden katsotaan liittyvän toisiinsa silloin, kun niiden välillä on niin läheinen yhteys, että kanteiden käsittely ja ratkaiseminen yhdessä näyttää tarkoituksenmukaiselta, jotta niiden käsittely eri oikeudenkäynneissä ei johtaisi ristiriitaisiin tuomioihin.
(145) Kantajan olisi voitava valita, nostaako se kanteen rekisterinpitäjää tai henkilötietojen käsittelijää vastaan niiden jäsenvaltioiden tuomioistuimissa, joihin rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut, vai rekisteröidyn asuinjäsenvaltiossa, paitsi jos rekisterinpitäjä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.
(146) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava luonnollisille henkilöille vahingot, jotka ovat aiheutuneet tietojenkäsittelystä, jossa on rikottu tätä asetusta. Rekisterinpitäjä tai henkilötietojen käsittelijä olisi vapautettava korvausvelvollisuudesta, jos se osoittaa, ettei se ole millään tavalla vastuussa kyseisestä vahingosta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai jäsenvaltion lainsäädännön muiden sääntöjen rikkomisesta. Käsittelyllä, jolla rikotaan tätä asetusta, tarkoitetaan myös tietojenkäsittelyä, jossa ei noudateta tämän asetuksen mukaisesti hyväksyttyjä delegoituja säädöksiä ja täytäntöönpanosäädöksiä tai tätä asetusta täsmentäviä jäsenvaltion lainsäädännön mukaisia sääntöjä. Rekisteröityjen olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta. Jos rekisterinpitäjät tai henkilötietojen käsittelijät ovat osallistuneet samaan tietojenkäsittelyyn, ne kaikki olisi katsottava vastuuvelvollisiksi koko vahingosta. Jos ne kuitenkin on yhdistetty samaan oikeudelliseen menettelyyn jäsenvaltion lainsäädännön mukaisesti, korvauksen suorittaminen voidaan jakaa sen mukaan, missä määrin kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa käsittelyn aiheuttamasta vahingosta, kunhan vahingon kärsineelle rekisteröidylle taataan täysi ja tosiasiallinen korvaus. Rekisterinpitäjä tai henkilötietojen käsittelijä, joka on maksanut täyden korvauksen, voi myöhemmin nostaa takautumiskanteen muita samaan tietojenkäsittelyyn osallistuneita rekisterinpitäjiä tai henkilötietojen käsittelijöitä vastaan.
(147) Kun tässä asetuksessa on tuomioistuimen toimivaltaa koskevia erityisiä sääntöjä, jotka liittyvät erityisesti rekisterinpitäjää tai henkilötietojen käsittelijää vastaan korvauksen saamiseksi nostettuihin muutoksenhakukanteisiin, tuomioistuimen toimivaltaa koskevat yleiset säännöt, kuten Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 1215/2012 (Euroopan parlamentin ja neuvoston asetus (EU) N:o 1215/2012, annettu 12 päivänä joulukuuta 2012, tuomioistuimen toimivallasta sekä tuomioiden tunnustamisesta ja täytäntöönpanosta siviili- ja kauppaoikeuden alalla (EUVL L 351, 20.12.2012, s. 1).) olevat säännöt, eivät saisi vaikuttaa näiden erityissääntöjen soveltamiseen.
(148) Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja, valvontaviranomaisen tämän asetuksen mukaisesti määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Jos kyseessä on vähäinen rikkominen tai jos määrättävä seuraamusmaksu olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan seuraamusmaksun sijasta antaa huomautus. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota. Seuraamusten, kuten hallinnollisten seuraamusmaksujen, määräämiseen olisi sovellettava riittäviä menettelytakeita unionin lainsäädännön ja perusoikeuskirjan yleisten periaatteiden mukaisesti, tehokkaat oikeussuojakeinot ja asianmukainen prosessi mukaan luettuina. (Oikaisu EUVL L 74 4.3.2021)
(149) Jäsenvaltiot voivat vahvistaa tämän asetuksen rikkomiseen sekä tämän asetuksen mukaisesti ja siinä asetetuissa rajoissa annettujen kansallisten sääntöjen rikkomiseen sovellettavia rikosoikeudellisia seuraamuksia koskevat säännöt. Nämä rikosoikeudelliset seuraamukset voivat mahdollistaa myös tämän asetuksen rikkomisella saadun hyödyn menettämisen. Kyseisten kansallisten sääntöjen rikkomiseen sovellettavien rikosoikeudellisten seuraamusten ja hallinnollisten seuraamusten määräämisen ei kuitenkaan tulisi johtaa ne bis in idem -periaatteen rikkomiseen unionin tuomioistuimen tulkinnan mukaan.
(150) Tämän asetuksen rikkomisen seurauksena määrättävien hallinnollisten seuraamusten vahvistamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia seuraamusmaksuja. Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien seuraamusmaksujen enimmäismäärä ja määrän asettamisen perusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki yksittäisen tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja sen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvoitteiden noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Silloin kun seuraamusmaksuja määrätään yritykselle, yritys olisi tässä yhteydessä ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi. Jos hallinnollisia seuraamusmaksuja määrätään henkilöille, jotka eivät ole yrityksiä, valvontaviranomaisen olisi seuraamusmaksun sopivan määrän harkinnassa otettava huomioon jäsenvaltion yleinen tulotaso ja henkilön taloudellinen tilanne. Yhdenmukaisuusmekanismia voidaan myös käyttää hallinnollisten seuraamusmaksujen johdonmukaisen soveltamisen edistämiseksi. Olisi oltava jäsenvaltioiden päätettävissä, voidaanko viranomaisille määrätä hallinnollisia seuraamusmaksuja ja missä määrin. Hallinnollisen seuraamusmaksun määräämisellä tai varoituksen antamisella ei ole vaikutusta valvontaviranomaisten muiden valtuuksien soveltamiseen eikä muihin tämän asetuksen mukaisiin seuraamuksiin. (Oikaisu EUVL L 74 4.3.2021)
(151) Tanskan ja Viron oikeusjärjestelmät eivät mahdollista tämän asetuksen mukaisia hallinnollisia seuraamusmaksuja. Hallinnollisia seuraamusmaksuja koskevia sääntöjä voi soveltaa niin, että Tanskassa seuraamusmaksun määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena ja Virossa seuraamusmaksun määrää valvontaviranomainen rikkomusmenettelyn puitteissa, edellyttäen että kyseisten jäsenvaltioiden sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla seuraamusmaksuilla. Toimivaltaisten kansallisten tuomioistuinten olisi siksi otettava huomioon seuraamusmaksun määräävän valvontaviranomaisen antama suositus. Määrättävien seuraamusmaksujen pitäisi joka tapauksessa olla tehokkaita, oikeasuhteisia ja varoittavia. (Oikaisu EUVL L 74 4.3.2021)
(152) Sikäli kuin tässä asetuksessa ei yhdenmukaisteta hallinnollisia seuraamuksia tai tarvittaessa muissa tapauksissa, esimerkiksi silloin, kun kyseessä on tämän asetuksen vakava rikkominen, jäsenvaltioiden olisi pantava täytäntöön järjestelmä, jossa määrätään tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista. Tällaisten rikosoikeudellisten tai hallinnollisten seuraamusten luonne olisi määriteltävä jäsenvaltion lainsäädännössä.
(153) Jäsenvaltioiden lainsäädännössä olisi sovitettava yhteen sananvapautta ja tiedonvälityksen vapautta, muun muassa journalistista, akateemista, taiteellista ja kirjallista ilmaisua, koskevat säännöt ja tämän asetuksen mukainen oikeus henkilötietojen suojaan. Eräiden tämän asetuksen säännösten noudattamista koskevia poikkeuksia tai vapautuksia olisi tarvittaessa myönnettävä yksinomaan journalistisia tarkoituksia tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten toteutettavaan henkilötietojen käsittelyyn, jotta voidaan sovittaa yhteen oikeus henkilötietojen suojaan sekä oikeus sananvapauden ja tiedonvälityksen vapauteen perusoikeuskirjan 11 artiklassa vahvistetulla tavalla. Tätä olisi sovellettava erityisesti audiovisuaalialalla sekä uutis- ja lehtiarkistoissa tapahtuvaan henkilötietojen käsittelyyn. Jäsenvaltioiden olisi tätä varten hyväksyttävä lainsäädäntötoimia, joissa säädetään vapautuksista ja poikkeuksista näiden perusoikeuksien tasapainottamista varten. Jäsenvaltioiden olisi hyväksyttävä tällaisia vapautuksia ja poikkeuksia, jotka koskevat yleisiä periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia sekä yhteistyötä, johdonmukaisuutta ja tietojenkäsittelyyn liittyviä erityistilanteita. Jos nämä vapautukset tai poikkeukset vaihtelevat jäsenvaltiosta toiseen, olisi sovellettava rekisterinpitäjään sovellettavaa jäsenvaltion lainsäädäntöä. Jotta voitaisiin ottaa huomioon sananvapautta koskevan oikeuden merkitys kaikissa demokraattisissa yhteiskunnissa, tähän vapauteen liittyviä käsitteitä, kuten journalismia, on tulkittava väljästi.
(154) Tätä asetusta sovellettaessa voidaan ottaa huomioon viranomaisten asiakirjojen julkisuusperiaate. Viranomaisten asiakirjojen julkisuutta voidaan pitää yleisenä etuna. Viranomaisen tai julkishallinnon elimen olisi voitava luovuttaa hallussaan olevien asiakirjojen sisältämiä henkilötietoja, jos kyseiseen viranomaiseen tai julkishallinnon elimeen sovellettavassa unionin oikeudessa tai jäsenvaltioiden lainsäädännössä niin säädetään. Kyseisessä lainsäädännössä olisi sovitettava yhteen virallisten asiakirjojen julkisuus ja julkisen sektorin hallussa olevien tietojen uudelleenkäyttö sekä oikeus henkilötietojen suojaan, ja sen vuoksi siinä voidaan säätää tarvittavasta yhteensovittamisesta tämän asetuksen mukaisen henkilötietojen suojaa koskevan oikeuden kanssa. Viranomaisia ja julkishallinnon elimiä koskevaan viittaukseen olisi tässä yhteydessä sisällytettävä kaikki viranomaiset ja muut elimet, jotka kuuluvat asiakirjojen julkisuutta koskevan jäsenvaltion lainsäädännön piiriin. Euroopan parlamentin ja neuvoston direktiivillä 2003/98/EY (Euroopan parlamentin ja neuvoston direktiivi 2003/98/EY, annettu 17 päivänä marraskuuta 2003, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä (EUVL L 345, 31.12.2003, s. 90).) ei puututa eikä millään tavalla vaikuteta unionin ja jäsenvaltion lainsäädännön säännösten mukaiseen luonnollisten henkilöiden suojelun tasoon henkilötietojen käsittelyssä, eikä sillä etenkään muuteta tässä asetuksessa säädettyjä velvollisuuksia ja oikeuksia. Kyseistä direktiiviä ei saisi etenkään soveltaa asiakirjoihin, jotka eivät ole saatavilla tai joiden saatavuutta on rajoitettu asiakirjojen saatavuutta koskevien järjestelmien perusteella henkilötietojen suojaamiseksi, ja sellaisiin kyseisten järjestelmien perusteella saatavilla olevien asiakirjojen osiin, jotka sisältävät henkilötietoja, joiden uudelleenkäytön on lainsäädännössä säädetty olevan ristiriidassa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä annetun lain kanssa. (Oikaisu EUVL L 74 4.3.2021)
(155) Jäsenvaltion lainsäädännöllä tai työehtosopimuksilla, mukaan lukien ”paikalliset sopimukset”, voidaan vahvistaa erityissäännöksiä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti niistä edellytyksistä, joiden mukaisesti henkilötietoja voidaan käsitellä työsuhteen yhteydessä työntekijän suostumuksen perusteella taikka rekrytointia tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien täyttäminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuuden ja monimuotoisuuden toteutuminen työpaikalla, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten. (Oikaisu EUVL L 74 4.3.2021)
(156) Henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten olisi sovellettava tämän asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Näillä suojatoimilla olisi varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaate. Henkilötietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten on tehtävä, jos rekisterinpitäjä on arvioinut, onko kyseiset tarkoitukset mahdollista saavuttaa käsittelemällä tietoja, joista ei voida tai ei enää voida tunnistaa rekisteröityjä, kunhan asianmukaiset suojatoimet (kuten tietojen pseudonymisointi) on toteutettu. Jäsenvaltioiden olisi toteutettava asianmukaiset suojatoimet henkilötietojen käsittelylle yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Jäsenvaltioille olisi annettava valtuudet, tietyin edellytyksin ja rekisteröityjen kannalta asianmukaiset suojatoimet huomioon ottaen, täsmentää ja sallia poikkeuksia informointivelvollisuuksiin sekä oikeuksiin oikaista, poistaa, tulla unohdetuksi, rajoittaa käsittelyä, siirtää tietoja järjestelmästä toiseen ja vastustaa tietojenkäsittelyä, kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Kyseiset edellytykset ja suojatoimet voivat käsittää erityiset menettelyt rekisteröityjen oikeuksien käyttämiseksi, jos tämä on asianmukaista tietyn käsittelyn tavoitteiden saavuttamisen nojalla teknisten ja organisatoristen suojakeinojen ohella, joilla pyritään henkilötietojen käsittelyn minimointiin oikeasuhteisuuden ja tarpeellisuuden periaatteiden toteuttamiseksi. Henkilötietojen käsittelyssä tieteellisiä tarkoituksia varten olisi myös noudatettava muuta asiaan liittyvää lainsäädäntöä, kuten kliinisiä kokeita koskevaa sääntelyä. (Oikaisu EUVL L 74 4.3.2021)
(157) Yhdistämällä rekistereistä saatuja tietoja tutkijat voivat saada erittäin arvokasta uutta tietämystä esimerkiksi laajalle levinneistä sairauksista, kuten sydän- ja verisuonitaudeista, syövästä ja masennuksesta. Rekistereiden pohjalta tutkimustuloksia voidaan parantaa, koska ne perustuvat laajempaan väestöaineistoon. Yhteiskuntatieteissä rekistereiden pohjalta tehty tutkimus antaa tutkijoille mahdollisuuden saada keskeistä tietämystä useiden yhteiskunnallisten tilanteiden, esimerkiksi työttömyyden ja koulutuksen pitkän aikavälin vastaavuussuhteesta muihin elämäntilanteisiin. Rekistereiden perusteella saadut tutkimustulokset tarjoavat luotettavaa korkealaatuista tietämystä, joka voi toimia pohjana tietoon perustuvan politiikan laatimiselle ja toteuttamiselle, parantaa monien ihmisten elämänlaatua sekä lisätä sosiaalipalvelujen vaikuttavuutta. Näin ollen henkilötietoja voidaan käsitellä tieteellisiin tutkimustarkoituksiin tieteellisen tutkimuksen helpottamiseksi edellyttäen, että unionin oikeudessa tai jäsenvaltion lainsäädännössä asetettuja asianmukaisia edellytyksiä ja suojatoimia noudatetaan. (Oikaisu EUVL L 74 4.3.2021)
(158) Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään arkistointitarkoituksiin, ottaen huomioon, että tätä asetusta ei sovelleta kuolleiden henkilöiden henkilötietoihin. Viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia rekistereitä, olisi unionin oikeuden tai jäsenvaltion lainsäädännön nojalla oltava palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja jakaa tietoja, joilla on pysyvää yleistä etua koskevaa merkitystä, sekä myöntää pääsy niihin. Jäsenvaltioiden olisi voitava mahdollistaa, että henkilötietoja voidaan käsitellä myöhemmin arkistointitarkoituksiin, esimerkiksi erityistietojen hankkimiseksi poliittisesta toiminnasta entisten totalitaaristen valtioiden järjestelmissä, kansanmurhasta, rikoksista ihmisyyttä vastaan ja erityisesti holokaustista tai sotarikoksista. (Oikaisu EUVL L 74 4.3.2021)
(159) Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään tieteellisiä tutkimustarkoituksia varten. Henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tämän asetuksen soveltamista varten tulkittava laajasti niin, että se tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta. Siinä olisi lisäksi otettava huomioon SEUT 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva unionin tavoite. Tieteellisiin tutkimustarkoituksiin olisi sisällyttävä myös kansanterveyden alalla yleistä etua varten tehdyt tutkimukset. Henkilötietojen käsittelyä tieteellisiin tutkimustarkoituksiin koskevien erityispiirteiden huomioon ottamiseksi olisi sovellettava erityisiä edellytyksiä etenkin henkilötietojen julkaisuun tai muuhun luovuttamiseen tieteellisten tutkimustarkoitusten yhteydessä. Jos tieteellisen tutkimuksen tulokset erityisesti terveysalalla antavat aihetta jatkotoimenpiteisiin rekisteröidyn edun mukaisesti, tämän asetuksen yleisiä sääntöjä olisi sovellettava kyseisiin toimenpiteisiin.
(160) Tätä asetusta olisi myös sovellettava, jos henkilötietoja käsitellään historiallisia tutkimustarkoituksia varten. Tähän olisi lisäksi sisällyttävä historiantutkimus ja sukututkimustarkoituksiin tehty tutkimus ottaen huomioon, että tätä asetusta ei sovelleta kuolleisiin henkilöihin.
(161) Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 536/2014 (Euroopan parlamentin ja neuvoston asetus (EU) N:o 536/2014, annettu 16 päivänä huhtikuuta 2014, ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta (EUVL L 158, 27.5.2014, s. 1).) asiaankuuluvia säännöksiä olisi sovellettava suostumukseen osallistua kliinisiin lääketutkimuksiin liittyviin tieteellisiin tutkimustoimiin.
(162) Tätä asetusta olisi sovellettava, jos henkilötietoja käsitellään tilastotarkoituksia varten. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi tässä asetuksessa asetetuissa rajoissa määritettävä tilastotarkoituksiin tapahtuvan henkilötietojen käsittelyn tilastollinen sisältö, tietoihin pääsyn valvonta ja yksityiskohtaiset vaatimukset sekä asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien turvaamiseksi ja tilastosalaisuuden varmistamiseksi. Tilastollisilla tarkoituksilla tarkoitetaan mitä tahansa henkilötietojen keräämis- ja käsittelytoimenpidettä, joka on tarpeen tilastotutkimuksia varten tai tilastollisten tulosten tuottamiseksi. Näitä tilastollisia tuloksia voidaan käyttää myöhemmin eri tarkoituksiin, kuten tieteellisiin tutkimustarkoituksiin. Tilastollinen tarkoitus pitää sisällään sen, että tilastollisiin tarkoituksiin tehtävän käsittelyn tuloksena ei ole henkilötietoja vaan yhdistelmätietoja ja että tätä tulosta tai näitä tietoja ei hyödynnetä ketään luonnollista henkilöä koskevissa toimenpiteissä tai päätöksissä.
(163) Luottamukselliset tiedot, joita unionin ja kansalliset tilastoviranomaiset keräävät virallisten eurooppalaisten ja kansallisten tilastojen laatimiseksi, olisi suojattava. Euroopan tilastoja olisi kehitettävä, laadittava ja levitettävä SEUT 338 artiklan 2 kohdassa vahvistettujen tilastollisten periaatteiden mukaisesti, mutta kansallisissa tilastoissa olisi lisäksi noudatettava jäsenvaltion lainsäädäntöä. Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 223/2009 (Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164).) määritellään tarkemmin eurooppalaisia tilastoja koskevan tilastosalaisuuden suojaaminen. (Oikaisu EUVL L 74 4.3.2021)
(164) Jäsenvaltiot voivat vahvistaa lainsäädännöllä tässä asetuksessa asetetuissa rajoissa erityiset säännöt, joiden avulla taataan vaitiolovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen henkilötietojen suojaa koskevan oikeuden ja vaitiolovelvollisuuden yhteensovittamiseksi, kun kyse on valvontaviranomaisten valtuuksista saada rekisterinpitäjältä tai henkilötietojen käsittelijältä pääsy henkilötietoihin ja rekisterinpitäjän ja henkilötietojen käsittelijän toimitiloihin. Tämä ei vaikuta jäsenvaltioiden nykyisiin, unionin oikeuden mukaisiin velvollisuuksiin hyväksyä vaitiolovelvollisuutta koskevia sääntöjä.
(165) Tässä asetuksessa kunnioitetaan kirkkojen ja uskonnollisten yhdistysten tai yhdyskuntien asemaa, joka niillä on voimassa olevan perustuslain mukaisesti jäsenvaltioissa, eikä puututa siihen, kuten SEUT 17 artiklassa todetaan.
(166) Jotta voidaan saavuttaa tämän asetuksen tavoitteet eli suojata luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan sekä varmistaa henkilötietojen vapaa liikkuvuus unionissa, komissiolle olisi siirrettävä valta hyväksyä säädösvallan siirron nojalla annettavia delegoituja säädöksiä SEUT 290 artiklan mukaisesti. Delegoituja säädöksiä olisi annettava erityisesti sertifiointimekanismeja koskevista kriteereistä ja vaatimuksista, vakiomuotoisilla kuvakkeilla annettavista tiedoista ja menettelyistä, joilla tällaisia kuvakkeita tarjotaan käyttöön. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla. Komission olisi delegoituja säädöksiä valmistellessaan ja laatiessaan varmistettava, että asianomaiset asiakirjat toimitetaan Euroopan parlamentille ja neuvostolle yhtäaikaisesti, hyvissä ajoin ja asianmukaisesti.
(167) Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovalta tässä asetuksessa säädetyn mukaisesti. Tätä valtaa olisi käytettävä asetuksen (EU) N:o 182/2011 mukaisesti. Tässä yhteydessä komission olisi harkittava erityisten toimenpiteiden toteuttamista mikroyritysten sekä pienten ja keskisuurten yritysten hyväksi.
(168) Tarkastelumenettelyä olisi sovellettava, kun vahvistetaan täytäntöönpanosäädöksiä rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä sekä henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista; käytännesäännöistä; teknisistä standardeista ja mekanismeista sertifiointia varten; kolmannen maan, kolmannessa maassa olevan alueen tai kolmannessa maassa olevan sektorin tai kansainvälisen järjestön antaman tietosuojan riittävyydestä; vakiosuojalausekkeista; muodosta ja menettelyistä sähköisin keinoin toteutettavaan tietojenvaihtoon rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä yritystä koskevia sitovia säännöksiä varten; keskinäisestä avunannosta; sekä järjestelyistä sähköisin keinoin toteutettavasta tietojenvaihdosta valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä. (Oikaisu EUVL L 74 4.3.2021)
(169) Komission olisi hyväksyttävä välittömästi sovellettavia täytäntöönpanosäädöksiä, kun saatavilla olevasta näytöstä käy ilmi, että kolmas maa, kyseisen kolmannen maan alue tai kyseisen kolmannen maan sektori taikka kansainvälinen järjestö ei tarjoa riittävää tietosuojaa, ja kun se on tarpeen pakottavista ja kiireellisistä syistä. (Oikaisu EUVL L 74 4.3.2021)
(170) Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitteita eli varmistaa luonnollisten henkilöiden yhdenmukaista suojelua ja henkilötietojen vapaata liikkuvuutta unionissa, vaan ne voidaan toiminnan laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen (SEU) 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Kyseisessä artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi.
(171) Direktiivi 95/46/EY olisi korvattava tällä asetuksella. Tämän asetuksen soveltamisen alkamispäivänä suoritettavana olevat käsittelyt olisi saatettava tämän asetuksen mukaisiksi kahden vuoden kuluessa tämän asetuksen voimaantulosta. Jos käsittely perustuu direktiivin 95/46/EY mukaiseen suostumukseen, rekisteröidyn ei tarvitse antaa henkilötietojen käsittelijälle uudestaan suostumustaan käsittelyn jatkamiseen tämän asetuksen soveltamisen alkamispäivän jälkeen, jos suostumuksen antamistapa on ollut tämän asetuksen edellytysten mukainen. Direktiiviin 95/46/EY perustuvat komission päätökset ja valvontaviranomaisten antamat hyväksynnät pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai kumotaan.
(172) Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 28 artiklan 2 kohdan mukaisesti, ja hän on antanut lausunnon 7 päivänä maaliskuuta 2012 (EUVL C 192, 30.6.2012, s. 7.).
(173) Tätä asetusta olisi sovellettava kaikkiin sellaisiin perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskeviin seikkoihin, joihin ei sovelleta Euroopan parlamentin ja neuvoston direktiivissä 2002/58/EY (Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).) säädettyjä erityisiä velvoitteita, joilla on sama tavoite, rekisterinpitäjää koskevat velvoitteet ja luonnollisten henkilöiden oikeudet mukaan lukien. Tämän asetuksen ja direktiivin 2002/58/EY keskinäisen suhteen selkeyttämiseksi olisi kyseistä direktiiviä tarkistettava. Kun tämä asetus on hyväksytty, direktiiviä 2002/58/EY olisi tarkasteltava uudelleen erityisesti sen ja tämän asetuksen keskinäisen yhdenmukaisuuden varmistamiseksi,
OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:
Yleiset säännökset
Kohde ja tavoitteet
1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.
2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.
3. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.
Ks. Euroopan unionin perusoikeuskirja 2016/C 202/02 8 artikla.
Aineellinen soveltamisala
1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;
b) jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;
c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;
d) jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.
3. Unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn sovelletaan asetusta (EY) N:o 45/2001. Asetus (EY) N:o 45/2001 ja muut tällaiseen henkilötietojen käsittelyyn sovellettavat unionin säädökset on mukautettava tämän asetuksen periaatteiden ja sääntöjen mukaisiksi 98 artiklaa noudattaen.
4. Tällä asetuksella ei rajoiteta direktiivin 2000/31/EY soveltamista etenkään niiltä osin kuin on kyse tuon direktiivin 12–15 artiklassa säädetyistä välittäjinä toimivien palveluntarjoajien vastuuta koskevista säännöistä.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-33/22, Österreichische Datenschutzbehörde, jonka mukaan parlamentin tutkintavaliokunnan on lähtökohtaisesti noudatettava yleistä tietosuoja-asetusta, ellei se tosiasiallisesti harjoittaa toimintaa, jonka tarkoituksena on kansallisen turvallisuuden turvaaminen.
Alueellinen soveltamisala
1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei.
2. Tätä asetusta sovelletaan unionissa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin, jos käsittely liittyy
a) tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai
b) näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa.
3. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, jota suorittava rekisterinpitäjä ei ole sijoittautunut unioniin vaan toimii paikassa, jossa sovelletaan jonkin jäsenvaltion lakia kansainvälisen julkisoikeuden nojalla.
Määritelmät
Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
3) ’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä,
4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin,
5) ’pseudonymisoimisella’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu,
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu,
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
9) ’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tiedustelun puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti, (Oikaisu EUVL L 74 4.3.2021)
10) ’kolmannella osapuolella’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena,
11) rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen,
12) ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,
13) ’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla,
14) ’biometrisillä tiedoilla’ kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä tietyllä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön yksiselitteinen tunnistaminen voidaan varmistaa, (Oikaisu EUVL L 74 4.3.2021)
15) ’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,
16) ’päätoimipaikalla’
a) kun kyseessä on rekisterinpitäjä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, paitsi jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään rekisterinpitäjän unionissa sijaitsevassa toisessa toimipaikassa ja viimeksi mainitulla toimipaikalla on toimivalta panna kyseiset päätökset täytäntöön; tällöin päätoimipaikaksi katsotaan toimipaikka, jossa kyseiset päätökset on tehty;
b) kun kyseessä on henkilötietojen käsittelijä, jolla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa, sen keskushallinnon sijaintipaikkaa unionissa, ja jos henkilötietojen käsittelijällä ei ole keskushallintoa unionissa, sitä henkilötietojen käsittelijän unionissa sijaitsevaa toimipaikkaa, jossa henkilötietojen käsittelijän toimipaikassa toteutettavan toiminnan yhteydessä suoritettava pääasiallinen käsittelytoiminta tapahtuu siinä määrin kuin henkilötietojen käsittelijään sovelletaan tämän asetuksen mukaisia erityisiä velvoitteita,
17) ’edustajalla’ unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä tai henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa 27 artiklan nojalla ja joka edustaa rekisterinpitäjää tai henkilötietojen käsittelijää, kun on kyse tähän asetukseen perustuvista rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksista,
18) ’yrityksellä’ taloudellista toimintaa harjoittavaa luonnollista henkilöä tai oikeushenkilöä sen oikeudellisesta muodosta riippumatta, mukaan lukien kumppanuudet tai yhdistykset, jotka säännöllisesti harjoittavat taloudellista toimintaa,
19) ’konsernilla’ määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä,
20) ’yritystä koskevilla sitovilla säännöillä’ henkilötietojen suojeluperiaatteita, joita jonkin jäsenvaltion alueelle sijoittautunut rekisterinpitäjä tai henkilötietojen käsittelijä on sitoutunut noudattamaan tehdessään henkilötietojen siirtoja tai siirtojen sarjoja yhdessä tai useammassa kolmannessa maassa sijaitsevalle samaan konserniin kuuluvalle tai yhteistä taloudellista toimintaa harjoittavalle rekisterinpitäjälle tai henkilötietojen käsittelijälle, (Oikaisu EUVL L 74 4.3.2021)
21) ’valvontaviranomaisella’ jäsenvaltion 51 artiklan nojalla perustamaa riippumatonta viranomaista,
22) ’osallistuvalla valvontaviranomaisella’ valvontaviranomaista, jota henkilökäsittely koskee, koska
a) rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle;
b) käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin; tai
c) kyseiselle valvontaviranomaiselle on tehty valitus,
23) ’rajatylittävällä käsittelyllä’ joko
a) henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän useammassa kuin yhdessä jäsenvaltiossa sijaitsevassa toimipaikassa toteutettavan toiminnan yhteydessä, ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon; tai
b) henkilötietojen käsittelyä, joka suoritetaan unionissa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa toteutettavan toiminnan yhteydessä mutta joka vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin,
24) ’merkityksellisellä ja perustellulla vastalauseella’ vastalausetta päätösehdotukseen, joka koskee sitä, onko tätä asetusta rikottu vai ei, tai tapauksen mukaan sitä, onko rekisterinpitäjän tai henkilötietojen käsittelijän suhteen suunniteltu toimi asetuksen mukainen, ja jossa osoitetaan selvästi päätösehdotuksen aiheuttamien riskien merkitys rekisteröityjen perusoikeuksille ja -vapauksille ja tapauksen mukaan henkilötietojen vapaalle liikkuvuudelle unionin alueella,
25) ’tietoyhteiskunnan palveluilla’ palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 (Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).) 1 artiklan 1 kohdan b alakohdassa,
26) ’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑461/22, MK (Curateur professionnel), jonka mukaan entistä edunvalvojaa, joka toimi ammattimaisesti hänen edunvalvontaansa määrätyn henkilön edunvalvojana, on pidettävä hänen hallussaan olevien kyseistä henkilöä koskevien henkilötietojen osalta rekisterinpitäjänä.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑659/22, Ministerstvo zdravotnictví koskien EU:n digitaalisten koronatodistusten pätevyyden tarkistamista kansallisen mobiilisovelluksen avulla.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-61/19, Orange Romania koskien henkilötietojen käsittelyä ja yksityisyyden suojaa, kun matkaviestinpalvelujen tarjoaja on kerännyt ja säilyttänyt asiakkaidensa henkilöllisyystodistusten kopioita.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-272/19, VQ, jonka mukaan vetoomusvaliokuntaa on pidettävä rekisterinpitäjänä, kun se määrittää käsittelyn tarkoitukset ja keinot.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-25/17 koskien KHO:n ennakkoratkaisupyyntöä uskonnollisen yhdyskunnan jäsenten ovelta ovelle ‑saarnaamistyönsä yhteydessä keräämistä henkilötiedoista ja rekisterinpitäjän käsitteestä. Ks. myös KHO:2018:171.
Periaatteet
Henkilötietojen käsittelyä koskevat periaatteet
1. Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:
a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);
b) ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”);
c) niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”); (Oikaisu EUVL L 74 4.3.2021)
d) niiden on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”); (Oikaisu EUVL L 74 4.3.2021)
e) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”);
f) niitä on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).
2. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-446/21, Schrems, jonka mukaan Facebookin kaltainen verkkoyhteisöalusta ei voi käyttää kaikkia saamiaansa henkilötietoja kohdistettuun mainontaan ilman ajallisia rajoituksia ja tekemättä eroa näiden tietojen luonteen mukaan.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-439/19, Latvijas Republikas Saeima (Liikennerikkomuspisteet) koskien kansallista lainsäädäntöä, jossa säädetään yleisön oikeudesta tutustua henkilötietoihin, jotka koskevat tieliikennerikkomuksista määrättyjä liikennerikkomuspisteitä.
Ks. KHO:2020:8.
Käsittelyn lainmukaisuus
1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.
2. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.
3. Edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko
a) unionin oikeudessa; tai
b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.
Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.
4. Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:
a) henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;
b) henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;
c) henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti;
d) aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille;
e) asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo.
Ks. TietosuojaL 1050/2018 4 §.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑740/22, Endemol Shine Finland koskien tuomioistuimen hallussa olevien luonnollisen henkilön rikostuomioihin liittyvien tietojen luovuttamista.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-252/21, Meta Platforms ym., jonka mukaan jäsenvaltion kilpailuviranomainen voi todeta määräävän markkina-aseman väärinkäyttöä koskevan tutkinnan yhteydessä, että yleistä tietosuoja-asetusta on rikottu.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑268/21, Norra Stockholm Bygg koskien henkilötietoja sisältävän asiakirjan esittämistä riita-asian oikeudenkäynnissä.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑306/21, Koalitsia „Demokratichna Bulgaria – Obedinenie“ koskien henkilötietojen käsittelyä vaalien järjestämisen yhteydessä ja ääntenlaskennan videokuvaamisen rajoittamista.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-597/19, M.I.C.M., jonka mukaan käyttäjien IP-osoitteiden järjestelmällinen tallentaminen ja heidän nimiensä ja postiosoitteidensa toimittaminen immateriaalioikeuksien haltijalle tai kolmannelle osapuolelle vahingonkorvauskanteen nostamisen mahdollistamiseksi on sallittua tietyin edellytyksin.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑673/17, Planet49, jonka mukaan valmiiksi rastitettu ruutu ei ole riittävä internetkäyttäjien aktiivisena suostumuksena evästeiden tallentamiseksi.
Suostumuksen edellytykset
1. Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.
2. Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova.
3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.
4. Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. (Oikaisu EUVL L 74 4.3.2021)
Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot
1. Jos 6 artiklan 1 kohdan a alakohtaa sovelletaan, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.
Jäsenvaltiot voivat lainsäädännössään säätää tätä tarkoitusta koskevasta alemmasta iästä, joka ei saa olla alle 13 vuotta.
2. Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen.
3. Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen, kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.
Ks. TietosuojaL 1050/2018 5 §.
Erityisiä henkilötietoryhmiä koskeva käsittely
1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. (Oikaisu EUVL L 74 4.3.2021)
2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:
a) rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;
b) käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista;
c) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;
d) käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta;
e) käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi;
f) käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään;
g) käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi;
h) käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;
i) käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi;
j) käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
3. Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka toinen henkilö, jota niin ikään sitoo lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.
4. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.
Ks. TietosuojaL 1050/2018 6 §.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-136/17, GC ym. koskien tietojen julkaisemista internetsivustoilla ainoastaan journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ja niiden vaikutusta hakutulosten luettelosta poistamista koskevan pyynnön käsittelyyn.
Rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely (Oikaisu EUVL L 74 4.3.2021)
Rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Kattavaa rikosrekisteriä pidetään vain julkisen viranomaisen valvonnassa. (Oikaisu EUVL L 74 4.3.2021)
Ks. TietosuojaL 1050/2018 7 §. Ks. myös RikosrekisteriL 770/1993.
Käsittely, joka ei edellytä tunnistamista
1. Jos tarkoitukset, joihin rekisterinpitäjä käsittelee henkilötietoja, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi.
2. Jos tämän artiklan 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä pystyy osoittamaan, ettei se pysty tunnistamaan rekisteröityä, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle, jos tämä on mahdollista. Tällaisissa tapauksissa 15–20 artiklaa ei sovelleta, paitsi jos rekisteröity näiden artikloiden mukaisia oikeuksiaan käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa.
Rekisteröidyn oikeudet
Läpinäkyvyys ja sitä koskevat yksityiskohtaiset säännöt (Oikaisu EUVL L 74 4.3.2021)
Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten
1. Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.
2. Rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15–22 artiklan mukaisten oikeuksien käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.
3. Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.
4. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.
5. Jäljempänä olevan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko
a) periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
b) kieltäytyä suorittamasta pyydettyä toimea.
Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.
6. Jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.
7. Jäljempänä 13 ja 14 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.
8. Siirretään komissiolle valta antaa 92 artiklan mukaisesti delegoituja säädöksiä, jotta voidaan määrittää kuvakkeilla annettavat tiedot ja menettelyt, joilla standardoituja kuvakkeita tarjotaan käyttöön.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-307/22, FT, jonka mukaan potilaalla on oikeus saada maksutta ensimmäinen kopio potilaskertomuksistaan.
Tietojen toimittaminen ja pääsy henkilötietoihin (Oikaisu EUVL L 74 4.3.2021)
Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä
1. Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:
a) rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot;
b) tapauksen mukaan tietosuojavastaavan yhteystiedot;
c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
d) rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan; (Oikaisu EUVL L 127 23.5.2018)
e) mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät; (Oikaisu EUVL L 74 4.3.2021)
f) tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville. (Oikaisu EUVL L 127 23.5.2018) (Oikaisu EUVL L 74 4.3.2021)
2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:
a) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
b) rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;
c) oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;
d) oikeus tehdä valitus valvontaviranomaiselle;
e) onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;
f) jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin, olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. (Oikaisu EUVL L 74 4.3.2021)
3. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.
4. Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot.
Toimitettavat tiedot, kun henkilötietoja ei ole saatu rekisteröidyltä (Oikaisu EUVL L 74 4.3.2021)
1. Kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:
a) rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot;
b) tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot;
c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
d) kyseessä olevat henkilötietoryhmät;
e) mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät;
f) tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.
2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:
a) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
b) rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;
c) rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;
d) oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;
e) oikeus tehdä valitus valvontaviranomaiselle;
f) mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä;
g) jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. (Oikaisu EUVL L 74 4.3.2021)
3. Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot:
a) kohtuullisen ajan kuluttua mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet;
b) jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran; tai
c) jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.
4. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.
5. Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin
a) rekisteröidyllä on jo tiedot; (Oikaisu EUVL L 74 4.3.2021)
b) kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten siten, että noudatetaan 89 artiklan 1 kohdassa esitettyjä edellytyksiä ja suojatoimia, tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti; tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville; (Oikaisu EUVL L 74 4.3.2021)
c) tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi; tai
d) tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.
Ks. TietosuojaL 1050/2018 33 §.
Rekisteröidyn oikeus saada tutustua tietoihin (Oikaisu EUVL L 74 4.3.2021)
1. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada seuraavat tiedot: (Oikaisu EUVL L 74 4.3.2021)
a) käsittelyn tarkoitukset;
b) kyseessä olevat henkilötietoryhmät;
c) vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;
d) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
e) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;
f) oikeus tehdä valitus valvontaviranomaiselle;
g) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki saatavilla olevat tiedot tietojen alkuperästä; (Oikaisu EUVL L 74 4.3.2021)
h) jäljempänä 22 artiklan 1 ja 4 kohdassa tarkoitetun automaattisen päätöksenteon, mukaan lukien profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. (Oikaisu EUVL L 74 4.3.2021)
2. Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus 46 artiklassa tarkoitetuista siirtoa koskevista asianmukaisista suojatoimista.
3. Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.
4. Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.
Ks. TietosuojaL 1050/2018 34 §.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-579/21, Pankki S, jonka mukaan jokaisella on oikeus saada tietää henkilötietoihinsa tehtyjen kyselyjen ajankohta ja syyt.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑154/21, Österreichische Post koskien rekisteröidyn oikeutta saada tiedot vastaanottajasta tai vastaanottajaryhmistä, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa.
Tietojen oikaiseminen ja poistaminen (Oikaisu EUVL L 74 4.3.2021)
Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys. (Oikaisu EUVL L 74 4.3.2021)
Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
1. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:
a) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
b) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta;
c) rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan nojalla eikä käsittelylle ole olemassa ensisijaista perusteltua syytä tai rekisteröity vastustaa käsittelyä 21 artiklan 2 kohdan nojalla; (Oikaisu EUVL L 74 4.3.2021)
d) henkilötietoja on käsitelty lainvastaisesti;
e) henkilötiedot on poistettava unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;
f) henkilötiedot on kerätty 8 artiklan 1 kohdassa tarkoitetun tietoyhteiskunnan palvelujen tarjoamisen yhteydessä.
2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.
3. Edellä olevaa 1 ja 2 kohtaa ei sovelleta siltä osin kuin käsittely on tarpeen (Oikaisu EUVL L 74 4.3.2021)
a) sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;
b) rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;
c) kansanterveyteen liittyvää yleistä etua koskevista syistä 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;
d) yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti; tai
e) oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-460/20, Google, jonka mukaan hakukoneen ylläpitäjän on poistettava hakutulosten luettelosta luettelossa olevaan sisältöön kuuluvat tiedot, jos pyynnön esittäjä osoittaa, että ne ovat ilmeisesti virheellisiä.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-507/17, Google LLC, jonka mukaan hakukoneen operaattorin ei tarvitse suorittaa viitteiden poistamista hakukoneen kaikista versioista.
Ks. KHO:2018:112.
Oikeus käsittelyn rajoittamiseen
1. Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:
a) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;
b) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
c) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
d) rekisteröity on vastustanut henkilötietojen käsittelyä 21 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.
2. Jos käsittelyä on rajoitettu 1 kohdan nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä. (Oikaisu EUVL L 74 4.3.2021)
3. Jos rekisteröity on saanut käsittelyn rajoitetuksi 1 kohdan nojalla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.
Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava kaikenlaisista 16 artiklan, 17 artiklan 1 kohdan ja 18 artiklan mukaisesti tehdyistä henkilötietojen oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.
Oikeus siirtää tiedot järjestelmästä toiseen
1. Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos
a) käsittely perustuu suostumukseen 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan nojalla tai sopimukseen 6 artiklan 1 kohdan b alakohdan nojalla; ja
b) käsittely suoritetaan automaattisesti.
2. Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.
3. Tämän artiklan 1 kohdassa tarkoitetun oikeuden käyttäminen ei kuitenkaan saa rajoittaa 17 artiklan soveltamista. Tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten.
4. Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.
Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtävät yksittäispäätökset (Oikaisu EUVL L 74 4.3.2021)
Vastustamisoikeus
1. Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
2. Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin.
3. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.
4. Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 ja 2 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
5. Tietoyhteiskunnan palvelujen käyttämisen yhteydessä ja sen estämättä, mitä direktiivissä 2002/58/EY määrätään, rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen.
6. Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä itseään koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.
Automatisoidut yksittäispäätökset, profilointi mukaan luettuna
1. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.
2. Edellä olevaa 1 kohtaa ei sovelleta, jos päätös
a) on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;
b) perustuu rekisterinpitäjään sovellettavan unionin oikeuteen tai jäsenvaltion lainsäädäntöön, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai (Oikaisu EUVL L 74 4.3.2021)
c) perustuu rekisteröidyn nimenomaiseen suostumukseen.
3. Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.
4. Edellä 2 kohdassa tarkoitetut päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.
Rajoitukset (Oikaisu EUVL L 74 4.3.2021)
Rajoitukset
1. Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa niiden velvollisuuksien ja oikeuksien soveltamisalaa, joista säädetään 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata (Oikaisu EUVL L 74 4.3.2021)
a) kansallinen turvallisuus;
b) puolustus;
c) yleinen turvallisuus;
d) rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;
e) muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;
f) oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;
g) säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, paljastaminen ja syytetoimet; (Oikaisu EUVL L 74 4.3.2021)
h) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–e ja g alakohdassa tarkoitetuissa tapauksissa;
i) rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;
j) yksityisoikeudellisten vaateiden täytäntöönpano. (Oikaisu EUVL L 74 4.3.2021)
2. Edellä 1 kohdassa tarkoitettujen lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin
a) käsittelytarkoitusta tai käsittelyn ryhmiä;
b) henkilötietoryhmiä;
c) käyttöön otettujen rajoitusten soveltamisalaa;
d) suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen;
e) rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä;
f) tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset;
g) rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja
h) rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.
Rekisterinpitäjä ja henkilötietojen käsittelijä
Yleiset velvollisuudet (Oikaisu EUVL L 74 4.3.2021)
Rekisterinpitäjän vastuu
1. Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.
2. Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.
3. Jäljempänä 40 artiklassa tarkoitettujen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan.
Sisäänrakennettu ja oletusarvoinen tietosuoja
1. Ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. (Oikaisu EUVL L 74 4.3.2021)
2. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
3. Hyväksyttyä 42 artiklan mukaista sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan.
Yhteisrekisterinpitäjät
1. Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.
2. Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.
3. Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.
Ks. esim. L valtakunnallisista opinto- ja tutkintorekistereistä 884/2017 2 luku 5 § ja VarhaiskasvatusL 540/2018 13 luku 67 §.
Unionin ulkopuolelle sijoittautuneiden rekisterinpitäjien tai henkilötietojen käsittelijöiden edustajat
1. Sovellettaessa 3 artiklan 2 kohtaa rekisterinpitäjän tai henkilötietojen käsittelijän on nimettävä kirjallisesti edustaja unionin aluetta varten.
2. Tämän artiklan 1 kohdassa säädettyä velvollisuutta ei sovelleta
a) jos käsittely on satunnaista eikä kohdistu laajamittaisesti 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin eikä todennäköisesti aiheuta käsittelyn luonne, asiayhteys, laajuus ja tarkoitukset huomioon ottaen riskiä luonnollisen henkilön oikeuksien ja vapauksille; tai
b) viranomaisiin tai julkishallinnon elimiin.
3. Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään heille tarjottavien tavaroiden tai palvelujen yhteydessä tai joiden käyttäytymistä seurataan.
4. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava edustajalle toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä rekisterinpitäjän tai henkilötietojen käsittelijän lisäksi tai sijasta kaikissa kysymyksissä, jotka liittyvät käsittelyyn, tämän asetuksen noudattamisen varmistamiseksi.
5. Se, että rekisterinpitäjä tai henkilötietojen käsittelijä nimeää edustajan, ei rajoita oikeustoimia, jotka voidaan käynnistää rekisterinpitäjää tai henkilötietojen käsittelijää vastaan.
Henkilötietojen käsittelijä
1. Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. (Oikaisu EUVL L 74 4.3.2021)
2. Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on yleisestä kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia. (Oikaisu EUVL L 74 4.3.2021)
3. Henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä
a) käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;
b) varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;
c) toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;
d) noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;
e) ottaen huomioon käsittelyn luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä; (Oikaisu EUVL L 74 4.3.2021)
f) auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;
g) rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;
h) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.
Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.
4. Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimintojen suorittamiseksi rekisterinpitäjän puolesta, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa erityisesti antaen riittävät takeet siitä, että käsittelyyn liittyvät asianmukaiset tekniset ja organisatoriset toimet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.
5. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää osatekijänä, jolla osoitetaan, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.
6. Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa rekisterinpitäjälle tai henkilötietojen käsittelijälle 42 tai 43 artiklan mukaisesti myönnettyä sertifiointia.
7. Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
8. Valvontaviranomainen voi hyväksyä vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti.
9. Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.
10. Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 82, 83 ja 84 artiklan soveltamista.
Ks. Kpäät (EU) 2021/915 rekisterinpitäjien ja henkilötietojen käsittelijöiden välisistä vakiosopimuslausekkeista sekä KPäät (EU) 2021/914 vakiosopimuslausekkeista, jotka koskevat henkilötietojen siirtämistä kolmansiin maihin.
Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.
Seloste käsittelytoimista
1. Jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:
a) rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;
b) käsittelyn tarkoitukset;
c) kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;
d) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;
e) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;
f) mikäli mahdollista, suunnitellut määräajat eri tietoryhmiin kuuluvien tietojen poistamiseksi; (Oikaisu EUVL L 74 4.3.2021)
g) mikäli mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista. (Oikaisu EUVL L 74 4.3.2021)
2. Kunkin henkilötietojen käsittelijän ja tarvittaessa henkilötietojen käsittelijän edustajan on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:
a) henkilötietojen käsittelijän tai käsittelijöiden ja kunkin rekisterinpitäjän, jonka lukuun henkilötietojen käsittelijä toimii, sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan sekä tietosuojavastaavan nimi ja yhteystiedot;
b) kunkin rekisterinpitäjän lukuun suoritettavien käsittelyiden ryhmät;
c) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;
d) mikäli mahdollista, yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.
(Oikaisu EUVL L 74 4.3.2021)
3. Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.
4. Rekisterinpitäjän tai henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.
5. Edellä 1 ja 2 kohdassa tarkoitetut velvollisuudet eivät koske yritystä tai yhteisöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin. (Oikaisu EUVL L 74 4.3.2021)
Yhteistyö valvontaviranomaisen kanssa
Rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi.
Ks. TietosuojaL 1050/2018 8 §.
Henkilötietojen turvallisuus (Oikaisu EUVL L 74 4.3.2021)
Käsittelyn turvallisuus
1. Ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten (Oikaisu EUVL L 74 4.3.2021)
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus; (Oikaisu EUVL L 74 4.3.2021)
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
2. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.
3. Jäljempänä 40 artiklassa tarkoitettujen hyväksyttyjen käytännesääntöjen tai 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.
4. Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaadita.
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle
1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.
2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.
3. Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään
a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
4. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.
5. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.
Ks. TietosuojaL 1050/2018 8 §.
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
1. Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
2. Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 33 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.
3. Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:
a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;
b) rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;
c) se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.
4. Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.
Tietosuojaa koskeva vaikutustenarviointi ja ennakkokuuleminen (Oikaisu EUVL L 74 4.3.2021)
Tietosuojaa koskeva vaikutustenarviointi
1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.
2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.
3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:
a) luonnollisten henkilöiden henkilökohtaisten ominaisuuksia arvioidaan järjestelmällisesti ja kattavasti perustuen automaattiseen käsittelyyn, kuten profilointiin, mikä johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi; (Oikaisu EUVL L 74 4.3.2021)
b) laajamittainen käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikoksia koskeviin tietoihin; tai (Oikaisu EUVL L 74 4.3.2021)
c) on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta. (Oikaisu EUVL L 74 4.3.2021)
4. Valvontaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi. Valvontaviranomaisen on toimitettava tällaiset luettelot 68 artiklassa tarkoitetulle neuvostolle.
5. Valvontaviranomainen voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia. Valvontaviranomaisen on toimitettava tällaiset luettelot tietosuojaneuvostolle.
6. Jos 4 ja 5 kohdassa tarkoitettu luettelo sisältää käsittelytoimia, jotka liittyvät tavaroiden tai palvelujen tarjoamiseen rekisteröidyille tai näiden käyttäytymisen seurantaan useissa jäsenvaltioissa tai jos toimet voivat merkittävästi vaikuttaa henkilötietojen vapaaseen liikkuvuuteen unionissa, toimivaltaisen valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia ennen kuin se vahvistaa kyseisen luettelon.
7. Arvioinnin on sisällettävä vähintään:
a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;
b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;
c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja
d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
8. Se, että asianomaiset rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, otetaan asianmukaisesti huomioon arvioitaessa kyseisten rekisterinpitäjien ja henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.
9. Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.
10. Jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava unionin oikeus tai jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen käsittelyn oikeusperusteen hyväksymisen yhteydessä, 1–7 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista.
11. Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.
Ennakkokuuleminen
1. Rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.
2. Jos valvontaviranomainen katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, valvontaviranomaisen on enintään kahdeksan viikon kuluessa kuulemispyynnöstä annettava kirjallisesti neuvot rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Jos sovelletaan jatkettua määräaikaa, valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja tarvittaessa henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa pyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes valvontaviranomainen on saanut tiedot, joita se on mahdollisesti pyytänyt kuulemista varten. (Oikaisu EUVL L 74 4.3.2021)
3. Kuullessaan 1 kohdan mukaisesti valvontaviranomaista rekisterinpitäjän on toimitettava valvontaviranomaiselle
a) tarvittaessa rekisterinpitäjän, yhteisrekisterinpitäjien ja käsittelyyn osallistuneiden henkilötietojen käsittelijöiden vastuualueet erityisesti konsernin sisällä suoritettavaa käsittelyä varten;
b) suunnitellun käsittelyn tarkoitus ja keinot;
c) toimenpiteet ja toteutetut suojatoimet rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi tämän asetuksen nojalla;
d) tapauksen mukaan tietosuojavastaavan yhteystiedot;
e) edellä 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi; ja
f) muut valvontaviranomaisen pyytämät tiedot.
4. Jäsenvaltioiden on kuultava valvontaviranomaista valmistellessaan kansallisen parlamentin hyväksyntää varten ehdotusta lainsäädäntötoimenpiteeksi tai tällaiseen lainsäädäntötoimenpiteeseen perustuvaa sääntelytoimenpidettä, joka liittyy henkilötietojen käsittelyyn.
5. Sen estämättä, mitä 1 kohdassa säädetään, jäsenvaltion lainsäädännössä voidaan vaatia rekisterinpitäjiä kuulemaan valvontaviranomaista ja saamaan siltä ennakkolupa, jos rekisterinpitäjä suorittaa henkilötietojen käsittelyn yleiseen etuun liittyvän tehtävän suorittamiseksi, mukaan lukien käsittely sosiaaliturvan ja kansanterveyden alalla.
Tietosuojavastaava (Oikaisu EUVL L 74 4.3.2021)
Tietosuojavastaavan nimittäminen
1. Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun
a) tietojenkäsittelyä suorittaa jokin muu viranomainen tai julkishallinnon elin kuin lainkäyttötehtäviään hoitava tuomioistuin;
b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai
c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioihin tai rikoksiin liittyviin henkilötietoihin. (Oikaisu EUVL L 74 4.3.2021)
2. Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, yksi ainoa tietosuojavastaava voidaan nimittää useampaa tällaista viranomaista tai julkishallinnon elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.
4. Muissa kuin 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä tai henkilötietojen käsittelijä tai rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä edustavat yhdistykset ja muut elimet voivat nimittää tietosuojavastaavan tai, jos unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaaditaan, niiden on nimitettävä tietosuojavastaava. Tietosuojavastaava voi toimia tällaisten rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten puolesta.
5. Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät.
6. Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella.
7. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.
Tietosuojavastaavan asema
1. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.
2. Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän suorittaessa 39 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien täyttämisessä, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.
3. Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.
4. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tähän asetukseen perustuvien oikeuksiensa käyttöön.
5. Tietosuojavastaavaa sitoo hänen tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.
6. Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑453/21, X-FAB Dresden koskien tietosuojavastaavan erottamista.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-534/20, Leistritz koskien tietosuojavastaavan työsuhteen irtisanomista.
Tietosuojavastaavan tehtävät
1. Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:
a) antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia;
b) seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;
c) antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti;
d) tehdä yhteistyötä valvontaviranomaisen kanssa;
e) toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.
2. Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.
Käytännesäännöt ja sertifiointi (Oikaisu EUVL L 74 4.3.2021)
Käytännesäännöt
1. Jäsenvaltioiden, valvontaviranomaisten, tietosuojaneuvoston ja komission on edistettävä sellaisten käytännesääntöjen laatimista, joiden avulla tuetaan tämän asetuksen asianmukaista soveltamista, ottaen huomioon käsittelyn erityispiirteet eri sektoreilla ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet. (Oikaisu EUVL L 74 4.3.2021)
2. Yhdistykset ja muut elimet, jotka edustavat rekisterinpitäjien tai henkilötietojen käsittelijöiden eri ryhmiä, voivat tämän asetuksen säännösten soveltamisen täsmentämiseksi laatia käytännesääntöjä tai muuttaa tai laajentaa niitä muun muassa seuraavien osalta:
a) käsittelyn asianmukaisuus ja läpinäkyvyys;
b) rekisterinpitäjän oikeutetut edut tietyissä yhteyksissä;
c) henkilötietojen kerääminen;
d) henkilötietojen pseudonymisointi;
e) yleisölle ja rekisteröidyille tarkoitettu tiedotus;
f) rekisteröidyn oikeuksien käyttäminen;
g) lapsille tarkoitettu tiedotus ja lasten suojelu sekä keinot lapsen vanhempainvastuunkantajan suostumuksen saamiseksi;
h) tämän asetuksen 24 ja 25 artiklassa tarkoitetut toimenpiteet ja menettelyt sekä 32 artiklassa tarkoitetut toimenpiteet tietojenkäsittelyn turvallisuuden varmistamiseksi;
i) henkilötietojen tietoturvaloukkauksista ilmoittaminen valvontaviranomaisille ja rekisteröidylle;
j) henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille; tai
k) tuomioistuinten ulkopuoliset ja muut riidanratkaisumenettelyt käsittelyä koskevien kiistojen ratkaisemiseksi rekisterinpitäjien ja rekisteröityjen välillä, 77 ja 79 artiklaan perustuvia rekisteröityjen oikeuksia rajoittamatta.
3. Käytännesääntöjä, joita sovelletaan rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joihin sovelletaan tätä asetusta, ja jotka on hyväksytty tämän artiklan 5 kohdan mukaisesti ja jotka ovat tämän artiklan 9 kohdan mukaisesti yleisesti päteviä, voivat noudattaa myös rekisterinpitäjät tai henkilötietojen käsittelijät, joihin tätä asetusta ei sovelleta 3 artiklan nojalla, voidakseen tarjota asianmukaiset suojatoimet 46 artiklan 2 kohdan e alakohdassa tarkoitettujen ehtojen mukaisesti siirrettäessä henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille. Tällaisten rekisterinpitäjien tai henkilötietojen käsittelijöiden on joko sopimusperusteisesti tai muulla oikeudellisesti sitovalla tavalla tehtävä sitovat ja täytäntöönpanokelpoiset sitoumukset näiden asianmukaisten suojatoimien soveltamiseksi myös rekisteröityjen oikeuksiin. (Oikaisu EUVL L 74 4.3.2021)
4. Tämän artiklan 2 kohdassa tarkoitettuihin käytännesääntöihin on sisällytettävä mekanismit, joiden avulla 41 artiklan 1 kohdassa tarkoitettu elin voi velvoitteen mukaisesti valvoa, että käytännesääntöjä soveltavat rekisterinpitäjät tai henkilötietojen käsittelijät noudattavat niitä, 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia rajoittamatta.
5. Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat laatia käytännesääntöjä tai muuttaa tai laajentaa voimassa olevia käytännesääntöjä, on toimitettava käytännesääntöjen luonnos, muutos tai laajennus valvontaviranomaiselle, joka on 55 artiklan nojalla toimivaltainen. Valvontaviranomainen antaa lausunnon siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen, ja hyväksyy tämän käytännesääntöjen luonnoksen, muutoksen tai laajennuksen, jos se katsoo sen tarjoavan riittävät asianmukaiset takeet.
6. Jos 5 kohdan mukaisesti vahvistetaan, että käytännesääntöjen luonnos, muutos tai laajennus on tämän asetuksen mukainen ja jos kyseiset käytännesäännöt eivät liity käsittelytoimiin useissa eri jäsenvaltioissa, valvontaviranomainen rekisteröi ja julkaisee käytännesäännöt.
7. Jos käytännesääntöjen luonnos liittyy käsittelytoimiin useissa eri jäsenvaltioissa, 55 artiklan nojalla toimivaltainen valvontaviranomainen toimittaa sen ennen käytännesääntöjen, muutoksen tai laajennuksen hyväksymistä 63 artiklassa tarkoitetun menettelyn mukaisesti tietosuojaneuvostolle, joka antaa lausunnon siitä, onko käytännesääntöjen luonnos, muutos tai laajennus tämän asetuksen mukainen tai, tämän artiklan 3 kohdassa tarkoitetussa tapauksessa, tarjoaako se asianmukaiset suojatoimet.
8. Jos 7 kohdassa tarkoitetussa lausunnossa vahvistetaan, että käytännesääntöjen luonnos, muutos tai laajennus on tämän asetuksen mukainen, tai 3 kohdassa tarkoitetussa tapauksessa, tarjoaa asianmukaiset suojatoimet, tietosuojaneuvosto toimittaa lausuntonsa komissiolle.
9. Komissio voi antaa täytäntöönpanosäädöksiä, joissa se toteaa, että sille tämän artiklan 8 kohdan nojalla esitetyt hyväksytyt käytännesäännöt, muutokset tai laajennukset ovat yleisesti päteviä unionissa. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
10. Komissio huolehtii niiden hyväksyttyjen käytännesääntöjen asianmukaisesta julkaisemisesta, jotka se on todennut yleisesti päteviksi 9 kohdan mukaisesti.
11. Tietosuojaneuvosto kokoaa kaikki hyväksytyt käytännesäännöt, muutokset ja laajennukset ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.
Hyväksyttyjen käytännesääntöjen seuranta
1. Tämän asetuksen 40 artiklan mukaisten käytännesääntöjen noudattamisen seurannan voi hoitaa elin, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia.
2. Tämän artiklan 1 kohdassa tarkoitettu elin voidaan akkreditoida valvomaan käytännesääntöjen noudattamista, jos se on:
a) osoittanut riippumattomuutensa ja asiantuntemuksensa käytännesääntöjen kohteen osalta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;
b) vahvistanut menettelyt, joiden avulla se voi arvioida asianomaisten rekisterinpitäjien ja henkilötietojen käsittelijöiden kelpoisuutta käytännesääntöjen soveltamisessa, seurata, kuinka ne noudattavat niiden säännöksiä, ja tarkastella määräajoin uudelleen niiden toimintaa;
c) vahvistanut menettelyt ja rakenteet sellaisten valitusten käsittelemiseksi, jotka koskevat käytännesääntöjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee käytännesääntöjä täytäntöön, ja tekee näistä menettelyistä ja rakenteista rekisteröityjen ja yleisön kannalta läpinäkyviä;
d) osoittanut toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.
3. Toimivaltainen valvontaviranomainen toimittaa tämän artiklan 1 kohdassa tarkoitetun elimen akkreditoimista koskevat vaatimusehdotukset tietosuojaneuvostolle 63 artiklassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti. (Oikaisu EUVL L 127 23.5.2018)
4. Rekisterinpitäjän tai henkilötietojen käsittelijän syyllistyessä käytännesääntöjen rikkomiseen tämän artiklan 1 kohdassa tarkoitetun elimen on asianmukaisia suojamääräyksiä noudattaen toteutettava tarvittavia toimia, mukaan lukien asianomaisen rekisterinpitäjän tai henkilötietojen käsittelijän määräaikainen tilapäinen tai pysyvä sulkeminen käytännesääntöjen soveltamisalan ulkopuolelle, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen tehtäviä ja valtuuksia ja VIII luvun säännösten soveltamista. Elin ilmoittaa toimivaltaiselle valvontaviranomaiselle kyseisistä toimista ja niiden toteuttamisen syistä. (Oikaisu EUVL L 74 4.3.2021)
5. Toimivaltainen valvontaviranomainen peruuttaa 1 kohdassa tarkoitetun elimen akkreditoinnin, jos akkreditointia koskevat vaatimukset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta. (Oikaisu EUVL L 127 23.5.2018)
6. Tätä artiklaa ei sovelleta viranomaisten tai julkishallinnon elinten suorittamaan henkilötietojen käsittelyyn.
Sertifiointi
1. Jäsenvaltiot, valvontaviranomaiset, tietosuojaneuvosto ja komissio kannustavat ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä erityisesti unionin tasolla, minkä tarkoituksena on osoittaa, että rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat käsittelytoimia suorittaessaan tätä asetusta. Mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet on otettava huomioon.
2. Tietosuojaa koskevia sertifiointimekanismeja, sinettejä ja merkkejä, jotka on hyväksytty 5 kohdan mukaisesti ja joita sovelletaan tämän asetuksen soveltamisalaan kuuluviin rekisterinpitäjiin tai henkilötietojen käsittelijöihin, voidaan ottaa käyttöön myös tarkoituksena osoittaa, että rekisterinpitäjät tai henkilötietojen käsittelijät, joihin tätä asetusta ei sovelleta 3 artiklan nojalla, soveltavat asianmukaisia suojatoimia siirrettäessä henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille 46 artiklan 2 kohdan f alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaiset rekisterinpitäjät tai henkilötietojen käsittelijöiden on joko sopimusperusteisesti tai muulla oikeudellisesti sitovalla tavalla tehtävä sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamiseksi myös rekisteröityjen oikeuksiin.
3. Sertifioinnin on oltava vapaaehtoista ja helposti saatavilla sellaisen menettelyn perusteella, joka on läpinäkyvä.
4. Tämän artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta eikä se rajoita 55 tai 56 artiklan nojalla toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia.
5. Tämän artiklan mukaisen sertifioinnin myöntävät 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen kyseisen toimivaltaisen valvontaviranomaisen 58 artiklan 3 kohdan nojalla tai tietosuojaneuvoston 63 artiklan nojalla hyväksymien kriteerien perusteella. Jos tietosuojaneuvosto on hyväksynyt kriteerit, voidaan tehdä yhteinen sertifiointi, eurooppalainen tietosuojasinetti.
6. Rekisterinpitäjä tai henkilötietojen käsittelijä, joka saattaa käsittelynsä sertifiointimekanismin alaiseksi, antaa 43 artiklassa tarkoitetulle sertifiointielimelle tai tarvittaessa toimivaltaiselle valvontaviranomaiselle kaikki sertifiointimenettelyn suorittamiseen tarvittavat tiedot sekä pääsyn käsittelytoimiinsa. (Oikaisu EUVL L 74 4.3.2021)
7. Sertifiointi myönnetään rekisterinpitäjälle tai henkilötietojen käsittelijälle enintään kolmeksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sitä koskevat kriteerit edelleen täyttyvät. Jäljempänä 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen peruuttavat sertifioinnin tarvittaessa, jos sertifiointia koskevat kriteerit eivät täyty tai eivät enää täyty. (Oikaisu EUVL L 74 4.3.2021)
8. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit sekä tietosuojasinetit ja -merkit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla. (Oikaisu EUVL L 74 4.3.2021)
Sertifiointielimet
1. Sertifioinnin myöntää ja uusii sertifiointielin, jolla on tietosuojaan liittyvä asianmukaisen tason asiantuntemus, sen jälkeen kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien käyttämisen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia. Jäsenvaltioiden on varmistettava, että nämä sertifiointielimet akkreditoi joko yksi tai molemmat seuraavista: (Oikaisu EUVL L 74 4.3.2021)
a) 55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen;
b) Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30).) mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 -standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia.
2. Tämän artiklan 1 kohdassa tarkoitettu sertifiointielin voidaan akkreditoida kyseisen kohdan mukaisesti ainoastaan, jos
a) se on osoittanut riippumattomuutensa ja asiantuntemuksensa sertifioinnin kohteesta toimivaltaista valvontaviranomaista tyydyttävällä tavalla;
b) se on luvannut noudattaa 42 artiklan 5 kohdassa tarkoitettuja ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymiä kriteerejä;
c) se on vahvistanut menettelyt tietosuojasertifioinnin, -sinettien ja -merkkien myöntämistä, määräaikaistarkastelua ja peruuttamista varten;
d) se on vahvistanut menettelyt ja rakenteet, joilla käsitellään valituksia, jotka koskevat sertifiointimenettelyjen rikkomisia tai tapaa, jolla rekisterinpitäjä tai henkilötietojen käsittelijä on pannut tai panee sertifioinnin täytäntöön, ja saattaa nämä menettelyt ja rakenteet rekisteröityjen ja yleisön kannalta läpinäkyviksi; ja
e) se osoittaa toimivaltaista valvontaviranomaista tyydyttävällä tavalla, että sen tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.
3. Tämän artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymien vaatimusten perusteella. (Oikaisu EUVL L 127 23.5.2018)
4. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ovat vastuussa asianmukaisesta sertifiointiin tai tällaisen sertifioinnin peruuttamiseen johtavasta arvioinnista, sanotun kuitenkaan rajoittamatta rekisterinpitäjän tai henkilötietojen käsittelijän vastuuta tämän asetuksen noudattamisesta. Akkreditointi myönnetään enintään viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sertifiointielin täyttää tässä artiklassa säädetyt vaatimukset.
5. Tämän artiklan 1 kohdassa tarkoitetut sertifiointielimet ilmoittavat toimivaltaiselle valvontaviranomaiselle syyt pyydetyn sertifioinnin myöntämiseen tai peruuttamiseen.
6. Valvontaviranomainen julkistaa tämän artiklan 3 kohdassa tarkoitetut vaatimukset ja 42 artiklan 5 kohdassa tarkoitetut kriteerit helposti saatavilla olevassa muodossa. Valvontaviranomaiset toimittavat nämä vaatimukset ja kriteerit myös tietosuojaneuvostolle. (Oikaisu EUVL L 127 23.5.2018)
7. Toimivaltainen valvontaviranomainen tai kansallinen akkreditointielin peruuttaa tämän artiklan 1 kohdan nojalla sertifiointielimelle myöntämänsä akkreditoinnin, jos akkreditoinnin edellytykset eivät täyty tai eivät enää täyty tai jos elimen toteuttamat toimet rikkovat tätä asetusta, sanotun kuitenkaan rajoittamatta VIII luvun soveltamista.
8. Komissiolle siirretään 92 artiklan mukaisesti valta antaa delegoituja säädöksiä, joissa täsmennetään 42 artiklan 1 kohdassa tarkoitettujen tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset.
9. Komissio voi hyväksyä täytäntöönpanosäädöksiä, joilla vahvistetaan tekniset standardit sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyt näiden sertifiointimekanismien edistämiseksi ja tunnustamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille
Siirtoja koskeva yleinen periaate
Sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat tässä luvussa vahvistettuja edellytyksiä ja ellei tämän asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia tämän luvun säännöksiä on sovellettava, jotta varmistetaan, että tällä asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.
Siirto tietosuojan riittävyyttä koskevan päätöksen perusteella
1. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.
2. Arvioidessaan tietosuojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:
a) oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat vaikuttavat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;
b) se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, kuten riittävistä valvontavaltuuksista, oikeuksien käyttämistä koskevan avun ja neuvojen tarjoamisesta rekisteröidyille sekä yhteistyön tekemisestä jäsenvaltioiden valvontaviranomaisten kanssa;
c) asianosaisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai säädöksistä taikka monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.
3. Komissio voi arvioituaan suojan riittävyyden päättää täytäntöönpanosäädöksellä, että kolmas maa tai kolmannen maan alue tai yksi tai useampi kolmannessa maassa sijaitseva tietty sektori tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksellä on säädettävä mekanismista, joka koskee vähintään joka neljäs vuosi tehtävää määräaikaistarkastelua, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen soveltamisala ja alakohtainen soveltaminen ja tarvittaessa nimetään tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen tai valvontaviranomaiset. Täytäntöönpanosäädös hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. (Oikaisu EUVL L 74 4.3.2021)
4. Komissio seuraa jatkuvasti kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa tämän artiklan 3 kohdan mukaisesti hyväksyttyjen päätösten ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyjen päätösten toimivuuteen.
5. Jos saatavilla olevista tiedoista käy ilmi varsinkin tämän artiklan 3 kohdassa tarkoitetun tarkastelun jälkeen, että kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö ei tarjoa enää tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, komissio tekee tästä päätöksen ja tarvittaessa kumoaa tämän artiklan 3 kohdassa tarkoitetun päätöksen, muuttaa sitä tai lykkää sen voimaantuloa täytäntöönpanosäädöksellä ilman takautuvaa vaikutusta. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
Komissio hyväksyy 93 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa.
6. Komissio aloittaa neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa korjatakseen tilanteen, jonka johdosta 5 kohdan mukainen päätös annettiin.
7. Edellä tämän artiklan 5 kohdan nojalla annettu päätös ei rajoita 46–49 artiklan mukaisesti tehtäviä henkilötietojen siirtoja kolmanteen maahan tai kyseisen kolmannen maan alueelle tai yhdelle tai useammalle tietylle sektorille tai kansainväliselle järjestölle.
8. Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietyistä sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei enää ole riittävä.
9. Komission direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla antamat päätökset pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai kumotaan tämän artiklan 3 tai 5 kohdan mukaisesti annetulla komission päätöksellä.
Siirto asianmukaisia suojatoimia soveltaen
1. Jollei 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.
2. Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä valvontaviranomaisen antamaa lupaa:
a) viranomaisten tai julkisten elinten välinen oikeudellisesti sitova ja täytäntöönpanokelpoinen väline;
b) 47 artiklan mukaiset yritystä koskevat sitovat säännöt;
c) komission 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen antamat tietosuojaa koskevat vakiolausekkeet;
d) tietosuojaa koskevat vakiolausekkeet, jotka tietosuojaviranomainen vahvistaa ja jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;
e) 40 artiklassa tarkoitetut hyväksytyt käytännesäännöt yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin;
f) 42 artiklassa tarkoitettu hyväksytty sertifiointimekanismi yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.
3. Toimivaltaisen valvontaviranomaisen luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:
a) rekisterinpitäjän tai henkilötietojen käsittelijän ja kolmannen maan tai kansainvälisen järjestön rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan väliset sopimuslausekkeet; tai
b) säännökset, jotka sisällytetään viranomaisten tai julkisten elinten välisiin hallinnollisiin järjestelyihin ja joihin sisältyy rekisteröityjen täytäntöönpanokelpoisia ja tehokkaita oikeuksia.
4. Valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua yhdenmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.
5. Hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, pysyvät voimassa, kunnes kyseinen valvontaviranomainen tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne. Päätökset, jotka komissio on antanut direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarpeen vaatiessa muutetaan, ne korvataan tai kumotaan tämän artiklan 2 kohdan mukaisesti annetulla komission päätöksellä.
Yritystä koskevat sitovat säännöt
1. Toimivaltainen valvontaviranomainen vahvistaa yrityksiä koskevat sitovat säännöt 63 artiklassa säädetyn yhdenmukaisuusmekanismin mukaisesti, jos
a) säännöt ovat oikeudellisesti sitovat ja niitä sovelletaan kaikkiin asianomaisiin konsernin tai yritysryhmän jäseniin, jotka harjoittavat yhteistä taloudellista toimintaa, myös niiden työntekijöihin, ja kaikki nämä yksiköt ja niiden työntekijät myös panevat säännöt täytäntöön; (Oikaisu EUVL L 74 4.3.2021)
b) säännöissä nimenomaisesti annetaan rekisteröidyille täytäntöönpanokelpoisia heidän henkilötietojensa käsittelyä koskevia oikeuksia; ja
c) säännöt täyttävät 2 kohdassa säädetyt vaatimukset.
2. Näissä 1 kohdassa tarkoitetuissa yritystä koskevissa sitovissa säännöissä on määritettävä vähintään
a) konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän ja sen kaikkien jäsenten rakenne ja yhteystiedot; (Oikaisu EUVL L 74 4.3.2021)
b) tiedonsiirrot tai tiedonsiirtojen sarjat, henkilötietoryhmät mukaan lukien, käsittelytoimien tyyppi ja käsittelyn tarkoitukset, käsittelyn kohteena olevien rekisteröityjen ryhmä sekä tieto siitä, mistä kolmannesta maasta tai kolmansista maista on kyse;
c) sääntöjen oikeudellinen sitovuus, sekä sisäisesti että ulkoisesti; (Oikaisu EUVL L 74 4.3.2021)
d) yleisten tietosuojaperiaatteiden soveltaminen, erityisesti käyttötarkoitussidonnaisuus, tietojen minimointi, rajoitetut säilytysajat, tietojen laatu, sisäänrakennettu ja oletusarvoinen tietosuoja, käsittelyn oikeusperuste, erityisten henkilötietoryhmien käsittely, tietoturvallisuuden takaavat toimenpiteet ja vaatimukset, jotka koskevat henkilötietojen siirtämistä edelleen elimille, joita nämä yrityksiä koskevat sitovat säännöt eivät sido;
e) rekisteröityjen henkilötietojen käsittelyä koskevat oikeudet ja keinot käyttää niitä, mukaan lukien oikeus olla joutumatta sellaisten 22 artiklassa tarkoitettujen päätösten kohteeksi, jotka perustuvat pelkästään automaattiseen käsittelyyn, mukaan lukien profilointi, oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle ja oikeus oikeussuojakeinoihin jäsenvaltioiden toimivaltaisissa tuomioistuimissa 79 artiklan mukaisesti sekä oikeus muutoksenhakuun ja tarvittaessa korvauksen saamiseen yritystä koskevien sitovien sääntöjen rikkomisen vuoksi;
f) jäsenvaltion alueelle sijoittautuneen rekisterinpitäjän tai henkilötietojen käsittelijän suostumus kantaa vastuu siitä, jos asianomainen yritysryhmän jäsen, joka ei ole sijoittautunut unionin alueelle, rikkoo yritystä koskevia sitovia sääntöjä; rekisterinpitäjä tai henkilötietojen käsittelijä voidaan vapauttaa tästä vastuusta kokonaan tai osittain vain edellä mainitun rekisterinpitäjän tai henkilötietojen käsittelijän osoitettua, ettei kyseinen jäsen ole vastuussa vahingon aiheuttaneesta tapahtumasta; (Oikaisu EUVL L 74 4.3.2021)
g) se, miten yritystä koskevista sitovista säännöistä ja erityisesti tämän kohdan d–f alakohdassa tarkoitetuista säännöksistä ilmoitetaan rekisteröidyille 13 ja 14 artiklan vaatimusten lisäksi;
h) kaikkien 37 artiklan mukaisesti nimitettyjen tietosuojavastaavien taikka konsernissa tai yritysryhmässä, joka harjoittaa yhteistä taloudellista toimintaa, yritystä koskevien sitovien sääntöjen noudattamisen valvonnasta sekä koulutuksen ja valitusten käsittelyn seurannasta vastaavan minkä tahansa muun henkilön tai yksikön tehtävät;
i) valitusmenettelyt;
j) menettelyt, joiden avulla konsernissa tai yhteistä taloudellista toimintaa harjoittavassa yritysryhmässä pyritään varmistamaan, että yritystä koskevia sitovia sääntöjä noudatetaan. Tällaisia menettelyjä ovat tietosuojaa koskevat tarkastukset ja menetelmät, joilla varmistetaan korjaavat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tällaisten varmistusten tulokset olisi ilmoitettava h alakohdassa tarkoitetulle henkilölle tai yksikölle sekä konsernissa määräysvaltaa käyttävän yrityksen tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän hallitukselle, ja niiden olisi oltava pyynnöstä toimivaltaisen valvontaviranomaisen saatavilla; (Oikaisu EUVL L 74 4.3.2021)
k) mekanismit sääntöihin tehtävistä muutoksista ilmoittamista ja niiden kirjaamista varten sekä niistä valvontaviranomaiselle ilmoittamista varten;
l) yhteistyömenettely valvontaviranomaisen kanssa sen varmistamiseksi, että kaikki konsernin tai yritysryhmän, joka harjoittaa yhteistä taloudellista toimintaa, jäsenet noudattavat sääntöjä, erityisesti toimittamalla valvontaviranomaisen käyttöön j alakohdassa tarkoitettujen toimenpiteiden varmistamisen tulokset;
m) mekanismit, joilla ilmoitetaan toimivaltaiselle valvontaviranomaiselle kolmannessa maassa konsernin tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän jäseneen mahdollisesta sovellettavista oikeudellisista vaatimuksista, jotka todennäköisesti merkittävästi haittaavat yritystä koskeviin sitoviin sääntöihin sisältyviä takeita; ja
n) asianmukainen tietosuojakoulutus henkilöstölle, jolla on pysyvä tai säännöllinen pääsy henkilötietoihin.
3. Komissio voi vahvistaa muodon ja menettelyt sitä tietojenvaihtoa varten, jota käydään rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välillä tässä artiklassa tarkoitetuista yritystä koskevista sitovista säännöistä. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
Siirrot ja luovutukset, joita ei sallita unionin lainsäädännössä
Kolmannen maan tuomioistuimen tai hallintoviranomaisen päätös, jossa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista, voidaan tunnustaa tai saattaa millään tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen kuten keskinäiseen oikeusapusopimukseen, sanotun kuitenkaan rajoittamatta tämän luvun mukaisten muiden siirtoa koskevien perusteiden soveltamista.
Erityistilanteita koskevat poikkeukset
1. Jos ei ole tehty 45 artiklan 3 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä tai ei ole toteutettu 46 artiklassa tarkoitettuja asianmukaisia suojatoimia yritystä koskevat sitovat säännöt mukaan lukien, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain, jos jokin seuraavista edellytyksistä täyttyy: (Oikaisu EUVL L 74 4.3.2021)
a) rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;
b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;
d) siirto on tarpeen yleistä etua koskevien tärkeiden syiden vuoksi; (Oikaisu EUVL L 74 4.3.2021)
e) siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
f) siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;
g) siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden tai jäsenvaltion lainsäädännön mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, mutta ainoastaan siltä osin kuin rekisterin käytön edellytykset, joista säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa.
Jos siirto ei voi perustua 45 tai 46 artiklassa oleviin sääntöihin, kuten yritystä koskeviin sitoviin sääntöihin, eikä mikään tämän kohdan ensimmäisen alakohdan mukaisista erityistilanteita koskevista poikkeuksista sovellu, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle ainoastaan, jos siirto ei ole toistuva, koskee ainoastaan rajallista määrää rekisteröityjä ja on tarpeen rekisterinpitäjän sellaisten pakottavien ja oikeutettujen etujen toteuttamiseksi, joita rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät syrjäytä, sekä jos rekisterinpitäjä on arvioinut kaikkia tiedonsiirtoon liittyviä seikkoja ja toteuttanut tämän arvioinnin perusteella henkilötietojen suojaa koskevat asianmukaiset suojatoimet. Rekisterinpitäjän on ilmoitettava siirrosta valvontaviranomaiselle. Edellä 13 ja 14 artiklassa mainittujen tietojen lisäksi rekisterinpitäjän on annettava rekisteröidylle tiedot siirrosta sekä pakottavista ja oikeutetuista eduista.
2. Edellä olevan 1 kohdan ensimmäisen alakohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietoryhmiä. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.
3. Edellä olevan 1 kohdan ensimmäisen alakohdan a, b ja c alakohtaa ja toista alakohtaa ei sovelleta toimiin, joita viranomaiset suorittavat osana julkisen vallan käyttöä.
4. Edellä 1 kohdan ensimmäisen alakohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa tai sen jäsenvaltion lainsäädännössä, jota rekisterinpitäjään sovelletaan.
5. Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan tärkeää yleistä etua koskevista syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle. Jäsenvaltioiden on ilmoitettava tällaisista säännöksistä komissiolle.
6. Rekisterinpitäjän tai henkilötietojen käsittelijän on dokumentoitava arviointi ja tämän artiklan 1 kohdan toisessa alakohdassa tarkoitetut asianmukaiset suojatoimet 30 artiklassa tarkoitettuun selosteeseen.
Kansainvälinen yhteistyö henkilötietojen suojaamiseksi
Komissio ja valvontaviranomaiset toteutettavat kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla
a) kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaamista koskevan lainsäädännön tehokasta täytäntöönpanoa; (Oikaisu EUVL L 74 4.3.2021)
b) tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa, esimerkiksi ilmoituksella, lähettämällä valituksia käsiteltäväksi, antamalla tutkintaapua ja vaihtamalla tietoja, edellyttäen, että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia; (Oikaisu EUVL L 74 4.3.2021)
c) saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;
d) edistetään tiedonvaihtoa ja dokumentointia henkilötietojen suojaa koskevasta lainsäädännöstä ja käytänteistä, mukaan lukien toimivaltaristiriidoista kolmansien maiden kanssa. (Oikaisu EUVL L 74 4.3.2021)
Riippumattomat valvontaviranomaiset
Riippumaton asema (Oikaisu EUVL L 74 4.3.2021)
Valvontaviranomainen
1. Kunkin jäsenvaltion on varmistettava, että yksi tai useampi riippumaton viranomainen on vastuussa tämän asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa, jäljempänä ’valvontaviranomainen’.
2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.
3. Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, kyseisen jäsenvaltion on nimettävä valvontaviranomainen, joka edustaa viranomaisia tietosuojaneuvostossa, ja otettava käyttöön menettely, jolla varmistetaan, että muut valvontaviranomaiset noudattavat 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä. (Oikaisu EUVL L 74 4.3.2021)
4. Kunkin jäsenvaltion on toimitettava tämän luvun perusteella antamansa säännökset tiedoksi komissiolle viimeistään 25 päivänä toukokuuta 2018 ja niiden mahdolliset myöhemmät muutokset viivytyksettä. (Oikaisu EUVL L 74 4.3.2021)
Ks. TietosuojaL 1050/2018 3 luku.
Riippumattomuus
1. Kukin valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.
2. Minkään valvontaviranomaisen jäseneen tai jäseniin ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti heidän hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eivätkä he saa pyytää eivätkä ottaa ohjeita miltään taholta.
3. Kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.
4. Kunkin jäsenvaltion on varmistettava, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.
5. Kunkin jäsenvaltion on varmistettava, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii asianomaisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.
6. Kunkin jäsenvaltion on varmistettava, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen ja että sillä on erillinen julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.
Valvontaviranomaisen jäseniä koskevat yleiset edellytykset
1. Jäsenvaltioiden on varmistettava, että niiden valvontaviranomaisten kaikki jäsenet nimitetään läpinäkyvää menettelyä noudattaen niin, että nimittäjänä on:
— asianomaisen jäsenvaltion parlamentti;
— asianomaisen jäsenvaltion hallitus;
— valtionpäämies; taikka
— riippumaton elin, jolle nimittäminen on jäsenvaltion lainsäädännössä uskottu.
2. Kullakin jäsenellä on oltava tehtävien hoitamisessa ja valtuuksien käyttämisessä tarvittava pätevyys, kokemus ja ammattitaito erityisesti henkilötietojen suojaamisen alalta.
3. Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hän jää pakolliselle eläkkeelle asianomaisen jäsenvaltion lainsäädännön mukaisesti.
4. Jäsen voidaan erottaa ainoastaan vakavan väärinkäytöksen perusteella tai jos hän ei enää täytä tehtäviensä suorittamiseen tarvittavia edellytyksiä.
Ks. TietosuojaL 1050/2018 9–12 §.
Valvontaviranomaisen perustamista koskevat säännöt
1. Kunkin jäsenvaltion on laissa säädettävä kaikesta seuraavasta:
a) kunkin valvontaviranomaisen perustamisesta;
b) pätevyydestä ja kelpoisuusehdoista, joita kunkin valvontaviranomaisen jäseneksi nimitettäviltä edellytetään;
c) valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä ja menettelyistä;
d) kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä 24 päivän toukokuuta 2016 jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla;
e) siitä, voidaanko valvontaviranomaisen jäsen tai jäsenet nimittää uudelleen ja, jos näin on, kuinka moneksi toimikaudeksi;
f) valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä, yhteensopimatonta toimintaa ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen ja tehtävien päättymistä koskevista säännöistä.
2. Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän asetuksen rikkomisista.
Toimivalta, tehtävät ja valtuudet (Oikaisu EUVL L 74 4.3.2021)
Toimivalta
1. Jokaisella valvontaviranomaisella on sille tämän asetuksen mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.
2. Jos käsittelyn suorittavat viranomaiset tai yksityiset elimet 6 artiklan 1 kohdan c tai e alakohdan nojalla, toimivalta on asianomaisen jäsenvaltion valvontaviranomaisella. Tällöin ei sovelleta 56 artiklaa.
3. Valvontaviranomaisilla ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-245/20, Autoriteit Persoonsgegevens, jonka mukaan henkilötietoja sisältävien oikeudenkäyntiasiakirjojen antaminen toimittajille kuuluu tässä säännöksessä tarkoitettujen lainkäyttötehtävien yhteydessä suorittamiin käsittelytoimiin.
Johtavan valvontaviranomaisen toimivalta
1. Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan tai ainoan toimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta 60 artiklassa säädetyn menettelyn mukaisesti, sanotun kuitenkaan rajoittamatta 55 artiklan soveltamista.
2. Poiketen siitä, mitä 1 kohdassa säädetään, jokaisella valvontaviranomaisella on toimivalta käsitellä sille tehtyä valitusta tai tämän asetuksen mahdollista rikkomista, jos kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltiossa oleviin rekisteröityihin.
3. Edellä tämän artiklan 2 kohdassa tarkoitetuissa tapauksissa valvontaviranomaisen on ilmoitettava johtavalle valvontaviranomaiselle viipymättä tästä asiasta. Johtavan valvontaviranomaisen on kolmen viikon kuluessa ilmoituksen saatuaan päätettävä, käsitteleekö se asian 60 artiklassa säädetyn menettelyn mukaisesti, ja otettava huomioon, onko rekisterinpitäjä tai henkilötietojen käsittelijä sijoittautunut asiasta ilmoittaneen valvontaviranomaisen jäsenvaltioon vai ei.
4. Jos johtava viranomainen päättää käsitellä asiaa, sovelletaan 60 artiklassa säädettyä menettelyä. Johtavalle valvontaviranomaiselle asiasta ilmoittanut valvontaviranomainen voi toimittaa johtavalle valvontaviranomaiselle päätösehdotuksen. Johtavan valvontaviranomaisen on otettava ehdotus huomioon mahdollisimman suuressa määrin laatiessaan 60 artiklan 3 kohdassa tarkoitettua päätösehdotusta.
5. Jos johtava viranomainen päättää olla käsittelemättä asiaa, johtavalle valvontaviranomaiselle ilmoituksen tehnyt valvontaviranomainen käsittelee asiaa 61 ja 62 artiklan mukaisesti.
6. Johtava valvontaviranomainen on rekisterinpitäjän tai henkilötietojen käsittelijän ainoa yhteystaho kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta.
Tehtävät
1. Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta jokaisen valvontaviranomaisen on alueellaan
a) valvottava tämän asetuksen soveltamista ja täytäntöönpanoa; (Oikaisu EUVL L 74 4.3.2021)
b) edistettävä yleistä tietoisuutta ja ymmärrystä käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Erityisesti on kiinnitettävä huomiota lapsille suunnattuihin toimiin;
c) annettava jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle sekä muille toimielimille ja elimille neuvoja luonnollisen henkilön oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä; (Oikaisu EUVL L 74 4.3.2021)
d) edistettävä rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä niille tämän asetuksen mukaan kuuluvista velvollisuuksista;
e) annettava pyynnöstä rekisteröidyille tietoja niille tämän asetuksen mukaan kuuluvien oikeuksien käytöstä ja tarvittaessa tehtävä yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;
f) käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta ja ilmoitettava valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;
g) tehtävä yhteistyötä, tietojen vaihtaminen mukaan luettuna, ja tarjottava keskinäistä apua muille valvontaviranomaisille, jotta varmistetaan tämän asetuksen johdonmukainen soveltaminen ja täytäntöönpano;
h) suoritettava tutkimuksia tämän asetuksen soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;
i) seurattava erityisesti tieto- ja viestintäteknologian sekä kauppatapojen asiaan liittyvää kehitystä siltä osin kuin sillä on vaikutusta henkilötietojen suojaan;
j) hyväksyttävä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut vakiosopimuslausekkeet;
k) laadittava 35 artiklan 4 kohdan mukainen luettelo siitä, milloin vaaditaan tietosuojan vaikutustenarviointi, ja ylläpidettävä tätä luetteloa;
l) annettava neuvontaa 36 artiklan 2 kohdassa tarkoitettujen käsittelytoimien osalta;
m) kannustettava laatimaan 40 artiklan 1 kohdan mukaisesti käytännesäännöt, annettava niistä lausunto ja hyväksyttävä sellaiset käytännesäännöt, joissa sovelletaan riittäviä suojatoimia 40 artiklan 5 kohdan mukaisesti;
n) kannustettava ottamaan käyttöön tietosuojaa koskevia sertifiointimekanismeja ja tietosuojasinettejä ja -merkkejä 42 artiklan 1 kohdan mukaisesti sekä hyväksyttävä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;
o) toteutettava tarvittaessa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien säännöllinen uudelleentarkastelu;
p) laadittava ja julkaistava vaatimukset 41 artiklan mukaisen käytännesääntöjen noudattamisen seurantaa suorittavan elimen sekä 43 artiklan mukaisen sertifiointielimen akkreditoimiseksi; (Oikaisu EUVL L 127 23.5.2018) (Oikaisu EUVL L 74 4.3.2021)
q) akkreditoitava käytännesääntöjen noudattamisen seurantaa suorittava elin 41 artiklan mukaisesti ja sertifiointielin 43 artiklan mukaisesti; (Oikaisu EUVL L 74 4.3.2021)
r) hyväksyttävä 46 artiklan 3 kohdassa tarkoitetut sopimuslausekkeet ja säännökset;
s) hyväksyttävä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti;
t) osallistuttava tietosuojaneuvoston toimintaan;
u) pidettävä sisäistä rekisteriä tämän asetuksen rikkomisista ja 58 artiklan 2 kohdan mukaisesti toteutetuista toimenpiteistä; ja
v) suoritettava mitä tahansa muita henkilötietojen suojaan liittyviä tehtäviä.
2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten antamalla mahdollisuuden käyttää valituslomaketta, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.
3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tapauksen mukaan tietosuojavastaavalle.
4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, valvontaviranomainen voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.
Ks. TietosuojaL 1050/2018 14–20 §.
Valtuudet
1. Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:
a) määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;
b) toteuttaa selvityksiä tietosuojaa koskevien tarkastusten muodossa; (Oikaisu EUVL L 74 4.3.2021)
c) toteuttaa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien uudelleentarkastelu;
d) ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän asetuksen väitetystä rikkomisesta;
e) saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;
f) saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin tai jäsenvaltion prosessioikeuden mukaisesti.
2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:
a) varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän asetuksen säännösten vastaisia;
b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;
c) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tähän asetukseen perustuvien rekisteröidyn oikeuksien käyttöä;
d) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;
e) määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;
f) asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto;
g) määrätä henkilötietojen oikaisemisesta tai poistamisesta tai käsittelyn rajoittamisesta 16, 17 ja 18 artiklan perusteella sekä näistä toimenpiteistä ilmoittamisesta niille vastaanottajille, joille henkilötietoja on luovutettu 17 artiklan 2 kohdan ja 19 artiklan mukaisesti;
h) peruuttaa tai määrätä sertifiointielin peruuttamaan 42 ja 43 artiklan mukaisesti annettu sertifiointi tai kieltää sertifiointielintä antamasta sertifiointia silloin kun sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty;
i) määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen; (Oikaisu EUVL L 74 4.3.2021)
j) määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle.
3. Jokaisella valvontaviranomaisella on kaikki seuraavat hyväksymis- ja neuvontavaltuudet:
a) antaa rekisterinpitäjälle neuvoja 36 artiklassa tarkoitetun ennakkokuulemismenettelyn mukaisesti;
b) antaa omasta aloitteestaan tai pyynnöstä lausuntoja kansalliselle parlamentille, jäsenvaltion hallitukselle tai jäsenvaltion lainsäädännön mukaisesti muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä;
c) hyväksyä 36 artiklan 5 kohdassa tarkoitettu käsittely, jos jäsenvaltion lainsäädännössä edellytetään tällaista ennakkohyväksyntää;
d) antaa lausunto käytännesääntöjen luonnoksista ja hyväksyä ne 40 artiklan 5 kohdan mukaisesti;
e) akkreditoida sertifiointielimet 43 artiklan mukaisesti;
f) myöntää sertifiointeja ja hyväksyä sertifiointikriteerejä 42 artiklan 5 kohdan mukaisesti;
g) hyväksyä 28 artiklan 8 kohdassa ja 46 artiklan 2 kohdan d alakohdassa tarkoitetut tietosuojaa koskevat vakiolausekkeet;
h) hyväksyä 46 artiklan 3 kohdan a alakohdassa tarkoitetut sopimuslausekkeet;
i) hyväksyä 46 artiklan 3 kohdan b alakohdassa tarkoitettuja hallinnollisia järjestelyjä; (Oikaisu EUVL L 74 4.3.2021)
j) hyväksyä yritystä koskevat sitovat säännöt 47 artiklan mukaisesti.
4. Valvontaviranomaiselle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.
5. Kunkin jäsenvaltion on säädettävä laissa siitä, että sen valvontaviranomaisella on valtuudet saattaa tämän asetuksen rikkomiset lainkäyttöviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää muulla tavoin oikeustoimet tämän asetuksen säännösten täytäntöönpanemiseksi.
6. Kukin jäsenvaltio voi säätää laissa, että sen valvontaviranomaisella on 1, 2 ja 3 kohdassa tarkoitettujen valtuuksien lisäksi muita valtuuksia. Näiden valtuuksien käyttäminen ei saa haitata VII luvun tehokasta toimivuutta.
Ks. TietosuojaL 1050/2018 14–20 §.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-768/21, Land Hessen, jonka mukaan valvontaviranomainen ei ole velvollinen toteuttamaan korjaavaa toimenpidettä ja määräämään hallinnollista seuraamusmaksua, jos tällainen toimenpide ei ole asianmukainen, tarpeellinen tai oikeasuhteinen todetun puutteen korjaamiseksi ja tämän asetuksen täysimääräisen noudattamisen varmistamiseksi.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-645/19, Facebook Ireland ym. koskien kansallisten valvontaviranomaisten valtuuksien käyttämisen edellytyksistä rajatylittävässä tietojenkäsittelyssä.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-311/18, Data Protection Commissioner v. Maximillian Schrems ja Facebook Ireland, jonka mukaan EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu komission täytäntöönpanopäätös (EU) 2016/1250 on pätemätön.
Toimintakertomukset
Jokaisen valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon voi sisältyä luettelo ilmoitettujen rikkomusten ja 58 artiklan 2 kohdan mukaisesti toteutettujen toimenpiteiden tyypeistä. Nämä kertomukset on toimitettava kansalliselle parlamentille, hallitukselle ja muille jäsenvaltion lainsäädännössä nimetyille viranomaisille. Ne on saatettava yleisön, komission ja tietosuojaneuvoston saataville.
Ks. TietosuojaL 1050/2018 14 §.
Yhteistyö ja yhdenmukaisuus
Ks. KPäät (EU) 2018/743 pilottihankkeesta asetuksessa EPNAs (EU) 2016/679 säädettyjen hallinnollista yhteistyötä koskevien säännösten täytäntöönpanosta sisämarkkinoiden tietojenvaihtojärjestelmän avulla.
Yhteistyö (Oikaisu EUVL L 74 4.3.2021)
Johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välinen yhteistyö
1. Johtavan valvontaviranomaisen on tehtävä tämän artiklan mukaisesti yhteistyötä muiden osallistuvien valvontaviranomaisten kanssa ja pyrkiä näin konsensukseen. Johtavan valvontaviranomaisen ja osallistuvien valvontaviranomaisten on vaihdettava keskenään kaikki olennaiset tiedot.
2. Johtava valvontaviranomainen voi milloin tahansa pyytää muilta osallistuvilta valvontaviranomaisilta 61 artiklassa tarkoitettua keskinäistä avunantoa ja toteuttaa 62 artiklassa tarkoitettuja yhteisiä operaatioita etenkin toteuttaakseen tutkimuksia tai valvoakseen toisen jäsenvaltion alueelle sijoittautunutta rekisterinpitäjää tai henkilötietojen käsittelijää koskevan toimenpiteen toteuttamista.
3. Johtavan valvontaviranomaisen on viipymättä ilmoitettava asiaa koskevat olennaiset tiedot muille osallistuville valvontaviranomaisille. Sen on viipymättä myös toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon.
4. Jos yksikin muista asianomaisista valvontaviranomaisista esittää päätösehdotukseen merkityksellisen ja perustellun vastalauseen neljän viikon kuluessa siitä, kun sitä on tämän artiklan 3 kohdan mukaisesti kuultu, johtavan valvontaviranomaisen on, ellei se noudata vastalausetta tai se katsoo, että vastalause ei ole merkityksellinen eikä perusteltu, toimitettava asia 63 artiklassa tarkoitetulle yhdenmukaisuusmekanismille. (Oikaisu EUVL L 74 4.3.2021)
5. Jos johtava valvontaviranomainen aikoo noudattaa esitettyä merkityksellistä ja perusteltua vastalausetta, sen on toimitettava muille osallistuville valvontaviranomaisille tarkistettu päätösehdotus lausuntoa varten. Tähän tarkistettuun päätösehdotukseen sovelletaan 4 kohdassa tarkoitettua menettelyä kahden viikon kuluessa.
6. Jos yksikään muista osallistuvista valvontaviranomaisista ei ole vastustanut johtavan valvontaviranomaisen toimittamaa päätösehdotusta 4 ja 5 kohdassa tarkoitetun määräajan kuluessa, johtavan valvontaviranomaisen ja asianomaisten valvontaviranomaisten katsotaan hyväksyneen kyseinen päätösehdotus, joka sitoo niitä. (Oikaisu EUVL L 74 4.3.2021)
7. Johtavan valvontaviranomaisen on tehtävä päätös ja annettava se tiedoksi tilanteen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava muille asianomaisille valvontaviranomaisille ja tietosuojaneuvostolle kyseessä olevasta päätöksestä, mukaan lukien yhteenveto asiaan liittyvistä tosiseikoista ja perustelut. Valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava päätöksestä valituksen tekijälle. (Oikaisu EUVL L 74 4.3.2021)
8. Jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on 7 kohdasta poiketen tehtävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle. (Oikaisu EUVL L 74 4.3.2021)
9. Jos johtava valvontaviranomainen ja osallistuvat valvontaviranomaiset ovat yhtä mieltä siitä, että valitus jätetään tutkimatta tai hylätään tietyiltä osin mutta tutkitaan kyseisen valituksen muilta osin, kustakin tällaisesta asian osasta on annettava erillinen päätös. Johtavan valvontaviranomaisen on annettava päätös rekisterinpitäjään liittyvistä toimista ja annettava se tiedoksi jäsenvaltionsa alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikkaan tai ainoaan toimipaikkaan sekä ilmoitettava siitä valituksen tekijälle, kun taas valituksen tekijän valvontaviranomaisen on annettava päätös kyseisen valituksen tutkimatta jättämistä tai hylkäämistä koskevilta osin ja annettava se tiedoksi kyseiselle valituksen tekijälle sekä ilmoitettava siitä rekisterinpitäjälle tai henkilötietojen käsittelijälle.
10. Sen jälkeen kun johtavan valvontaviranomaisen päätös on annettu tiedoksi 7 ja 9 kohdan mukaisesti, rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet varmistaakseen, että päätöstä noudatetaan sen kaikissa unionin alueella sijaitsevissa toimipaikoissa toteutettavissa käsittelytoimissa. Rekisterinpitäjän tai henkilötietojen käsittelijän on annettava johtavalle valvontaviranomaiselle tiedoksi päätöksen noudattamiseksi toteutetut toimenpiteet, ja johtavan valvontaviranomaisen on ilmoitettava asiasta muille asianomaisille valvontaviranomaisille.
11. Jos asianomaisella valvontaviranomaisella on poikkeuksellisissa olosuhteissa syytä katsoa, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien etujen suojaamiseksi, sovelletaan 66 artiklassa tarkoitettua kiireellistä menettelyä.
12. Johtavan valvontaviranomaisen ja muiden asianomaisten valvontaviranomaisten on toimitettava tässä artiklassa vaaditut tiedot toisilleen sähköisesti vakiomuodossa.
Keskinäinen avunanto
1. Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua tämän asetuksen johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteutettava toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten ennakkohyväksyntää ja -kuulemista sekä tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.
2. Valvontaviranomaisten on toteutettava kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.
3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, mukaan lukien pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.
4. Valvontaviranomainen, jolle pyyntö on osoitettu, voi kieltäytyä noudattamasta sitä vain, jos
a) sillä ei ole toimivaltaa käsitellä pyynnön kohdetta tai toteuttaa pyydettyjä toimenpiteitä; tai
b) pyynnön noudattaminen olisi ristiriidassa tämän asetuksen tai sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön kanssa, jota pyynnön vastaanottaneeseen valvontaviranomaiseen sovelletaan.
5. Pyynnön vastaanottaneen valvontaviranomaisen on ilmoitettava pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Pyynnön vastaanottaneen viranomaisen, joka kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, on esitettävä syyt siihen.
6. Pyynnön vastaanottaneiden valvontaviranomaisten on pääsääntöisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.
7. Pyynnön vastaanottanut viranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat sopia säännöistä, jotka koskevat poikkeuksellisissa olosuhteissa annettavasta keskinäisestä avusta aiheutuvien erityisten kustannusten korvaamista niiden välillä.
8. Jos valvontaviranomainen ei anna tämän artiklan 5 kohdassa tarkoitettuja tietoja kuukauden kuluessa toisen valvontaviranomaisen esittämän pyynnön vastaanottamisesta, pyynnön esittävä valvontaviranomainen voi hyväksyä väliaikaisen toimenpiteen oman jäsenvaltionsa alueella 55 artiklan 1 kohdan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan 66 artiklan 2 kohdan mukainen tietosuojaneuvoston kiireellinen sitova päätös.
9. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten, erityisesti tämän artiklan 6 kohdassa tarkoitetun vakiolomakkeen. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
Ks. TietosuojaL 1050/2018 18 a §.
Valvontaviranomaisten yhteiset operaatiot
1. Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita, mukaan lukien yhteisiä selvityksiä ja yhteisiä täytäntöönpanotoimenpiteitä, joihin osallistuu muiden jäsenvaltioiden valvontaviranomaisten jäseniä tai muuta henkilöstöä. (Oikaisu EUVL L 74 4.3.2021)
2. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useaan eri jäsenvaltioon tai jos käsittelytoimet todennäköisesti vaikuttavat merkittävästi huomattavan moniin useammassa kuin yhdessä jäsenvaltiossa asuviin rekisteröityihin, kunkin tällaisen jäsenvaltion valvontaviranomaisella on oikeus osallistua yhteisiin operaatioihin. Edellä olevan 56 artiklan 1 kohdan tai 4 kohdan mukaisesti toimivaltainen valvontaviranomainen kutsuu kunkin tällaisen jäsenvaltion valvontaviranomaisen osallistumaan kyseisiin yhteisiin operaatioihin ja vastaa viipymättä tällaisen valvontaviranomaisen osallistumista koskevaan pyyntöön. (Oikaisu EUVL L 74 4.3.2021)
3. Valvontaviranomainen voi oman jäsenvaltionsa lainsäädännön mukaisesti ja lähettävän valvontaviranomaisen hyväksynnällä myöntää valtuudet, kuten tutkintavaltuudet, yhteisiin operaatioihin osallistuvan lähettävän valvontaviranomaisen jäsenelle tai henkilöstölle, tai siltä osin kuin se on mahdollista vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädännön puitteissa, sallia lähettävän valvontaviranomaisen jäsenten tai henkilöstön käyttää tutkintavaltuuksiaan lähettävän valvontaviranomaisen jäsenvaltion lainsäädännön mukaisesti. Näitä tutkintavaltuuksia voidaan käyttää ainoastaan vastaanottavan valvontaviranomaisen jäsenten tai henkilöstön johdolla ja heidän läsnä ollessaan. Lähettävän valvontaviranomaisen jäseniin tai henkilöstöön sovelletaan vastaanottavan valvontaviranomaisen jäsenvaltion lainsäädäntöä. (Oikaisu EUVL L 74 4.3.2021)
4. Jos avustavan valvontaviranomaisen henkilöstö toimii 1 kohdan mukaisesti toisessa jäsenvaltiossa, vastaanottavan valvontaviranomaisen jäsenvaltio on vastuussa heidän toimistaan, mukaan lukien korvausvastuu mahdollisista vahingoista, joita he ovat aiheuttaneet toimintansa aikana, sen jäsenvaltion lainsäädännön mukaisesti, jonka alueella he toimivat.
5. Jäsenvaltio, jonka alueella vahinko aiheutui, vastaa vahingon korvaamisesta henkilöstönsä aiheuttamia vahinkoja koskevien ehtojen mukaisesti. Sen lähettävän valvontaviranomaisen jäsenvaltion, jonka henkilöstö on aiheuttanut vahinkoa kenelle tahansa henkilölle toisen jäsenvaltion alueella, on korvattava jälkimmäiselle jäsenvaltiolle kokonaisuudessaan korvaukset, jotka tämä on maksanut heidän puolestaan korvaukseen oikeutetuille. (Oikaisu EUVL L 74 4.3.2021)
6. Kukin jäsenvaltio pidättyy 1 kohdassa tarkoitetussa tapauksessa pyytämästä korvausta toiselta jäsenvaltiolta 4 kohdassa tarkoitettujen vahinkojen osalta, sanotun kuitenkaan rajoittamatta sen oikeuksien käyttämistä kolmansiin osapuoliin nähden tai vaikuttamatta 5 kohdan soveltamiseen.
7. Jos yhteinen operaatio on tarkoitus järjestää ja valvontaviranomainen ei noudata tämän artiklan 2 kohdan toisessa virkkeessä säädettyä velvollisuutta kuukauden kuluessa, muut valvontaviranomaiset voivat toteuttaa väliaikaisen toimenpiteen jäsenvaltionsa alueella 55 artiklan mukaisesti. Tässä tapauksessa on katsottava, että 66 artiklan 1 kohdassa tarkoitettu tarve toteuttaa kiireellisiä toimenpiteitä täyttyy ja vaaditaan tietosuojaneuvoston antama kiireellinen lausunto tai kiireellinen sitova päätös 66 artiklan 2 kohdan nojalla.
Yhdenmukaisuus (Oikaisu EUVL L 74 4.3.2021)
Yhdenmukaisuusmekanismi
Jotta voidaan edistää tämän asetuksen yhdenmukaista soveltamista kaikkialla unionissa, valvontaviranomaisten on tehtävä yhteistyötä toistensa ja tarvittaessa komission kanssa tämän jakson mukaisen yhdenmukaisuusmekanismin puitteissa. (Oikaisu EUVL L 74 4.3.2021)
Tietosuojaneuvoston lausunto
1. Tietosuojaneuvosto antaa lausunnon aina kun toimivaltainen valvontaviranomainen aikoo toteuttaa jonkin jäljempänä esitetyistä toimenpiteistä. Tätä varten toimivaltaisen valvontaviranomaisen on annettava tietosuojaneuvostolle tiedoksi päätösehdotus
a) kun toimivaltaisen valvontaviranomaisen tarkoituksena on hyväksyä luettelo käsittelytoimista, joihin sovelletaan 35 artiklan 4 kohdan mukaista tietosuojaa koskevaa vaikutustenarviointivaatimusta;
b) joka koskee 40 artiklan 7 kohdan mukaista kysymystä siitä, onko käytännesääntöjen luonnos tai käytännesääntöjä koskeva muutos tai laajennus tämän asetuksen mukainen; (Oikaisu EUVL L 74 4.3.2021)
c) jonka tarkoituksena on hyväksyä vaatimukset 41 artiklan 3 kohdan mukaisen elimen tai 43 artiklan 3 kohdan mukaisen sertifiointielimen akkreditoimiseksi tai hyväksyä 42 artiklan 5 kohdassa tarkoitetut sertifiointikriteerit; (Oikaisu EUVL L 74 4.3.2021)
d) jonka tarkoituksena on 46 artiklan 2 kohdan d alakohdassa ja 28 artiklan 8 kohdassa tarkoitettujen tietosuojaa koskevien vakiolausekkeiden vahvistaminen; (Oikaisu EUVL L 74 4.3.2021)
e) jonka tarkoituksena on 46 artiklan 3 kohdan a alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai
f) jonka tarkoituksena on 47 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.
2. Jokainen valvontaviranomainen, tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.
3. Tietosuojaneuvosto antaa 1 ja 2 kohdassa tarkoitetuissa tapauksissa lausunnon sille toimitetusta asiasta, jollei se ole jo antanut lausuntoa samasta asiasta. Kyseinen lausunto on vahvistettava kahdeksan viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon asian monimutkaisuus. Jäsenen, joka ei ole puheenjohtajan ilmoittaman kohtuullisen määräajan kuluessa vastustanut neuvoston jäsenille 5 kohdan mukaisesti toimitettua 1 kohdan mukaista päätösehdotusta, katsotaan hyväksyvän sen.
4. Valvontaviranomaisten ja komission on ilman aiheetonta viivytystä toimitettava tietosuojaneuvostolle sähköisesti ja vakiomuotoisesti kaikki olennaiset tiedot, tarpeen vaatiessa esimerkiksi yhteenveto tosiseikoista, päätösehdotus, perustelut, joiden vuoksi kyseisen toimenpiteen toteuttaminen on tarpeen, sekä muiden asianomaisten valvontaviranomaisten näkemykset. (Oikaisu EUVL L 74 4.3.2021)
5. Tietosuojaneuvoston puheenjohtajan on ilmoitettava sähköisesti ja ilman aiheetonta viivytystä
a) tietosuojaneuvoston jäsenille ja komissiolle kaikista sille toimitetuista olennaisista tiedoista vakiomuotoisesti. Tietosuojaneuvoston sihteeristö toimittaa tarvittaessa myös käännöksen asiaankuuluvista tiedoista; ja
b) tapauksesta riippuen 1 ja 2 kohdassa tarkoitetulle valvontaviranomaiselle sekä komissiolle annetusta lausunnosta ja julkaistava se.
(Oikaisu EUVL L 74 4.3.2021)
6. Edellä 1 kohdassa tarkoitettu toimivaltainen valvontaviranomainen ei saa antaa 1 kohdassa tarkoitettua päätösehdotusta 3 kohdassa tarkoitetun määräajan kuluessa. (Oikaisu EUVL L 74 4.3.2021)
7. Edellä 1 kohdassa tarkoitettu toimivaltainen valvontaviranomainen ottaa tietosuojaneuvoston lausunnon huomioon mahdollisimman kattavasti ja ilmoittaa tietosuojaneuvoston puheenjohtajalle sähköisesti kahden viikon kuluessa lausunnon saamisesta, pitäytyykö se päätösehdotuksessaan vai muuttaako se sitä, ja toimittaa puheenjohtajalle mahdollisesti muutetun päätösehdotuksen vakiomuotoisesti. (Oikaisu EUVL L 74 4.3.2021)
8. Jos 1 kohdassa tarkoitettu toimivaltainen valvontaviranomainen ilmoittaa tietosuojaneuvoston puheenjohtajalle tämän artiklan 7 kohdassa tarkoitetun määräajan kuluessa, ettei se aio, kokonaan tai osittain, noudattaa neuvoston lausuntoa ja esittää asianmukaiset perusteet, sovelletaan 65 artiklan 1 kohtaa. (Oikaisu EUVL L 74 4.3.2021)
Euroopan tietosuojaneuvoston kiistanratkaisumenettely
1. Varmistaakseen, että tätä asetusta sovelletaan yksittäistapauksissa asianmukaisesti ja yhtenäisesti, tietosuojaneuvosto antaa seuraavissa tapauksissa sitovan päätöksen:
a) jos 60 artiklan 4 kohdassa tarkoitetussa tapauksessa asianomainen valvontaviranomainen on esittänyt johtavan viranomaisen päätösehdotukseen merkityksellisen ja perustellun vastalauseen ja jos johtava valvontaviranomainen ei ole noudattanut tällaista vastalausetta tai on hylännyt tällaisen vastalauseen, koska se ei ollut merkityksellinen tai perusteltu. Sitova päätös koskee kaikkia niitä seikkoja, joista merkityksellinen ja perusteltu vastalause on esitetty, erityisesti sen suhteen, onko tätä asetusta rikottu vai ei; (Oikaisu EUVL L 74 4.3.2021)
b) jos esiintyy eriäviä näkemyksiä siitä, mikä asianomaisista valvontaviranomaisista on toimivaltainen päätoimipaikan osalta;
c) jos toimivaltainen valvontaviranomainen ei pyydä tietosuojaneuvostolta lausuntoa 64 artiklan 1 kohdassa tarkoitetuissa tapauksissa tai ei noudata tietosuojaneuvoston 64 artiklan nojalla antamaa lausuntoa. Tällöin asianomaiset valvontaviranomaiset tai komissio voivat välittää asian tietosuojaneuvostolle. (Oikaisu EUVL L 74 4.3.2021)
2. Edellä 1 kohdassa tarkoitettu päätös on annettava tietosuojaneuvoston jäsenten kahden kolmasosan enemmistöllä kuukauden kuluessa asiaa koskevan pyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon asian monimutkaisuus. Edellä olevan 1 kohdan mukainen päätös on perusteltava ja osoitettava johtavalle valvontaviranomaiselle sekä kaikille asianomaisille valvontaviranomaisille, joita se sitoo.
3. Jos tietosuojaneuvosto ei ole antanut päätöstä 2 kohdassa tarkoitettujen määräaikojen kuluessa, sen on annettava päätöksensä jäsentensä yksinkertaisella enemmistöllä kahden viikon kuluessa 2 kohdassa tarkoitetun toisen kuukauden päättymisestä. Jos tietosuojaneuvoston jäsenten äänet menevät tasan, päätöksen ratkaisee puheenjohtajan ääni.
4. Asianomaiset valvontaviranomaiset eivät anna päätöstä 1 kohdan mukaisesti tietosuojaneuvostolle toimitetusta asiasta 2 ja 3 kohdassa tarkoitettujen määräaikojen kuluessa.
5. Tietosuojaneuvoston puheenjohtaja antaa ilman aiheetonta viivytystä 1 kohdassa tarkoitetun päätöksen tiedoksi asianomaisille valvontaviranomaisille. Se ilmoittaa asiasta komissiolle. Päätös julkaistaan viipymättä tietosuojaneuvoston verkkosivustolla valvontaviranomaisen annettua tiedoksi 6 kohdassa tarkoitetun lopullisen päätöksen.
6. Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on jätetty, on annettava lopullinen päätöksensä tämän artiklan 1 kohdassa tarkoitetun päätöksen perusteella ilman aiheetonta viivästystä ja viimeistään kuukauden kuluessa siitä, kun tietosuojaneuvosto on antanut päätöksensä tiedoksi. Johtavan valvontaviranomaisen tai tapauksen mukaan sen valvontaviranomaisen, jolle valitus on tehty, on ilmoitettava tietosuojaneuvostolle päivämäärä, jona sen lopullinen päätös on annettu tiedoksi rekisterinpitäjälle tai henkilötietojen käsittelijälle ja rekisteröidylle. Asianomaisten valvontaviranomaisten lopullinen päätös annetaan 60 artiklan 7, 8 ja 9 kohdan mukaisesti. Lopullisessa päätöksessä on viitattava tämän artiklan 1 kohdassa tarkoitettuun päätökseen ja ilmoitettava, että tämän artiklan 1 kohdassa tarkoitettu päätös julkaistaan tietosuojaneuvoston verkkosivustolla tämän artiklan 5 kohdan mukaisesti. Lopullinen päätös liitetään tämän artiklan 1 kohdassa tarkoitettuun päätökseen.
Kiireellinen menettely
1. Jos asianomainen valvontaviranomainen poikkeuksellisissa olosuhteissa katsoo, että on tarpeen toteuttaa kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, se voi 63, 64 ja 65 artiklassa tarkoitetusta yhdenmukaisuusmekanismista tai 60 artiklassa tarkoitetusta menettelystä poiketen välittömästi hyväksyä väliaikaisia toimenpiteitä, joiden on tarkoitus tuottaa oikeusvaikutuksia sen omalla alueella ja jotka ovat voimassa tietyn ajan, joka voi olla enintään kolme kuukautta. Valvontaviranomaisen on annettava tällaiset toimenpiteet ja perustelut niiden hyväksymiselle viipymättä tiedoksi muille asianomaisille valvontaviranomaisille, tietosuojaneuvostolle ja komissiolle. (Oikaisu EUVL L 74 4.3.2021)
2. Jos valvontaviranomainen on toteuttanut toimenpiteen 1 kohdan nojalla ja katsoo, että on kiireellisesti hyväksyttävä lopullisia toimenpiteitä, se voi pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle.
3. Jokainen valvontaviranomainen voi tapauksen mukaan pyytää tietosuojaneuvostolta kiireellistä lausuntoa tai kiireellistä sitovaa päätöstä, jos toimivaltainen valvontaviranomainen ei ole toteuttanut tarvittavia toimenpiteitä tilanteessa, jossa on toteutettava kiireellisiä toimenpiteitä rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamiseksi, esittäen perustelut tällaisen lausunnon tai päätöksen pyytämiselle ja kiireellisten toimenpiteiden toteuttamiselle.
4. Tämän artiklan 2 ja 3 kohdassa tarkoitettu kiireellinen lausunto tai kiireellinen sitova päätös vahvistetaan 64 artiklan 3 kohdasta ja 65 artiklan 2 kohdasta poiketen kahden viikon kuluessa tietosuojaneuvoston jäsenten yksinkertaisella enemmistöllä.
Tietojenvaihto
Komissio voi hyväksyä yleisiä täytäntöönpanosäädöksiä, joilla täsmennetään menettelytavat, joita sovelletaan valvontaviranomaisten väliseen sekä valvontaviranomaisten ja tietosuojaneuvoston väliseen sähköiseen tietojenvaihtoon ja erityisesti 64 artiklassa tarkoitettu vakiomuotoisuus. (Oikaisu EUVL L 74 4.3.2021)
Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
Euroopan tietosuojaneuvosto (Oikaisu EUVL L 74 4.3.2021)
Euroopan tietosuojaneuvosto
1. Perustetaan Euroopan tietosuojaneuvosto, jäljempänä ’tietosuojaneuvosto’, unionin elimeksi, jolla on oikeushenkilön asema. (Oikaisu EUVL L 74 4.3.2021)
2. Tietosuojaneuvostoa edustaa sen puheenjohtaja.
3. Tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu tai näiden edustajat.
4. Jos jäsenvaltiossa on useampia tietosuojaviranomaisia, jotka vastaavat tämän asetuksen säännösten soveltamisen valvonnasta, nimetään yhteinen edustaja kyseisen jäsenvaltion lainsäädännön mukaisesti.
5. Komissiolla on oikeus osallistua tietosuojaneuvoston toimintaan ja kokouksiin ilman äänioikeutta. Komissio nimeää edustajansa. Tietosuojaneuvoston puheenjohtaja tiedottaa komissiolle tietosuojaneuvoston toiminnasta. (Oikaisu EUVL L 74 4.3.2021)
6. Edellä olevaan 65 artiklaan liittyvissä tilanteissa Euroopan tietosuojavaltuutetulla on äänioikeus vain päätöksissä, jotka koskevat unionin toimielimiin, elimiin ja laitoksiin sovellettavia periaatteita ja sääntöjä, jotka vastaavat asiasisällöltään tämän asetuksen periaatteita ja sääntöjä. (Oikaisu EUVL L 74 4.3.2021)
Riippumattomuus
1. Tietosuojaneuvosto toimii riippumattomasti hoitaessaan tehtäviään tai käyttäessään toimivaltaansa 70 ja 71 artiklan mukaisesti.
2. Tietosuojaneuvosto ei tehtäviään hoitaessaan tai toimivaltaansa käyttäessään pyydä eikä ota ohjeita miltään taholta, sanotun rajoittamatta 70 artiklan 1 ja 2 kohdassa tarkoitettuja komission pyyntöjä. (Oikaisu EUVL L 127 23.5.2018)
Tietosuojaneuvoston tehtävät
1. Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti. Tätä varten tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai tarvittaessa komission pyynnöstä erityisesti seuraavia tehtäviä:
a) valvoo ja varmistaa, että tätä asetusta sovelletaan oikein 64 ja 65 artiklassa säädetyissä tapauksissa, sanotun kuitenkaan rajoittamatta kansallisten valvontaviranomaisten tehtäviä; (Oikaisu EUVL L 74 4.3.2021)
b) antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tähän asetukseen ehdotetuista muutoksista; (Oikaisu EUVL L 74 4.3.2021)
c) antaa komissiolle neuvoja rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välisen tietojenvaihdon muodoista ja menettelyistä, kun kyse on yritystä koskevista sitovista säännöistä;
d) antaa ohjeita, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista, siten kuin 17 artiklan 2 kohdassa tarkoitetaan; (Oikaisu EUVL L 74 4.3.2021)
e) tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa ohjeita, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista; (Oikaisu EUVL L 74 4.3.2021)
f) antaa tämän kohdan e alakohdan mukaisesti ohjeita, suosituksia ja parhaita käytänteitä 22 artiklan 2 kohdan mukaisia profilointiin perustuvia päätöksiä koskevien kriteerien ja edellytysten tarkemmaksi määrittelemiseksi; (Oikaisu EUVL L 74 4.3.2021)
g) antaa tämän kohdan e alakohdan mukaisesti ohjeita, suosituksia ja parhaita käytänteitä 33 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietoturvaloukkausten toteamiseksi ja aiheettoman viivytyksen määrittelemiseksi sekä niiden erityisten olosuhteiden määrittelemiseksi, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta; (Oikaisu EUVL L 74 4.3.2021)
h) antaa tämän kohdan e alakohdan mukaisesti ohjeita, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 34 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille; (Oikaisu EUVL L 74 4.3.2021)
i) antaa tämän kohdan e alakohdan mukaisesti ohjeita, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen siirroille, jotka perustuvat rekisterinpitäjien ja henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin, sekä lisävaatimuksista, jotka ovat tarpeen 47 artiklassa tarkoitettujen asianomaisten rekisteröityjen henkilötietojen suojan varmistamiseksi; (Oikaisu EUVL L 74 4.3.2021)
j) antaa tämän kohdan e alakohdan mukaisesti ohjeita, suosituksia ja parhaita käytänteitä 49 artiklan 1 kohdan mukaisia henkilötietojen siirtoja koskevien kriteerien ja vaatimusten tarkemmaksi määrittelemiseksi; (Oikaisu EUVL L 74 4.3.2021)
k) laatii valvontaviranomaisille ohjeita, jotka koskevat 58 artiklan 1, 2 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä 83 artiklan nojalla; (Oikaisu EUVL L 74 4.3.2021)
l) tarkastelee ohjeiden, suositusten ja parhaiden käytänteiden käytännön soveltamista; (Oikaisu EUVL L 127 23.5.2018) (Oikaisu EUVL L 74 4.3.2021)
m) antaa tämän kohdan e alakohdan mukaisesti ohjeita, suosituksia ja parhaita käytänteitä sellaisten yhteisten menettelyjen luomiseksi, joilla luonnolliset henkilöt voivat tehdä ilmoituksia tämän asetuksen 54 artiklan 2 kohdan mukaisista rikkomisista; (Oikaisu EUVL L 74 4.3.2021)
n) edistää käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa 40 ja 42 artiklan mukaisesti;
o) hyväksyy 42 artiklan 5 kohdan mukaiset sertifiointikriteerit ja pitää yllä julkista rekisteriä 42 artiklan 8 kohdan mukaisista sertifiointimekanismeista ja tietosuojasineteistä ja -merkeistä sekä 42 artiklan 7 kohdan mukaisista kolmansiin maihin sijoittautuneista sertifioiduista rekisterinpitäjistä tai henkilötietojen käsittelijöistä; (Oikaisu EUVL L 127 23.5.2018)
p) hyväksyy 43 artiklan 3 kohdassa tarkoitetut vaatimukset sertifiointielinten akkreditoimiseksi 43 artiklan nojalla; (Oikaisu EUVL L 127 23.5.2018)
q) antaa komissiolle lausunnon 43 artiklan 8 kohdassa tarkoitetuista sertifiointivaatimuksista;
r) antaa komissiolle lausunnon 12 artiklan 7 kohdassa tarkoitetuista kuvakkeista;
s) antaa komissiolle lausunnon kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö enää varmistamaan tietosuojan riittävää tasoa. Tätä varten komissio toimittaa tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto;
t) antaa lausuntoja valvontaviranomaisten päätösluonnoksista 64 artiklan 1 kohdassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti ja 64 artiklan 2 kohdan mukaisesti sille toimitetuissa asioissa sekä antaa sitovia päätöksiä 65 artiklan nojalla, myös 66 artiklassa tarkoitetuissa tapauksissa; (Oikaisu EUVL L 74 4.3.2021)
u) edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;
v) edistää yhteisiä koulutusohjelmia ja tukea henkilövaihtoa valvontaviranomaisten välillä ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;
w) edistää tietosuojalainsäädäntöä ja -käytänteitä koskevan tietämyksen jakamista ja niitä koskevien asiakirjojen vaihtoa henkilötietojen suojaa valvovien viranomaisten kesken kaikkialla maailmassa; (Oikaisu EUVL L 74 4.3.2021)
x) antaa lausuntoja unionin tasolla 40 artiklan 9 kohdan mukaisesti laadituista käytännesäännöistä; ja
y) pitää yllä julkista sähköistä rekisteriä päätöksistä, joita valvontaviranomaiset ja tuomioistuimet ovat tehneet yhdenmukaisuusmekanismissa käsitellyissä asioissa.
2. Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.
3. Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 93 artiklassa tarkoitetulle komitealle ja julkaistava ne.
4. Tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 76 artiklan soveltamista.
Kertomukset
1. Tietosuojaneuvoston on laadittava vuosittainen kertomus luonnollisten henkilöiden suojasta käsittelyn yhteydessä unionissa ja tarvittaessa kolmansissa maissa ja kansainvälisissä järjestöissä. Kertomus on julkaistava ja toimitettava Euroopan parlamentille, neuvostolle ja komissiolle. (Oikaisu EUVL L 74 4.3.2021)
2. Vuosittaisessa kertomuksessa on myös tarkasteltava 70 artiklan 1 kohdan l alakohdassa tarkoitettujen ohjeiden, suositusten ja parhaiden käytänteiden sekä 65 artiklassa tarkoitettujen sitovien päätösten käytännön soveltamista. (Oikaisu EUVL L 74 4.3.2021)
Menettely
1. Tietosuojaneuvosto antaa päätöksensä jäsentensä yksinkertaisella enemmistöllä, paitsi jos tässä asetuksessa toisin säädetään.
2. Tietosuojaneuvosto hyväksyy työjärjestyksensä jäsentensä kahden kolmasosan enemmistöllä ja huolehtii omista operatiivisista järjestelyistään.
Puheenjohtaja
1. Tietosuojaneuvosto valitsee jäsentensä keskuudesta puheenjohtajan ja kaksi varapuheenjohtajaa yksinkertaisella enemmistöllä.
2. Puheenjohtajan ja varapuheenjohtajien toimikausi on viisi vuotta, ja samat henkilöt voidaan valita tehtäviinsä kerran uudelleen.
Puheenjohtajan tehtävät
1. Puheenjohtajalla on seuraavat tehtävät:
a) kutsua koolle tietosuojaneuvoston kokoukset ja valmistella kokouksen asialista;
b) antaa tietosuojaneuvoston 65 artiklan nojalla antamat päätökset tiedoksi johtavalle valvontaviranomaiselle ja osallistuville valvontaviranomaisille;
c) varmistaa, että tietosuojaneuvosto hoitaa tehtävänsä oikea-aikaisesti, erityisesti suhteessa 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin.
2. Tietosuojaneuvoston on vahvistettava työjärjestyksessään puheenjohtajan ja varapuheenjohtajien tehtävänjako.
Sihteeristö
1. Tietosuojaneuvostolla on oltava sihteeristö, jonka henkilöstöstä vastaa Euroopan tietosuojavaltuutettu.
2. Sihteeristö hoitaa tehtävänsä yksinomaan tietosuojaneuvoston puheenjohtajan ohjeiden mukaisesti.
3. Tällä asetuksella tietosuojaneuvostolle annettujen tehtävien hoitamisessa mukana olevalla Euroopan tietosuojavaltuutetun henkilöstöllä on oltava Euroopan tietosuojavaltuutetulle annettuja muita tehtäviä hoitavasta henkilöstöstä erilliset raportointikanavat.
4. Tarvittaessa tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu vahvistavat ja julkaisevat tämän artiklan täytäntöönpanoa koskevan yhteisymmärryspöytäkirjan, jossa määritellään niiden yhteistyön ehdot ja jota sovelletaan tällä asetuksella Euroopan tietosuojaneuvostolle annettujen tehtävien hoitamisessa mukana olevaan Euroopan tietosuojavaltuutetun henkilöstöön.
5. Sihteeristö antaa tietosuojaneuvostolle analyyttistä tukea sekä hallinnollista ja logistista tukea. (Oikaisu EUVL L 74 4.3.2021)
6. Sihteeristö vastaa erityisesti seuraavista tehtävistä:
a) tietosuojaneuvoston juoksevien asioiden hoitaminen;
b) tietosuojaneuvoston, sen puheenjohtajan ja komission välinen viestintä;
c) viestintä muille toimielimille ja yleisölle;
d) sähköisten viestintävälineiden käyttö sekä sisäisessä että ulkoisessa viestinnässä;
e) tarpeellisten tietojen kääntäminen;
f) tietosuojaneuvoston kokousten valmisteleminen ja seuraaminen;
g) tietosuojaneuvoston lausuntojen, valvontaviranomaisten välisten kiistojen ratkaisua koskevien päätösten ja muiden asiakirjojen valmisteleminen, laatiminen ja julkaiseminen.
(Oikaisu EUVL L 74 4.3.2021)
Salassapito (Oikaisu EUVL L 74 4.3.2021)
1. Tietosuojaneuvoston keskustelut ovat luottamuksellisia neuvoston katsoessa sen tarpeelliseksi työjärjestyksensä mukaisesti.
2. Oikeudesta tutustua tietosuojaneuvoston jäsenille, asiantuntijoille ja kolmansien osapuolten edustajille toimitettuihin asiakirjoihin säädetään Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1049/2001 (Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).).
Oikeussuojakeinot, vastuu ja seuraamukset
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-21/23, Lindenapotheke, jonka mukaan jäsenvaltiot voivat säätää, että henkilötietojen suojan oletetun loukkaajan kilpailijat voivat riitauttaa loukkauksen tuomioistuimessa kiellettynä sopimattomana kaupallisena menettelynä.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C‑132/21, Nemzeti Adatvédelmi és Információszabadság Hatóság, jonka mukaan tämän asetuksen mukaisia hallinnollisia ja siviilioikeudellisia oikeussuojakeinoja voidaan käyttää samanaikaisesti ja toisistaan riippumatta.
Oikeus tehdä kantelu valvontaviranomaiselle (Oikaisu EUVL L 74 4.3.2021)
1. Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja. (Oikaisu EUVL L 74 4.3.2021)
2. Valvontaviranomaisen, jolle kantelu on tehty, on ilmoitettava kantelun tekijälle sen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta. (Oikaisu EUVL L 74 4.3.2021)
Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan
1. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn kantelun etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja. (Oikaisu EUVL L 74 4.3.2021)
3. Oikeudellinen menettely valvontaviranomaista vastaan on pantava vireille sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut. (Oikaisu EUVL L 74 4.3.2021)
4. Jos oikeudellisen menettelyn kohteena on sellainen valvontaviranomaisen päätös, jota edelsi tietosuojaneuvoston yhdenmukaisuusmekanismin puitteissa antama lausunto tai päätös, valvontaviranomaisen on toimitettava kyseinen lausunto tai päätös tuomioistuimelle. (Oikaisu EUVL L 74 4.3.2021)
Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan
1. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle. (Oikaisu EUVL L 74 4.3.2021)
2. Oikeudellinen menettely rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on pantava vireille sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti menettely voidaan panna vireille sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä tai henkilötietojen käsittelijä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön. (Oikaisu EUVL L 74 4.3.2021)
Rekisteröityjen edustaminen
1. Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään kantelu puolestaan sekä käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä. (Oikaisu EUVL L 74 4.3.2021)
2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa kantelu 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä. (Oikaisu EUVL L 74 4.3.2021)
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-319/20, Meta Platforms Ireland, jonka mukaan kuluttajansuojajärjestöt voivat nostaa ilman valtuutusta ja riippumatta rekisteröidyn tosiasiallisten oikeuksien loukkaamisesta edustajakanteen henkilötietojen suojan loukkauksista.
Menettelyn keskeyttäminen
1. Jos jäsenvaltion toimivaltaisella tuomioistuimella on tietoa saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvän samaa asiaa koskevan menettelyn vireillä olosta jonkin toisen jäsenvaltion tuomioistuimessa, sen on otettava yhteyttä tuohon toisen jäsenvaltion tuomioistuimeen varmistaakseen tällaisen menettelyn olemassaolon. (Oikaisu EUVL L 74 4.3.2021)
2. Jos saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvä samaa asiaa koskeva menettely on vireillä jonkin toisen jäsenvaltion tuomioistuimessa, muut toimivaltaiset tuomioistuimet kuin se, jossa menettely on ensin pantu vireille, voivat keskeyttää menettelynsä. (Oikaisu EUVL L 74 4.3.2021)
3. Jos menettely on vireillä ensimmäisessä oikeusasteessa, muut tuomioistuimet kuin se, jossa menettely on pantu ensin vireille, voivat jonkin asianosaisen pyynnöstä myös jättää asian tutkimatta, jos tuomioistuin, jossa menettely on ensin pantu vireille, on toimivaltainen käsittelemään kyseessä olevat asiat, ja jos niiden yhdistäminen on tämän tuomioistuimen lain mukaan sallittua. (Oikaisu EUVL L 74 4.3.2021)
Vastuu ja oikeus korvauksen saamiseen
1. Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.
2. Kukin tietojenkäsittelyyn osallistunut rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tämän asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.
3. Rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.
4. Jos samaan tietojenkäsittelyyn osallistuu useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä taikka sekä rekisterinpitäjä että henkilötietojen käsittelijä, ja jos ne ovat 2 ja 3 kohdan mukaisesti vastuussa käsittelystä aiheutuneesta mahdollisesta vahingosta, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa koko vahingosta, jotta voidaan varmistaa, että rekisteröity saa tosiasiallisen korvauksen. (Oikaisu EUVL L 74 4.3.2021)
5. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on 4 kohdan mukaisesti maksanut täyden korvauksen aiheutuneesta vahingosta, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oikeus periä muilta samaan tietojenkä sittelyyn osallistuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä se osuus korvauksesta, joka vastaa niiden 2 kohdassa säädettyjen edellytysten mukaista vastuuta aiheutuneesta vahingosta.
6. Tuomioistuinmenettelyt korvauksen saamista koskevan oikeuden käyttämiseksi toteutetaan 79 artiklan 2 kohdassa tarkoitetun jäsenvaltion kansallisen lainsäädännön nojalla toimivaltaisissa tuomioistuimissa.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-741/21, juris koskien henkilötietojen käsittelyä suoramarkkinointitarkoituksissa markkinointikielloista huolimatta.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-340/21, Natsionalna agentsia za prihodite, jonka mukaan pelko mahdollisesta henkilötietojen väärinkäytöstä voi sinänsä aiheuttaa aineetonta vahinkoa.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-300/21, Österreichische Post, jonka mukaan pelkästään GDPR:n rikkominen ei anna oikeutta korvaukseen.
Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset (Oikaisu EUVL L 74 4.3.2021)
1. Jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. (Oikaisu EUVL L 74 4.3.2021)
2. Hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat: (Oikaisu EUVL L 74 4.3.2021)
a) rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus; (Oikaisu EUVL L 74 4.3.2021)
b) rikkomuksen tahallisuus tai tuottamuksellisuus; (Oikaisu EUVL L 74 4.3.2021)
c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;
d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomukset; (Oikaisu EUVL L 74 4.3.2021)
f) yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi; (Oikaisu EUVL L 74 4.3.2021)
g) henkilötietoryhmät, joihin rikkomus vaikuttaa; (Oikaisu EUVL L 74 4.3.2021)
h) tapa, jolla rikkomus tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomuksesta ja missä laajuudessa; (Oikaisu EUVL L 74 4.3.2021)
i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;
j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja
k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot. (Oikaisu EUVL L 74 4.3.2021)
3. Jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomuksesta määrättyä seuraamusmaksua. (Oikaisu EUVL L 74 4.3.2021)
4. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi: (Oikaisu EUVL L 74 4.3.2021)
a) rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25–39 ja 42 ja 43 artiklan mukaiset velvollisuudet;
b) sertifiointielimen 42 ja 43 artiklan mukaiset velvollisuudet;
c) edellä 41 artiklan 4 kohdassa tarkoitetut valvontaelimen velvollisuudet.
5. Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi: (Oikaisu EUVL L 74 4.3.2021)
a) edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyä koskevat perusperiaatteet, mukaan lukien suostumuksen edellytykset; (Oikaisu EUVL L 74 4.3.2021)
b) rekisteröityjen 12–22 artiklan mukaiset oikeudet;
c) edellä 44–49 artiklassa tarkoitetut henkilötietojen siirrot kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;
d) kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet;
e) valvontaviranomaisen 58 artiklan 2 kohdan nojalla antaman määräyksen tai väliaikaisen tai lopullisen rajoituksen tai tietovirtojen keskeyttämismääräyksen noudattamatta jättäminen tai 58 artiklan 1 kohdan mukaisen pääsyn antamista koskevan velvollisuuden rikkominen.
6. Edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. (Oikaisu EUVL L 74 4.3.2021)
7. Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia seuraamusmaksuja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia. (Oikaisu EUVL L 74 4.3.2021)
8. Valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.
9. Jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista seuraamusmaksuista, tätä artiklaa voidaan soveltaa niin, että seuraamusmaksun panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla seuraamusmaksuilla. Määrättävien seuraamusmaksujen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Näiden jäsenvaltioiden on ilmoitettava komissiolle säännöksistä, jotka ne antavat tämän kohdan nojalla, viimeistään 25 päivänä toukokuuta 2018 ja mahdollisista myöhemmistä muutoksista viipymättä. (Oikaisu EUVL L 74 4.3.2021)
Ks. EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö (Oikeusministeriön julkaisuja 35/2017) kohta 7.3 hallinnollisen sakon täytäntöönpanoon liittyen. Ks. myös TietosuojaL 1050/2018 24 §.
Ks. Edilex-uutinen EUT:n ennakkoratkaisuista C-683/21, Nacionalinis visuomenės sveikatos centras ja C-807/21, Deutsche Wohnen, jonka mukaan yleisen tietosuoja-asetuksen pelkkä tuottamuksellinen rikkominen voi johtaa hallinnollisen seuraamusmaksun määräämiseen.
Seuraamukset
1. Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. (Oikaisu EUVL L 74 4.3.2021)
2. Jäsenvaltioiden on ilmoitettava 1 kohdan nojalla annetut säännökset komissiolle viimeistään 25 päivänä toukokuuta 2018, ja kaikki niitä koskevat myöhemmät muutokset viipymättä. (Oikaisu EUVL L 74 4.3.2021)
Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset
Käsittely ja sananvapaus ja tiedonvälityksen vapaus
1. Jäsenvaltioiden on lainsäädännöllä sovitettava yhteen tämän asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.
2. Käsittelylle journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten jäsenvaltioiden on säädettävä vapautuksia tai poikkeuksia II luvun (periaatteet), III luvun (rekisteröidyn oikeudet), IV luvun (rekisterinpitäjä ja henkilötietojen käsittelijä), V luvun (henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille), VI luvun (riippumattomat valvontaviranomaiset), VII luvun (yhteistyö ja yhdenmukaisuus) ja IX luvun (tietojenkäsittelyyn liittyvät erityistilanteet) säännöksiin, jos ne ovat tarpeen henkilötietojen suojaa koskevan oikeuden yhteensovittamiseksi sananvapauden ja tiedonvälityksen vapauden kanssa. (Oikaisu EUVL L 74 4.3.2021)
3. Jäsenvaltioiden on ilmoitettava komissiolle 2 kohdan nojalla annetuista säännöksistä ja viipymättä kaikista niitä koskevista myöhemmistä muutoksista. (Oikaisu EUVL L 74 4.3.2021)
Henkilötietojen käsittely ja virallisten asiakirjojen julkisuus
Viranomaiset taikka julkis- tai yksityisoikeudelliset yhteisöt yleisen edun vuoksi toteutetun tehtävän suorittamiseksi voivat luovuttaa viranomaisten tai yhteisöjen hallussa olevien virallisten asiakirjojen sisältämiä henkilötietoja viranomaiseen tai yhteisöön sovellettavan unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja tämän asetuksen mukainen oikeus henkilötietojen suojaan.
Kansallisen henkilötunnuksen käsitteleminen
Jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilötunnuksen tai muun yleisen tunnisteen käsittelyn edellytykset. Tässä tapauksessa kansallista henkilötunnusta tai muuta yleistä tunnistetta on käytettävä ainoastaan noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti. (Oikaisu EUVL L 74 4.3.2021)
Ks. TietosuojaL 1050/2018 29 §.
Käsittely työsuhteen yhteydessä
1. Jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä oikeuksien ja vapauksien suojan varmistamiseksi, erityisesti palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien täyttäminen, työn johto, työn suunnittelu ja organisointi, yhdenvertaisuus ja monimuotoisuus työpaikalla, työterveys ja -turvallisuus, työnantajan tai asiakkaan omaisuuden suoja, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä tai nautintaa sekä työsuhteen päättämistä varten. (Oikaisu EUVL L 74 4.3.2021)
2. Näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi siten, että erityistä huomiota kiinnitetään tietojenkäsittelyn läpinäkyvyyteen, henkilötietojen siirtoihin saman konsernin tai samaa taloudellista toimintaa harjoittavan yritysryhmän sisällä ja työpaikalla käytössä oleviin valvontajärjestelmiin. (Oikaisu EUVL L 74 4.3.2021)
3. Jäsenvaltioiden on ilmoitettava komissiolle 1 kohdan nojalla annetut säännökset viimeistään 25 päivänä toukokuuta 2018 ja kaikki niitä koskevat myöhemmät muutokset viipymättä. (Oikaisu EUVL L 74 4.3.2021)
Ks. L yksityisyyden suojasta työelämässä 759/2004.
Ks. Edilex-uutinen EUT:n ennakkoratkaisusta C-34/21, Hauptpersonalrat der Lehrerinnen und Lehrer koskien COVID-19-pandemian vuoksi videoneuvottelun välityksellä annettavaa opetusta ja henkilötietojen käsittelyä työsuhteen yhteydessä.
Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat suojatoimet ja poikkeukset
1. Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaan käsittelyyn sovelletaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti. Näillä suojatoimilla on varmistettava, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Tällaisia toimenpiteitä voivat olla esimerkiksi pseudonymisointi, jos mainitut tarkoitukset voidaan täyttää tällä tavoin. Jos nämä tarkoitukset on mahdollista täyttää käsittelemällä tietoja siten, että ei ole mahdollista tai ei ole enää mahdollista tunnistaa rekisteröityjä, nämä tarkoitukset on täytettävä tällä tavoin. (Oikaisu EUVL L 74 4.3.2021)
2. Kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan säätää poikkeuksista 15, 16, 18 ja 21 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan tämän artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.
3. Kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten, unionin oikeudessa tai kansallisessa lainsäädännössä voidaan säätää poikkeuksista 15, 16, 18, 19, 20 ja 21 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan tämän artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin kyseiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.
4. Jos 2 ja 3 kohdassa tarkoitettua henkilötietojen käsittelyä käytetään samanaikaisesti myös muihin tarkoituksiin, poikkeuksia sovelletaan ainoastaan kyseisissä kohdissa mainituissa tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn.
Ks. TietosuojaL 1050/2018 31 ja 32 §.
Salassapitovelvollisuus
1. Jäsenvaltiot voivat antaa erityissääntöjä valvontaviranomaisten 58 artiklan 1 kohdan e ja f alakohdassa säädetyistä valtuuksista suhteessa rekisterinpitäjiin tai henkilötietojen käsittelijöihin, joita koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva tai kansallisten toimivaltaisten elinten asettama salassapitovelvollisuus tai muu vastaava velvoite, jos tämä on tarpeen ja oikeasuhteista henkilötietojen suojaa koskevan oikeuden ja salassapitovelvollisuuden yhteensovittamiseksi. Näitä sääntöjä sovelletaan ainoastaan niihin henkilötietoihin, jotka rekisterinpitäjä tai henkilötietojen käsittelijä on vastaanottanut tai saanut tämän salassapitovelvollisuuden piiriin kuuluvan toiminnan yhteydessä.
2. Jäsenvaltioiden on ilmoitettava komissiolle 1 kohdan nojalla annetut säännökset viimeistään 25 päivänä toukokuuta 2018 ja kaikki niitä koskevat myöhemmät muutokset viipymättä. (Oikaisu EUVL L 74 4.3.2021)
Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt
1. Jos jäsenvaltion kirkot ja uskonnolliset yhdistykset tai yhdyskunnat soveltavat tämän asetuksen tullessa voimaan kattavia sääntöjä, jotka koskevat luonnollisten henkilöiden suojaamista henkilötietojen käsittelyssä, näitä sääntöjä voidaan soveltaa edelleen, jos ne saatetaan tämän asetuksen mukaisiksi.
2. Tämän artiklan 1 kohdassa tarkoitettuja kattavia sääntöjä soveltavat kirkot ja uskonnolliset yhdistykset ovat sellaisen riippumattoman valvontaviranomaisen valvonnassa, joka voi olla erityisviranomainen edellyttäen, että se täyttää tämän asetuksen VI luvussa vahvistetut edellytykset.
Delegoidut säädökset ja täytäntöönpanosäädökset
Siirretyn säädösvallan käyttäminen
1. Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.
2. Siirretään komissiolle 24 päivästä toukokuuta 2016 alkaen määräämättömäksi ajaksi 12 artiklan 8 kohdassa ja 43 artiklan 8 kohdassa tarkoitettu valta antaa delegoituja säädöksiä. (Oikaisu EUVL L 74 4.3.2021)
3. Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 12 artiklan 8 kohdassa ja 43 artiklan 8 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.
4. Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.
5. Edellä 12 artiklan 8 kohdan ja 43 artiklan 8 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kolmen kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kolmella kuukaudella.
Komiteamenettely
1. Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.
2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.
3. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä sen 5 artiklan kanssa.
Loppusäännökset
Direktiivin 95/46/EY kumoaminen
1. Kumotaan direktiivi 95/46/EY 25 päivästä toukokuuta 2018.
2. Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin 95/46/EY 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.
Suhde direktiiviin 2002/58/EY
Tällä asetuksella ei aseteta luonnollisille henkilöille tai oikeushenkilöille lisävelvoitteita sellaisen käsittelyn osalta, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa, suhteessa sellaisiin seikkoihin, joiden osalta niiden on noudatettava direktiivissä 2002/58/EY säädettyjä erityisiä velvoitteita, joilla on sama tavoite.
Suhde aiemmin tehtyihin sopimuksiin
Henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille koskevat kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen 24 päivää toukokuuta 2016 ja jotka ovat ennen kyseistä päivämäärää voimassa olleen unionin oikeuden mukaisia, ovat edelleen voimassa, kunnes ne muutetaan, korvataan tai kumotaan. (Oikaisu EUVL L 74 4.3.2021)
Komission kertomukset
1. Viimeistään 25 päivänä toukokuuta 2020 ja joka neljäs vuosi sen jälkeen komissio toimittaa Euroopan parlamentille ja neuvostolle kertomuksen tämän asetuksen arvioinnista ja uudelleentarkastelusta. Kertomukset julkistetaan. (Oikaisu EUVL L 74 4.3.2021)
2. Edellä 1 kohdassa tarkoitettujen arviointien ja uudelleentarkastelujen yhteydessä komissio tarkastelee erityisesti seuraavien soveltamista ja toimivuutta:
a) kolmansiin maihin ja kansainvälisiin järjestöihin tehtäviä henkilötietojen siirtoja koskevaa V lukua siten, että erityistä huomiota kiinnitetään tämän asetuksen 45 artiklan 3 kohdan ja direktiivin 95/46/EY 25 artiklan 6 kohdan perusteella hyväksyttyihin päätöksiin;
b) yhteistyötä ja yhdenmukaisuutta koskevaa VII lukua.
(Oikaisu EUVL L 74 4.3.2021)
3. Komissio voi pyytää jäsenvaltioilta ja valvontaviranomaisilta tietoja 1 kohdan mukaista tarkoitusta varten.
4. Kun komissio tekee 1 ja 2 kohdassa tarkoitettuja arviointeja ja uudelleentarkasteluja, se ottaa huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset. (Oikaisu EUVL L 74 4.3.2021)
5. Komissio esittää tarvittaessa asianmukaisia ehdotuksia tämän asetuksen muuttamiseksi ottaen erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuvan kehityksen. (Oikaisu EUVL L 74 4.3.2021)
Unionin muiden tietosuojasäädösten uudelleentarkastelu
Komissio esittää tarvittaessa lainsäädäntöehdotuksia unionin muiden henkilötietojen suojaa koskevien säädösten muuttamiseksi, jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä. Tämä koskee etenkin sääntöjä luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä sekä sääntöjä henkilötietojen vapaasta liikkuvuudesta.
Voimaantulo ja soveltaminen
1. Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
2. Sitä sovelletaan 25 päivästä toukokuuta 2018.