EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02016L0680-20160504
Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA
Consolidated text: Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016 , mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK
Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016 , mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK
02016L0680 — ET — 04.05.2016 — 000.001
Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu
|
EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2016/680, 27. aprill 2016, (ELT L 119 4.5.2016, lk 89) |
Parandatud:
EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV (EL) 2016/680,
27. aprill 2016,
mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK
I PEATÜKK
Üldsätted
Artikkel 1
Reguleerimisese ja eesmärgid
1. Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.
2. Kooskõlas käesoleva direktiiviga liikmesriigid:
a) kaitsevad füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning
b) tagavad, et pädevate asutuste vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel, kui selline isikuandmete vahetamine on nõutav liidu või liikmesriigi õigusega.
3. Käesolev direktiiv ei takista liikmesriike kehtestamast isikuandmete töötlemisel pädevate asutuste poolt andmesubjekti õiguste ja vabaduste kaitseks rangemaid kaitsemeetmeid kui käesolevas direktiivis.
Artikkel 2
Kohaldamisala
1. Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele pädevate asutuste poolt artikli 1 lõikes 1 sätestatud eesmärkidel.
2. Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemisele ja isikuandmete automatiseerimata töötlemisele, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
3. Käesolevat direktiivi ei kohaldata, kui
a) isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse;
b) isikuandmeid töötlevad liidu institutsioonid, organid ja asutused.
Artikkel 3
Mõisted
Käesolevas direktiivis kasutatakse järgmisi mõisteid:
|
1) |
„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekt“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal; |
|
2) |
„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine; |
|
3) |
„isikuandmete töötlemise piiramine“ – säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist; |
|
4) |
„profiilianalüüs“ – igasugune isikuandmete automatiseeritud töötlemine, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selliste aspektide analüüsimiseks või prognoosimiseks, mis on seotud kõnealuse füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega; |
|
5) |
„pseudonümiseerimine“ – isikuandmete töötlemine sellisel viisil, et neid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid; |
|
6) |
„andmete kogum“ – isikuandmete igasugune korrastatud kogum, millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on funktsionaalsel või geograafilisel põhimõttel tsentraliseeritud, detsentraliseeritud või hajutatud; |
|
7) |
„pädev asutus“ – a) avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või b) muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil; |
|
8) |
„vastutav töötleja“ – pädev asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui isikuandmete töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses; |
|
9) |
„volitatud töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel; |
|
10) |
„vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjateks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid isikuandmeid kooskõlas asjaomaste andmekaitsenormidega vastavalt töötlemise eesmärkidele; |
|
11) |
„isikuandmetega seotud rikkumine“ – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või võimaldab neile juurdepääsu; |
|
12) |
„geneetilised andmed“ – isikuandmed, mis on seotud asjaomase füüsilise isiku päritud või omandatud geneetiliste omadustega, mis annavad ainulaadset teavet kõnealuse füüsilise isiku füsioloogia ja tervise kohta ning mis tulenevad eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist saadud isikuandmetest; |
|
13) |
„biomeetrilised andmed“ – konkreetse tehnilise töötlemise abil saadavad isikuandmed füüsilise isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed; |
|
14) |
„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema terviseseisundi kohta; |
|
15) |
„järelevalveasutus“ – liikmesriigis artikli 41 kohaselt asutatud sõltumatu avaliku sektori asutus; |
|
16) |
„rahvusvaheline organisatsioon“ – organisatsioon ja sellele alluvad asutused, mida reguleerib rahvusvaheline avalik õigus, või muu asutus, mis on loodud kahe või enama riigi vahelise lepinguga või selle alusel. |
II PEATÜKK
Põhimõtted
Artikkel 4
Isikuandmete töötlemise põhimõtted
1. Liikmesriigid näevad ette järgmist:
a) isikuandmeid töödeldakse seaduslikult ja õiglaselt;
b) isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus;
c) isikuandmed on piisavad ja asjakohased ega ole liiased nende töötlemise eesmärkide suhtes;
d) isikuandmed on õiged ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed tagamaks, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata;
e) isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;
f) isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid.
2. Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul artikli 1 lõikes 1 sätestatud eesmärgil kui eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd:
a) vastutav töötleja on volitatud töötlema selliseid isikuandmeid sellisel eesmärgil kooskõlas liidu või liikmesriigi õigusega ning
b) isikuandmete töötlemine on vajalik ja proportsionaalne kõnealuse muu eesmärgiga, nagu on ette nähtud liidu või liikmesriigi õiguses.
3. Isikuandmete töötlemine sama või muu vastutava töötleja poolt võib hõlmata avalikes huvides arhiveerimist või teaduslikku, statistilist või ajaloolist kasutamist artikli 1 lõikes 1 sätestatud eesmärkidel, kui andmesubjekti õiguste ja vabaduste suhtes kohaldatakse asjakohaseid kaitsemeetmeid.
4. Vastutav töötleja vastutab lõigete 1, 2 ja 3 täitmise eest ja on võimeline nende täitmist tõendama.
Artikkel 5
Säilitamise ja läbivaatamise tähtajad
Liikmesriigid näevad ette asjakohaste tähtaegade kehtestamise isikuandmete kustutamiseks või nende säilitamise vajaduse korrapäraseks läbivaatamiseks. Nimetatud tähtaegade järgimise tagamiseks kehtestatakse menetluslikud meetmed.
Artikkel 6
Andmesubjektide eri kategooriate eristamine
Liikmesriigid näevad ette, et asjakohasel juhul võimaluste piires eristab vastutav töötleja isikuandmeid selgelt andmesubjektide eri kategooriate kaupa, nimelt:
a) isikud, kelle puhul on tõsine alus arvata, et nad on toime pannud või panevad varsti toime süüteo;
b) isikud, kes on süüteos süüdi mõistetud;
c) süüteoohvrid ja isikud, kelle puhul teatavad asjaolud annavad alust arvata, et nad võivad olla süüteo ohvrid, ning
d) süüteoga seotud muud isikud, näiteks isikud, keda süüteo uurimise või sellele järgneva kriminaalmenetluse käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet süüteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja kaasosalised.
Artikkel 7
Isikuandmete eristamine ja isikuandmete kvaliteedi kontrollimine
1. Liikmesriigid näevad ette, et faktidel põhinevaid isikuandmeid eristatakse nii palju kui võimalik isiklikel hinnangutel põhinevatest isikuandmetest.
2. Liikmesriigid näevad ette, et pädevad asutused võtavad kõik mõistlikud meetmed tagamaks, et ebaõigeid, mittetäielikke või aegunud isikuandmeid ei edastata ega tehta kättesaadavaks. Sel eesmärgil kontrollivad kõik pädevad asutused võimaluse korral isikuandmete kvaliteeti enne nende edastamist või kättesaadavaks tegemist. Isikuandmete edastamisel lisatakse võimaluse korral vajalik teave, mis võimaldab andmeid vastu võtval pädeval asutusel hinnata isikuandmete õigsust, täielikkust, usaldusväärsuste ja ajakohasust.
3. Kui ilmneb, et edastatud on ebaõigeid isikuandmeid või isikuandmeid on edastatud ebaseaduslikult, teavitatakse sellest viivitamata vastuvõtjat. Sellisel juhul tuleb isikuandmed parandada, kustutada või nende töötlemist piirata kooskõlas artikliga 16.
Artikkel 8
Isikuandmete töötlemise seaduslikkus
1. Liikmesriigid näevad ette, et isikuandmete töötlemine on seaduslik ainult sel juhul ja niivõrd, kui see on vajalik pädeva asutuse poolt artikli 1 lõikes 1 sätestatud eesmärkide kohase ülesande täitmiseks ning see põhineb liidu või liikmesriigi õigusel.
2. Käesoleva direktiivi kohaldamisalasse kuuluvat isikuandmete töötlemist reguleerivas liikmesriigi õiguses täpsustatakse vähemalt isikuandmete töötlemise üldised eesmärgid, töödeldavad isikuandmed ja nende töötlemise konkreetsed eesmärgid.
Artikkel 9
Isikuandmete töötlemise eritingimused
1. Artikli 1 lõikes 1 sätestatud eesmärkidel pädevate asutuste poolt kogutavaid isikuandmeid ei tohi töödelda muudel kui artikli 1 lõikes 1 sätestatud eesmärkidel, välja arvatud juhul, kui selline töötlemine on lubatud liidu või liikmesriigi õigusega. Kui isikuandmeid töödeldakse sellistel muudel eesmärkidel, kohaldatakse määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.
2. Kui liikmesriigi õigusega on pädevatele asutustele antud muud ülesanded kui need, mida täidetakse artikli 1 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellistel eesmärkidel isikuandmete töötlemisele (sealhulgas avalikes huvides arhiveerimise, teadusliku või ajaloolise uurimistöö või statistika tarvis) määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse tegevuse käigus, mis ei kuulu liidu õiguse kohaldamisalasse.
3. Liikmesriigid näevad ette, et kui andmeid edastava pädeva asutuse suhtes kohaldatavas liidu või liikmesriigi õiguses on sätestatud isikuandmete töötlemise eritingimused, teavitab isikuandmeid edastav pädev asutus selliste isikuandmete vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest.
4. Liikmesriigid näevad ette, et isikuandmeid edastav pädev asutus ei kohalda teistes liikmesriikides asuvate vastuvõtjate ega ELi toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutuste ja organite suhtes muid lõike 3 kohaseid tingimusi kui need, mida kohaldatakse sarnase isikuandmete edastamise suhtes isikuandmeid edastava pädeva asutuse liikmesriigis.
Artikkel 10
Isikuandmete eriliikide töötlemine
Selliste isikuandmete töötlemine, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, ning geneetiliste andmete, füüsilise isiku kordumatuks tuvastamiseks kasutatavate biomeetriliste andmete, tervist või seksuaalelu või seksuaalset sättumust käsitlevate andmete töötlemine on lubatud üksnes siis, kui see on rangelt vajalik, sellele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid ning üksnes järgmistel juhtudel:
a) see on lubatud liidu või liikmesriigi õigusega;
b) et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve või
c) selliselt töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud.
Artikkel 11
Automatiseeritud töötlusel põhinevate üksikotsuste tegemine
1. Liikmesriigid näevad ette, et keelatud on üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevate otsuste tegemine, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju, välja arvatud juhul, kui see on lubatud vastutava töötleja suhtes kohaldatava liidu või liikmesriigi õigusega, milles nähakse ette asjakohased kaitsemeetmed andmesubjekti õiguste ja vabaduste tagamiseks, mis hõlmab vähemalt õigust otsesele isiklikule kontaktile vastutava töötlejaga.
2. Käesoleva artikli lõikes 1 osutatud otsused ei tohi põhineda artiklis 10 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui rakendatakse sobivaid meetmeid andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.
3. Profiilianalüüs, mille tulemusel füüsilisi isikuid diskrimineeritakse artiklis 10 osutatud isikuandmete eriliikide alusel, on kooskõlas liidu õigusega keelatud.
III PEATÜKK
Andmesubjekti õigused
Artikkel 12
Teavitamine ja andmesubjekti õiguste teostamise kord
1. Liikmesriigid näevad ette, et vastutav töötleja võtab kõik mõistlikud meetmed, et esitada andmesubjektile artiklis 13 osutatud teave ning teavitada teda seoses artiklitega 11, 14–18 ja 31 isikuandmete töötlemisest, tehes seda kokkuvõtlikus, arusaadavas ja hõlpsasti kättesaadavas vormis, kasutades selget ja lihtsat sõnastust. Kõnealune teave esitatakse asjakohaste vahendite abil, sealhulgas elektrooniliselt. Üldreeglina esitab vastutav töötleja teabe taotlusega samas vormis.
2. Liikmesriigid näevad ette, et vastutav töötleja aitab kaasa andmesubjekti artiklite 11 ja 14–18 kohaste õiguste teostamisele.
3. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult tema taotluse alusel tehtud toimingutest.
4. Liikmesriigid näevad ette, et artikli 13 kohase teabe esitamine ning artiklite 11, 14–18 ja 31 kohane teavitamine ja meetmete võtmine on tasuta. Kui andmesubjekti taotlused on selgelt põhjendamatud või ülemäärased, eelkõige oma korduva iseloomu tõttu, võib vastutav töötleja
a) küsida mõistlikku tasu, võttes arvesse halduskulu, mis kaasneb teabe esitamise või teavitamise või taotletud meetmete võtmisega, või
b) keelduda taotletud meetmete võtmisest.
Vastutav töötleja on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane.
5. Kui vastutaval töötlejal on põhjendatud kahtlused artiklis 14 või 16 osutatud taotlust esitava füüsilise isiku isikusamasuse suhtes, võib vastutav töötleja nõuda andmesubjekti isiku tuvastamiseks vajaliku täiendava teabe esitamist.
Artikkel 13
Andmesubjektile kättesaadavaks tehtud või antud teave
1. Liikmesriigid näevad ette, et vastutav töötleja teeb andmesubjektile kättesaadavaks vähemalt järgmise teabe:
a) vastutava töötleja nimi ja kontaktandmed;
b) kui kohaldatav, siis andmekaitseametniku kontaktandmed;
c) isikuandmete töötlemise kavandatud eesmärk;
d) õigus esitada kaebus järelevalveasutusele ning järelevalveasutuse kontaktandmed;
e) õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmetega tutvumist ning nende parandamist või kustutamist ja isikuandmete töötlemise piiramist.
2. Liikmesriigid näevad oma õiguses ette, et peale lõikes 1 osutatud teabe annab vastutav töötleja selleks, et andmesubjektil oleks võimalik oma õigusi teostada, talle konkreetsetel juhtudel järgmise täiendava teabe:
a) isikuandmete töötlemise õiguslik alus;
b) isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;
c) asjakohasel juhul isikuandmete vastuvõtjate kategooriad, sealhulgas kolmandates riikides või rahvusvahelistes organisatsioonides;
d) vajaduse korral täiendav teave, eriti juhul, kui isikuandmed on kogutud andmesubjekti teadmata.
3. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjektile lõike 2 kohaselt esitatava teabe hilisem või piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline meede on demokraatlikus ühiskonnas vajalik ja proportsionaalne:
a) ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;
b) süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;
c) avaliku julgeoleku kaitseks;
d) riigi julgeoleku kaitseks;
e) teiste isikute õiguste ja vabaduste kaitseks.
4. Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida vähemalt üks lõike 3 punktidest.
Artikkel 14
Andmesubjekti õigus tutvuda isikuandmetega
Kui artiklis 15 ei ole sätestatud teisiti, näevad liikmesriigid ette andmesubjekti õiguse saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse või mitte, ning nende töötlemise korral tutvuda isikuandmete ja järgmise teabega:
a) töötlemise eesmärk ja õiguslik alus;
b) asjaomaste isikuandmete liigid;
c) vastuvõtjad või vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud, eelkõige kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;
d) kui võimalik, siis kavandatav isikuandmete säilitamise tähtaeg või, kui see ei ole võimalik, siis kõnealuse tähtaja määramise kriteeriumid;
e) õigus taotleda vastutavalt töötlejalt andmesubjekti isikuandmete parandamist, kustutamist või nende töötlemise piiramist;
f) õigus esitada järelevalveasutusele kaebus ning järelevalveasutuse kontaktandmed;
g) töödeldavate isikuandmete ja nende päritolu käsitleva olemasoleva teabe edastamine.
Artikkel 15
Isikuandmetega tutvumise õiguse piiramine
1. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega nähakse ette andmesubjekti isikuandmetega tutvumise õiguse täielik või osaline piiramine sellises ulatuses ja seni, kuni selline piiramine on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede
a) ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;
b) süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;
c) avaliku julgeoleku kaitseks;
d) riigi julgeoleku kaitseks;
e) teiste isikute õiguste ja vabaduste kaitseks.
2. Liikmesriigid võivad vastu võtta seadusandlikke meetmeid, et määrata kindlaks isikuandmete töötlemise liigid, mille suhtes võivad täielikult või osaliselt kehtida lõike 1 punktid a–e.
3. Lõigetes 1 ja 2 osutatud juhtudel näevad liikmesriigid ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta kirjalikult isikuandmetega tutvumisest keeldumisest või isikuandmetega tutvumise piiramisest ja keeldumise või piiramise põhjustest. Sellist teavet ei pea andma, kui selle andmine kahjustaks mõnda lõike 1 kohast eesmärki. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.
4. Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib otsuse faktilised ja õiguslikud alused. Nimetatud teave tehakse kättesaadavaks järelevalveasutustele.
Artikkel 16
Isikuandmete parandamise või kustutamise ja isikuandmete töötlemise piiramise õigus
1. Liikmesriigid näevad ette, et andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed. Võttes arvesse isikuandmete töötlemise eesmärki, näevad liikmesriigid ette, et andmesubjektil on õigus nõuda mittetäielike isikuandmete täiendamist, muu hulgas täiendava õiendi esitamise teel.
2. Liikmesriigid nõuavad, et vastutav töötleja kustutaks isikuandmed põhjendamatu viivituseta ja näevad ette andmesubjekti õiguse sellele, et vastutav töötleja kustutaks põhjendamata viivituseta tema isikuandmed, kui isikuandmete töötlemine rikub artikli 4, 8 või 10 kohaselt vastu võetud sätteid või kui isikuandmed tuleb kustutada vastutava töötleja juriidilise kohustuse täitmiseks.
3. Vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui:
a) andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või
b) isikuandmeid tuleb säilitada tõendamise eesmärgil.
Juhul kui isikuandmete töötlemine on esimese lõigu punkti a kohaselt piiratud, teavitab vastutav töötleja andmesubjekti enne isikuandmete töötlemise piirangu kõrvaldamist.
4. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti kirjalikult keeldumisest isikuandmeid parandada või kustutada või nende töötlemist piirata ning keeldumise põhjustest. Liikmesriigid võivad asjaomase füüsilise isiku põhiõigusi ja õigustatud huve nõuetekohaselt arvestades võtta vastu seadusandlikke meetmeid, millega nähakse ette sellise teabe esitamise kohustuse täielik või osaline piiramine sellises ulatuses, mil selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede:
a) ametlike või õiguslike päringute, uurimiste või menetluste takistamise vältimiseks;
b) süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamise vältimiseks;
c) avaliku julgeoleku kaitseks;
d) riigi julgeoleku kaitseks;
e) teiste isikute õiguste ja vabaduste kaitseks.
Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti tema võimalusest esitada kaebus järelevalveasutusele või kasutada õiguskaitsevahendit.
5. Liikmesriigid näevad ette, et vastutav töötleja teavitab ebaõigete isikuandmete parandamisest pädevat asutust, kellelt ebaõiged isikuandmed pärinevad.
6. Liikmesriigid näevad ette, et juhul, kui isikuandmeid on lõigete 1, 2 ja 3 kohaselt parandatud, kustutatud või nende töötlemist on piiratud, teavitab vastutav töötleja vastuvõtjaid ning vastuvõtjad parandavad või kustutavad nende vastutuse alla kuuluvad isikuandmed või piiravad nende töötlemist.
Artikkel 17
Andmesubjekti õiguste teostamine ja kontroll järelevalveasutuse poolt
1. Artikli 13 lõikes 3, artikli 15 lõikes 3 ja artikli 16 lõikes 4 osutatud juhtudel võtavad liikmesriigid vastu meetmeid, millega nähakse ette, et andmesubjekti õigusi võib teostada ka pädeva järelevalveasutuse kaudu.
2. Liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti võimalusest teostada vastavalt lõikele 1 oma õigusi järelevalveasutuse kaudu.
3. Kui teostatakse lõikes 1 osutatud õigust, teavitab järelevalveasutus andmesubjekti vähemalt sellest, et kõik vajalikud kontrollid või läbivaatus järelevalveasutuse poolt on aset leidnud. Järelevalveasutus teavitab andmesubjekti ühtlasi õigusest kasutada õiguskaitsevahendit.
Artikkel 18
Andmesubjekti õigused kriminaaluurimises ja -menetluses
Liikmesriigid võivad ette näha, et kui isikuandmed sisalduvad kohtuotsuses, karistusregistris või kriminaaluurimise ja -menetluse käigus töödeldavas toimikus, teostatakse artiklites 13, 14 ja 16 osutatud õigusi vastavalt liikmesriigi õigusele.
IV PEATÜKK
Vastutav töötleja ja volitatud töötleja
Artikkel 19
Vastutava töötleja kohustused
1. Liikmesriigid näevad ette, et vastutav töötleja rakendab isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte arvesse võttes asjakohaseid tehnilisi ja korralduslikke meetmeid tagamaks, et isikuandmeid töödeldakse kooskõlas käesoleva direktiiviga, ja olemaks võimeline seda ka tõendama. Vajaduse korral vaadatakse kõnealused meetmed läbi ja neid ajakohastatakse.
2. Kui see on proportsionaalne isikuandmete töötlemise toimingutega, hõlmavad lõikes 1 osutatud meetmed asjakohaste andmekaitsepõhimõtete rakendamist vastutava töötleja poolt.
Artikkel 20
Lõimitud andmekaitse ja vaikimisi andmekaitse
1. Liikmesriigid näevad ette, et vastutav töötleja rakendab teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti isikuandmete töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohtusid arvesse võttes nii isikuandmete töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (nagu võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita käesoleva direktiivi nõudeid ja kaitsta andmesubjektide õigusi.
2. Liikmesriigid näevad ette, et vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult isikuandmeid, mis on vajalikud töötlemise iga konkreetse eesmärgi saavutamiseks. Nimetatud kohustus kehtib kogutud isikuandmete hulga, töötlemise ulatuse, säilitamise tähtaja ja kättesaadavuse suhtes. Eelkõige tagatakse selliste meetmetega see, et isikuandmeid ei tehta vaikimisi kättesaadavaks määramata füüsiliste isikute ringile ilma asjaomase isiku sekkumiseta.
Artikkel 21
Kaasvastutavad töötlejad
1. Liikmesriigid näevad ette, et kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad. Nad määravad iga kaasvastutava töötleja vastutusvaldkonna käesoleva direktiivi täitmisel (eelkõige seoses andmesubjekti õiguste teostamise ja iga kaasvastutava töötleja kohustustega esitada artiklis 13 osutatud teavet) läbipaistval viisil kindlaks omavahelise kokkuleppega, välja arvatud juhul ja sel määral, kui iga sellise vastutava töötleja vastavad vastutusvaldkonnad on kindlaks määratud vastutavate töötlejate suhtes kohaldatava liidu või liikmesriigi õigusega. Kokkuleppes määratakse andmesubjektide jaoks kindlaks kontaktpunkt. Liikmesriigid võivad kindlaks määrata, milline kaasvastutavatest töötlejatest võib toimida ühtse kontaktpunktina, mille kaudu andmesubjektid saavad oma õigusi teostada.
2. Sõltumata lõikes 1 osutatud kokkuleppe tingimustest võivad liikmesriigid ette näha, et andmesubjekt võib teostada oma käesoleva direktiivi kohaselt vastu võetud sätetest tulenevaid õigusi iga vastutava töötleja suhtes.
Artikkel 22
Volitatud töötleja
1. Liikmesriigid näevad ette, et kui isikuandmete töötlemine toimub vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et isikuandmete töötlemine vastab käesoleva direktiivi nõuetele, ning tagab andmesubjekti õiguste kaitse.
2. Liikmesriigid näevad ette, et volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva konkreetse või üldise kirjaliku loata. Üldise kirjaliku loa puhul teavitab volitatud töötleja vastutavat töötlejat alati kõigist kavandatavatest muutustest, mis puudutavad teiste volitatud töötlejate lisamist või asendamist, andes seeläbi vastutavale töötlejale võimaluse esitada selliste muudatuste suhtes vastuväiteid.
3. Liikmesriigid näevad ette, et volitatud töötleja töötleb isikuandmeid volitatud töötlejale ja vastutavale töötlejale siduva lepingu või liidu või liikmesriigi õiguse kohase siduva õigusakti alusel, milles sätestatakse isikuandmete töötlemise sisu ja kestus, laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused. Nimetatud leping või siduv õigusakt sätestab eelkõige, et volitatud töötleja
a) tegutseb üksnes vastutava töötleja suuniste alusel;
b) tagab, et isikuandmeid töötlema volitatud isikud on kohustunud järgima konfidentsiaalsusnõuet või nende suhtes kehtib asjakohane õigusaktist tulenev konfidentsiaalsuskohustus;
c) aitab vastutaval töötlejal kõigi asjakohaste vahenditega tagada andmesubjekti õigusi käsitlevate sätete järgimine;
d) pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab vastutavale töötlejale vastutava töötleja valikul kõik isikuandmed ja kustutab olemasolevad koopiad, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt nõutakse isikuandmete säilitamist;
e) teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik käesoleva artikli täitmise tõendamiseks;
f) järgib lõigetes 2 ja 3 osutatud tingimusi teise volitatud töötleja kaasamiseks.
4. Lõikes 3 osutatud leping või siduv õigusakt peab olema kirjalik, sh elektroonilisel kujul.
5. Kui volitatud töötleja määrab käesolevat direktiivi rikkudes isikuandmete töötlemise eesmärgid ja vahendid, siis loetakse kõnealust volitatud töötlejat selle töötlemise suhtes vastutavaks töötlejaks.
Artikkel 23
Isikuandmete töötlemine vastutava töötleja või volitatud töötleja volituse alusel
Liikmesriigid näevad ette, et volitatud töötleja ning vastutava töötleja või volitatud töötleja volituse alusel tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad nimetatud isikuandmeid töödelda üksnes vastutava töötleja juhiste alusel, välja arvatud juhul, kui liidu või liikmesriigi õigus neid selleks kohustab.
Artikkel 24
Isikuandmete töötlemise toimingute dokumenteerimine
1. Liikmesriigid näevad ette, et vastutavad töötlejad dokumenteerivad kõik nende vastutusel toimuvate isikuandmete töötlemise toimingute liigid. Kõnealune dokumentatsioon sisaldab järgmist teavet:
a) vastutava töötleja, asjakohasel juhul kaasvastutava töötleja ja andmekaitseametniku nimi ja kontaktandmed;
b) isikuandmete töötlemise eesmärgid;
c) vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse, sealhulgas kolmandates riikides olevad vastuvõtjad või rahvusvahelised organisatsioonid;
d) andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;
e) asjakohasel juhul profiilianalüüsi kasutamine;
f) asjakohasel juhul isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise liigid;
g) teave selle isikuandmete töötlemise toimingu (sealhulgas edastamise) õigusliku aluse kohta, mille jaoks isikuandmed on mõeldud;
h) võimaluse korral isikuandmete eriliikide kustutamiseks ette nähtud tähtajad;
i) võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.
2. Liikmesriigid näevad ette, et volitatud töötleja dokumenteerib kõik vastutava töötleja nimel toimuvate isikuandmete töötlemisega seotud toimingute liigid, hõlmates järgmist teavet:
a) volitatud töötleja või volitatud töötlejate, kõigi vastutavate töötlejate, kelle nimel volitatud töötleja tegutseb, ning asjakohasel juhul andmekaitseametniku nimi ja kontaktandmed;
b) iga vastutava töötleja nimel tehtava töötlemise liigid;
c) asjakohasel juhul isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile, kui vastutav töötleja andis selleks sõnaselge korralduse, sealhulgas andmed kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni tuvastamiseks;
d) võimaluse korral artikli 29 lõikes 1 osutatud tehniliste ja korralduslike turvameetmete üldine kirjeldus.
3. Lõigetes 1 ja 2 osutatud dokumentatsioon on kirjalik, sh elektroonilisel kujul.
Taotluse korral teevad vastutav töötleja ja volitatud töötleja kõnealuse dokumentatsiooni järelevalveasutusele kättesaadavaks.
Artikkel 25
Logimine
1. Liikmesriigid näevad ette, et peetakse logisid vähemalt järgmiste automatiseeritud töötlemissüsteemides tehtavate isikuandmete töötlemise toimingute kohta: kogumine, muutmine, lugemine, avalikustamine (sealhulgas edastamine), ühendamine ja kustutamine. Lugemist ja avalikustamist kajastavad logid peavad võimaldama teha kindlaks nimetatud toimingute tegemise põhjenduse, kuupäeva ja aja ning võimaluse korral ka teabe isikuandmeid lugenud ja avalikustanud isiku kohta ning selliste isikuandmete vastuvõtjate nimed.
2. Logisid kasutatakse üksnes isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, isikuandmete tervikluse ja turvalisuse tagamiseks ning kriminaalmenetluses.
3. Taotluse korral teevad vastutav töötleja ja volitatud töötleja logid järelevalveasutusele kättesaadavaks.
Artikkel 26
Koostöö järelevalveasutusega
Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja teevad oma ülesannete täitmise käigus taotluse korral koostööd järelevalveasutusega.
Artikkel 27
Andmekaitsealane mõjuhinnang
1. Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava isikuandmete töötlemise tulemusena ning töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib füüsiliste isikute õigustele ja vabadustele tõenäoliselt suur oht, näevad liikmesriigid ette, et vastutav töötleja hindab enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele.
2. Lõikes 1 osutatud hindamine sisaldab vähemalt kavandatud isikuandmete töötlemise toimingute üldkirjeldust, ohuhinnangut seoses andmesubjektide õiguste ja vabadustega, kõnealuste ohtude käsitlemiseks kavandatud meetmeid, kaitsemeetmeid, turvameetmeid ja mehhanisme, mis tagavad isikuandmete kaitse ja tõendavad kooskõla käesoleva direktiiviga, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.
Artikkel 28
Eelnev konsulteerimine järelevalveasutusega
1. Liikmesriigid näevad ette, et vastutav töötleja või volitatud töötleja konsulteerib järelevalveasutusega enne, kui ta hakkab töötlema isikuandmeid, mis kantakse uude loodavasse andmete kogumisse, kui
a) artiklis 27 sätestatud andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohtu leevendamiseks võetavate meetmete puudumise korral suur oht, või
b) isikuandmete töötlemise laadiga, eelkõige kui kasutatakse uusi tehnoloogiaid, mehhanisme või menetlusi, kaasneb suur oht andmesubjekti õigustele ja vabadustele.
2. Liikmesriigid näevad ette järelevalveasutusega konsulteerimise, kui koostamisel on liikmesriigi parlamendis vastu võetava seadusandliku meetme ettepanek või sellisel seadusandlikul meetmel põhinev reguleeriv meede, mis seondub isikuandmete töötlemisega.
3. Liikmesriigid näevad ette, et järelevalveasutus võib koostada loetelu isikuandmete töötlemise toimingutest, mille suhtes kohaldatakse lõikes 1 sätestatud eelnevat konsulteerimist.
4. Liikmesriigid näevad ette, et vastutav töötleja esitab järelevalveasutusele artikli 27 kohase andmekaitsealase mõjuhinnangu ja taotluse korral ka muu teabe, mille alusel järelevalveasutus saab hinnata isikuandmete töötlemise vastavust nõuetele, eelkõige andmesubjekti isikuandmete kaitset ähvardavaid ohtusid ja nendega seotud kaitsemeetmeid.
5. Liikmesriigid näevad ette, et kui järelevalveasutus on seisukohal, et käesoleva artikli lõikes 1 osutatud kavandatav isikuandmete töötlemine rikuks käesoleva direktiivi kohaselt vastu võetud sätteid, eriti juhul, kui vastutav töötleja ei ole ohtu piisavalt kindlaks teinud või seda piisavalt leevendanud, annab järelevalveasutus hiljemalt kuue nädala jooksul alates konsulteerimise taotluse saamisest vastutavale töötlejale ja kui see on kohaldatav, volitatud töötlejale kirjalikult nõu ning võib kasutada artiklis 47 osutatud volitusi. Nimetatud tähtaega võib pikendada ühe kuu võrra, arvestades kavandatud isikuandmete töötlemise keerukust. Järelevalveasutus teavitab vastutavat töötlejat ja kui see on kohaldatav, volitatud töötlejat tähtaja pikendamisest ühe kuu jooksul alates konsulteerimise taotluse saamisest, koos tähtaja pikendamise põhjustega.
Artikkel 29
Isikuandmete töötlemise turvalisus
1. Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja suurusega ohtusid füüsiliste isikute õigustele ja vabadustele arvesse võttes ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid, eelkõige seoses artiklis 10 osutatud isikuandmete eriliikide töötlemisega.
2. Liikmesriigid näevad ette, et vastutav töötleja ja volitatud töötleja rakendavad ohuhindamise alusel automatiseeritud andmetöötluse suhtes meetmeid, et:
a) keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu kontroll);
b) hoida ära andmekandjate loata lugemine, kopeerimine, muutmine või kõrvaldamine (andmekandjate kontroll);
c) hoida ära isikuandmete loata sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine (säilitamise kontroll);
d) hoida ära automatiseeritud andmetöötlussüsteemi andmesidevahendite abil kasutamine volitamata isikute poolt (kasutajate kontroll);
e) tagada, et automatiseeritud andmetöötlussüsteemi kasutamise loaga isikutel oleks juurdepääs üksnes nendele isikuandmetele, mida hõlmab nende juurdepääsuluba (juurdepääsukontroll);
f) tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud või millistele asutustele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll);
g) tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll);
h) hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll);
i) tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine);
j) tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks säilitatavate isikuandmete moonutamist (terviklus).
Artikkel 30
Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest
1. Liikmesriigid näevad ette, et isikuandmetega seotud rikkumise korral teatab vastutav töötleja isikuandmetega seotud rikkumisest järelevalveasutusele põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast sellest teada saamist, välja arvatud juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele. Kui järelevalveasutust teavitatakse hiljem kui 72 tunni jooksul, esitatakse teates selle kohta põhjendus.
2. Volitatud töötleja teavitab vastutavat töötlejat põhjendamatu viivituseta pärast isikuandmetega seotud rikkumisest teada saamist.
3. Lõikes 1 osutatud teates tuleb vähemalt
a) kirjeldada isikuandmetega seotud rikkumise laadi ning nimetada võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmekirjete liigid ja ligikaudne arv;
b) teatada andmekaitseametniku või mõne teise täiendavat teavet andva kontaktpunkti nimi ja kontaktandmed;
c) kirjeldada isikuandmetega seotud rikkumise võimalikke tagajärgi;
d) kirjeldada vastutava töötleja poolt võetud või võtmiseks kavandatud meetmeid isikuandmetega seotud rikkumise lahendamiseks, sealhulgas asjakohasel juhul rikkumise võimaliku kahjuliku mõju leevendamiseks.
4. Juhul ja niivõrd, kui teavet ei ole võimalik esitada samal ajal, võib teabe esitada järk-järgult ilma põhjendamatu viivituseta.
5. Liikmesriigid näevad ette, et vastutav töötleja dokumenteerib kõik lõikes 1 osutatud isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, mõju ja võetud parandusmeetmed. Dokumendid peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis sätestatud nõuete täitmist.
6. Liikmesriigid näevad ette, et kui isikuandmetega seotud rikkumine puudutab isikuandmeid, mis on edastatud teise liikmesriigi vastutava töötleja poolt või teise liikmesriigi vastutavale töötlejale, edastatakse lõikes 3 osutatud teave põhjendamatu viivituseta kõnealuse liikmesriigi vastutavale töötlejale.
Artikkel 31
Andmesubjekti teavitamine isikuandmetega seotud rikkumisest
1. Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele, näevad liikmesriigid näevad ette, et vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta isikuandmetega seotud rikkumisest.
2. Andmesubjektile käesoleva artikli lõike 1 kohaselt esitatud teates kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt artikli 30 lõike 3 punktides b, c ja d ette nähtud teave ja meetmed.
3. Lõikes 1 osutatud andmesubjekti teavitamist ei nõuta, kui esineb üks järgmistest tingimustest:
a) vastutav töötleja on rakendanud asjakohaseid tehnoloogilisi ja korralduslikke kaitsemeetmeid ning neid kohaldati isikuandmetega seotud rikkumisest mõjutatud isikuandmetele, kasutades eelkõige selliseid meetmeid, mis muudavad isikuandmed juurdepääsuõiguseta isikutele loetamatuks (näiteks krüpteerimine);
b) vastutav töötleja on võtnud hilisemad meetmed, mis tagavad, et lõikes 1 osutatud suure ohu realiseerumine andmesubjektide õigustele ja vabadustele ei ole enam tõenäoline;
c) see nõuaks ebaproportsionaalset jõupingutust. Sellisel juhul tehakse andmesubjekti teavitamise asemel avalik teadaanne või võetakse muu sarnane meede, millega teavitatakse kõiki andmesubjekte võrdselt tulemuslikul viisil.
4. Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib järelevalveasutus pärast selle hindamist, kas isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu, sellist teavitamist vastutavalt töötlejalt nõuda või otsustada, et esineb üks lõikes 3 osutatud tingimustest.
5. Artikli 13 lõikes 3 osutatud tingimustel ja alustel võib andmesubjektile käesoleva artikli lõikes 1 osutatud teabe esitada hiljem või piiratud ulatuses või jätta see esitamata.
Artikkel 32
Andmekaitseametniku määramine
1. Liikmesriigid näevad ette, et vastutav töötleja määrab andmekaitseametniku. Liikmesriigid võivad vabastada sellest kohustusest kohtud ja muud sõltumatud õigusasutused menetlusotsuste tegemisel.
2. Andmekaitseametniku määramisel lähtutakse tema kutseoskustest ja eelkõige tema ekspertteadmistest andmekaitsealase õiguse ja tava kohta ning suutlikkusest täita artiklis 34 osutatud ülesandeid.
3. Mitme pädeva asutuse kohta võib määrata ühe andmekaitseametniku, võttes arvesse nende asutuste organisatsioonilist struktuuri ja suurust.
4. Liikmesriigid näevad ette, et vastutav töötleja avaldab andmekaitseametniku kontaktandmed ning edastab need järelevalveasutusele.
Artikkel 33
Andmekaitseametniku ametiseisund
1. Liikmesriigid näevad ette, et vastutav töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitsega seotud küsimustesse.
2. Vastutav töötleja toetab andmekaitseametnikku artiklis 34 osutatud ülesannete täitmisel, andes talle kõnealuste ülesannete täitmiseks ja ekspertteadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja nende töötlemise toimingutele.
Artikkel 34
Andmekaitseametniku ülesanded
Liikmesriigid näevad ette, et vastutav töötleja annab andmekaitseametnikule vähemalt järgmised ülesanded:
a) teavitada ja nõustada vastutavat töötlejat ning isikuandmeid töötlevaid töötajaid nende kohustustest, mis tulenevad käesolevast direktiivist ja muudest liidu või liikmesriikide andmekaitsenormidest;
b) jälgida käesoleva direktiivi, muude liidu või liikmesriikide andmekaitsenormide ja vastutava töötleja isikuandmete kaitse põhimõtete järgimist, sealhulgas vastutusvaldkondade jaotamist, isikuandmete töötlemises osaleva personali teadlikkuse suurendamist ja koolitamist, ning seonduva auditeerimist;
c) anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning valvata selle toimimise järele vastavalt artiklile 27;
d) teha koostööd järelevalveasutusega;
e) tegutseda isikuandmete töötlemise küsimustes järelevalveasutuse jaoks kontaktpunktina, sealhulgas artiklis 28 osutatud eelneva konsulteerimise puhul, ning konsulteerida asjakohasel juhul ka muudes küsimustes.
V PEATÜKK
Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele
Artikkel 35
Isikuandmete edastamise üldpõhimõtted
1. Liikmesriigid näevad ette, et pädevad asutused edastavad töödeldavaid või pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist töötlemiseks, sealhulgas andmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edasi saatmiseks mõeldud isikuandmeid üksnes juhul, kui on täidetud käesoleva direktiivi muude sätete kohaselt vastu võetud liikmesriigi sätted ja käesolevas peatükis sätestatud tingimused, nimelt:
a) edastamine on vajalik artikli 1 lõikes 1 sätestatud eesmärkidel;
b) isikuandmeid edastatakse vastutavale töötlejale kolmandas riigis või rahvusvahelises organisatsioonis, mis on artikli 1 lõikes 1 osutatud eesmärkidel pädev asutus;
c) juhul kui isikuandmeid edastatakse või tehakse kättesaadavaks teisest liikmesriigist, on kõnealune liikmesriik andnud edastamiseks eelnevalt loa kooskõlas oma siseriikliku õigusega;
d) komisjon on artikli 36 kohaselt võtnud vastu kaitse piisavuse otsuse või kui sellist otsust ei ole vastu võetud, siis on kehtestatud või võetud artikli 37 kohased piisavad kaitsemeetmed, või kui artikli 36 kohane kaitse piisavuse otsus või 37 kohased piisavad kaitsemeetmed puuduvad, kohaldatakse artikli 38 kohaselt erandeid eriolukordades, ning
e) andmete edasisaatmise korral muule kolmandale riigile või rahvusvahelisele organisatsioonile annab andmed algselt edastanud pädev asutus või sama liikmesriigi muu pädev asutus loa edasisaatmiseks, olles võtnud nõuetekohaselt arvesse kõiki asjakohaseid tegureid, sealhulgas süüteo raskust, isikuandmete algse edastamise eesmärki ja isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse.
2. Liikmesriigid näevad ette, et andmete edastamine lõike 1 punkti c kohaselt ilma teise liikmesriigi eelneva loata on lubatud üksnes juhul, kui isikuandmete edastamine on vajalik liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks või liikmesriigi olulise huvi seisukohast ning eelnevat luba ei ole võimalik õigeaegselt saada. Eelneva loa andmise eest vastutavat asutust teavitatakse viivitamata.
3. Kõiki käesoleva peatüki sätteid kohaldatakse selleks, et tagada füüsiliste isikute kaitse käesoleva direktiiviga ette nähtud tasemel.
Artikkel 36
Edastamine kaitse piisavuse otsuse alusel
1. Liikmesriigid näevad ette, et isikuandmeid võib kolmandale riigile või rahvusvahelisele organisatsioonile edastada siis, kui komisjon on teinud otsuse, et asjaomane kolmas riik või asjaomase kolmanda riigi territoorium või asjaomase kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme. Selliseks edastamiseks ei ole vaja eriluba.
2. Isikuandmete kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse järgmisi asjaolusid:
a) õigusriigi põhimõte, inimõiguste ja põhivabaduste austamine, asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, riigikaitset, riiklikku julgeolekut, kriminaalõigust ja riigiasutuste juurdepääsu isikuandmetele, ning kõnealuste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas eeskirjad isikuandmete edasisaatmise kohta teisele kolmandale riigile või rahvusvahelisele organisatsioonile, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktika ning tõhusate ja kohtulikult kaitstavate õiguste ja tõhusa haldus- ja õiguskaitse olemasolu andmesubjektide jaoks, kelle isikuandmeid edastatakse;
b) ühe või mitme sellise sõltumatu järelevalveasutuse olemasolu ja tõhus toimimine asjaomases kolmandas riigis või kellele rahvusvaheline organisatsioon allub, kes vastutab andmekaitsenormide järgimise ja jõustamise eest, sealhulgas piisavate täitmise tagamise volituste eest, ning andmesubjektide abistamise ja nõustamise eest nende õiguste teostamisel ning liikmesriikide järelevalveasutustega tehtava koostöö eest, ja
c) asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega.
3. Komisjon võib pärast kaitse taseme piisavuse hindamist võtta rakendusaktiga vastu otsuse, et kolmas riik või kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme käesoleva artikli lõike 2 tähenduses. Rakendusaktis nähakse ette korrapärase, vähemalt iga nelja aasta tagant toimuva läbivaatamise mehhanism, milles võetakse arvesse kõiki asjaomaseid suundumusi kolmandas riigis või rahvusvahelises organisatsioonis. Rakendusaktis määratakse kindlaks selle territoriaalne ja valdkondlik kohaldatavus ning vajaduse korral käesoleva artikli lõike 2 punktis b osutatud järelevalveasutus või -asutused. Rakendusakt võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.
4. Komisjon jälgib pidevalt suundumusi kolmandates riikides ja rahvusvahelistes organisatsioonides, mis võiksid mõjutada lõike 3 kohaselt vastu võetud otsuste toimimist.
5. Kui olemasolev teave sellele osutab ja eelkõige pärast käesoleva artikli lõikes 3 osutatud läbivaatamist, võtab komisjon rakendusaktidega vastu otsuse, et kolmas riik, kolmanda riigi territoorium või kolmanda riigi üks või mitu kindlaksmääratud sektorit või rahvusvaheline organisatsioon ei taga enam isikuandmete kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, ning muudab käesoleva artikli lõikes 3 osutatud otsust vajalikus ulatuses, tunnistab selle kehtetuks või peatab selle kehtivuse ilma tagasiulatuva mõjuta. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.
Nõuetekohaselt põhjendatud tungiva kiireloomulisuse tõttu võtab komisjon kooskõlas artikli 58 lõikes 3 osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid.
6. Komisjon alustab kolmanda riigi või rahvusvahelise organisatsiooniga konsultatsioone lõike 5 kohase otsuse vastuvõtmise tinginud olukorra parandamiseks.
7. Liikmesriigid näevad ette, et lõike 5 kohane otsus ei mõjuta artiklite 37 ja 38 kohaseid isikuandmete edastamisi kolmandale riigile või kõnealuse kolmanda riigi territooriumile või kõnealuse kolmanda riigi ühele või mitmele kindlaksmääratud sektorile või kõnealusele rahvusvahelisele organisatsioonile.
8. Komisjon avaldab Euroopa Liidu Teatajas ja oma veebisaidil nende kolmandate riikide, kolmanda riigi territooriumide ja kindlaksmääratud sektorite ning rahvusvaheliste organisatsioonide loetelu, mille kohta ta on vastu võtnud otsuse, et nad tagavad isikuandmete kaitse piisava taseme või ei taga seda enam.
Artikkel 37
Edastamine asjakohaste kaitsemeetmete kohaldamisel
1. Artikli 36 lõike 3 kohase otsuse puudumise korral näevad liikmesriigid ette, et isikuandmeid võib edastada kolmandale riigile või rahvusvahelisele organisatsioonile juhul, kui
a) isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on sätestatud õiguslikult siduvas aktis või
b) vastutav töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et võetud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed.
2. Vastutav töötleja teatab järelevalveasutusele lõike 1 punkti b kohaste edastamiste liigid.
3. Kui edastamine põhineb lõike 1 punktil b, siis dokumenteeritakse selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed ning taotluse korral tehakse dokumendid järelevalveasutusele kättesaadavaks.
Artikkel 38
Erandid eriolukordades
1. Artikli 36 kohase kaitse piisavuse otsuse või artikli 37 kohaste asjakohaste kaitsemeetmete puudumise korral näevad liikmesriigid ette, et kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete edastamine või edastamistoimingute liik on lubatud üksnes tingimusel, et edastamine on vajalik:
a) andmesubjekti või teise isiku eluliste huvide kaitsmiseks;
b) andmesubjekti õigustatud huvi kaitsmiseks, kui isikuandmeid edastava liikmesriigi õiguses on niimoodi ette nähtud;
c) liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise ohu ennetamiseks;
d) üksikjuhtumite korral artikli 1 lõikes 1 sätestatud eesmärkidel või
e) üksikjuhtumi korral artikli 1 lõikes 1 sätestatud eesmärkidega seotud konkreetsete õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.
2. Isikuandmeid ei edastata, kui edastav pädev asutus leiab, et asjaomase andmesubjekti põhiõigused ja -vabadused kaaluvad üles lõike 1 punktides d ja e sätestatud avaliku huvi andmete edastamiseks.
3. Kui edastamine põhineb lõikel 1, siis on selline edastamine, sealhulgas edastamise kuupäev ja kellaaeg, vastuvõtva pädeva asutuse andmed, edastamise selgitus ja edastatud isikuandmed, dokumenteeritud ning dokumendid tehakse taotluse korral järelevalveasutusele kättesaadavaks.
Artikkel 39
Isikuandmete edastamine kolmandates riikides asuvatele vastuvõtjatele
1. Erandina artikli 35 lõike 1 punktist b ja ilma et see piiraks käesoleva artikli lõikes 2 osutatud rahvusvaheliste lepingute kohaldamist, võib liidu või liikmesriigi õigusega ette näha, et artikli 3 punkti 7 alapunktis a osutatud pädevad asutused võivad üksikute ja konkreetsete juhtumite korral edastada isikuandmeid kolmandates riikides asuvatele vastuvõtjatele otse üksnes juhul, kui järgitakse käesoleva direktiivi muid sätteid ja kui on täidetud kõik järgmised tingimused:
a) edastamine on rangelt vajalik edastava pädeva asutuse liidu või liikmesriigi õiguses sätestatud ülesande täitmiseks artikli 1 lõikes 1 sätestatud eesmärkidel;
b) edastav pädev asutus leiab, et ükski asjaomase andmesubjekti põhiõigus ega -vabadus ei kaalu konkreetse juhtumi puhul üles avalikku huvi, mis teeb vajalikuks edastamise;
c) edastav pädev asutus leiab, et edastamine kolmanda riigi asutusele, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, ei ole tõhus või asjakohane, eelkõige sellepärast, et seda ei ole võimalik teha õigeaegselt;
d) kolmanda riigi asutust, kes on pädev artikli 1 lõikes 1 osutatud eesmärkidel, teavitatakse põhjendamatu viivituseta, välja arvatud juhul, kui see ei ole tõhus või asjakohane;
e) edastav pädev asutus teavitab vastuvõtjat konkreetsest eesmärgist või konkreetsetest eesmärkidest, millega seoses viimane isikuandmeid töödelda võib, eeldusel et selline töötlemine on vajalik.
2. Lõikes 1 osutatud rahvusvaheline leping on liikmesriikide ja kolmandate riikide vaheline kahepoolne või mitmepoolne rahvusvaheline leping kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.
3. Edastav pädev asutus teatab käesoleva artikli kohastest edastamistest järelevalveasutusele.
4. Kui edastamine põhineb lõikel 1, tuleb selline edastamine dokumenteerida.
Artikkel 40
Isikuandmete kaitseks tehtav rahvusvaheline koostöö
Komisjon ja liikmesriigid võtavad kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes asjakohased meetmed, selleks et
a) töötada välja rahvusvahelised koostöömehhanismid, millega hõlbustada isikuandmete kaitset käsitlevate õigusaktide tõhusat täitmise tagamist;
b) osutada rahvusvahelist vastastikust abi isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas teavitamisel, kaebuste edasisaatmisel käsitlemiseks, uurimisabi ja teabevahetuse kaudu, järgides asjakohaseid isikuandmete kaitse meetmeid ning muid põhiõigusi ja -vabadusi;
c) kaasata asjaomased sidusrühmad arutellu ja tegevusse, mille eesmärk on edendada rahvusvahelist koostööd isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel;
d) edendada isikuandmete kaitset käsitlevate õigusaktide ja tavade vahetamist ja dokumenteerimist, sealhulgas kolmandate riikidega kohtualluvust puudutavate lahkarvamuste küsimuses.
VI PEATÜKK
Sõltumatud järelevalveasutused
Artikkel 41
Järelevalveasutus
1. Iga liikmesriik näeb ette, et üks või mitu sõltumatut riigiasutust vastutab käesoleva direktiivi kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi nende isikuandmete töötlemisel ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).
2. Iga järelevalveasutus annab panuse selleks, et tagada käesoleva direktiivi järjekindel kohaldamine kogu liidus. Sel eesmärgil teevad järelevalveasutused omavahel ja komisjoniga koostööd kooskõlas VII peatükiga.
3. Liikmesriigid võivad sätestada, et määruse (EL) 2016/679 kohaselt loodud järelevalveasutus on käesolevas direktiivis osutatud järelevalveasutus ja ta vastutab käesoleva artikli lõike 1 kohaselt loodava järelevalveasutuse ülesannete täitmise eest.
4. Kui liikmesriigis on rohkem kui üks järelevalveasutus, määrab liikmesriik ühe järelevalveasutuse, kes esindab neid asutusi artiklis 51 osutatud andmekaitsenõukogus.
Artikkel 42
Sõltumatus
1. Liikmesriigid näevad ette, et nende järelevalveasutused tegutsevad käesoleva direktiivi kohaselt oma ülesannete täitmisel ja volituste kasutamisel täiesti sõltumatult.
2. Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed on oma käesoleva direktiivi kohaste ülesannete täitmisel ja volituste kasutamisel vabad nii otsestest kui ka kaudsetest välistest mõjutustest ning et nad ei küsi ega võta vastu juhiseid mitte kelleltki.
3. Liikmesriikide järelevalveasutuste liikmed hoiduvad oma kohustustega kokkusobimatust tegevusest ega tööta oma ametiaja jooksul ühelgi muul oma kohustustega kokkusobimatul tasustatud või tasustamata ametikohal.
4. Liikmesriigid näevad ette, et nende järelevalveasutustel on inim-, tehnilised ja rahalised ressursid ning ruumid ja taristu oma ülesannete tõhusaks täitmiseks ja volituste kasutamiseks, sealhulgas nende, mis tuleb täita vastastikuse abi ja koostöö raames ning andmekaitsenõukogu töös osalemisel.
5. Liikmesriigid näevad ette, et nende järelevalveasutustel on oma töötajad, kelle valib järelevalveasutus ja kes alluvad ainult asjaomase järelevalveasutuse liikme või liikmete juhtimisele.
6. Liikmesriigid näevad ette, et nende järelevalveasutuste üle teostatakse sellist finantskontrolli, mis ei mõjuta nende sõltumatust ning et neil on eraldi avalik aastaeelarve, mis võib olla osa piirkonna või riigi üldeelarvest.
Artikkel 43
Järelevalveasutuse liikmetele esitatavad üldtingimused
1. Liikmesriigid näevad ette, et nende järelevalveasutuste liikmed nimetab läbipaistva menetluse teel ametisse:
— asjaomase liikmesriigi parlament,
— asjaomase liikmesriigi valitsus,
— asjaomase liikmesriigi riigipea või
— liikmesriigi õiguse kohaselt asjaomaseid liikmeid ametisse nimetama volitatud sõltumatu asutus.
2. Igal liikmel on oma kohustuste täitmiseks ja volituste kasutamiseks vajalik kvalifikatsioon, kogemus ja oskused, eelkõige isikuandmete kaitse valdkonnas.
3. Liikme kohustused lõpevad ametiaja lõppedes või ametist lahkumise või kohustusliku pensionilemineku korral kooskõlas asjaomase liikmesriigi õigusega.
4. Liige vabastatakse ametist ainult tõsise üleastumise korral või juhul, kui liige ei vasta enam oma kohustuste täitmiseks nõutavatele tingimustele.
Artikkel 44
Järelevalveasutuse asutamise eeskirjad
1. Liikmesriik sätestab õigusega::
a) järelevalveasutuse asutamise;
b) järelevalveasutuse liikme ametisse nimetamiseks nõutava kvalifikatsiooni ja tingimused;
c) eeskirjad ja menetlused järelevalveasutuse liikmete ametisse nimetamiseks;
d) järelevalveasutuse liikme või liikmete vähemalt nelja aasta pikkuse ametiaja, välja arvatud pärast 6. maid 2016 esimest korda ametisse nimetamisel, mil osa liikmete ametiaeg võib olla lühem, kui see on vajalik, et kaitsta järkjärgulise ametisse nimetamise abil järelevalveasutuse sõltumatust;
e) selle, kas ja kui mitmeks ametiajaks saab järelevalveasutuse liiget või liikmeid ametisse tagasi nimetada, ning
f) tingimused, mis reguleerivad järelevalveasutuse liikme või liikmete ja töötajate kohustusi, nende kohustustega kokkusobimatuid tegevusi, tegevusalasid ja hüvesid ametiajal ja pärast selle lõppu ning töösuhte lõppu käsitlevad normid.
2. Järelevalveasutuse liige või liikmed ja töötajad on kooskõlas liidu või liikmesriigi õigusega kohustatud nii ametiaja jooksul kui ka pärast seda hoidma ametisaladust seoses igasuguse konfidentsiaalse teabega, mis on neile teatavaks saanud nende ülesannete täitmisel või volituste kasutamisel. Liikmete ametiaja jooksul kohaldatakse kõnealust ametisaladuse hoidmise kohustust eelkõige juhtudel, kui füüsilisi isikud teavitavad käesoleva direktiivi rikkumistest.
Artikkel 45
Pädevus
1. Liikmesriigid näevad ette, et nende järelevalveasutused on oma liikmesriigi territooriumil pädevad täitma ülesandeid ja kasutama volitusi, mis on neile kooskõlas käesoleva direktiiviga pandud.
2. Liikmesriigid näevad ette, et nende järelevalveasutused ei ole pädevad valvama kohtute isikuandmete töötlemise toimingute järele, kui kohtud täidavad õigusemõistmise funktsiooni. Liikmesriigid võivad sätestada, et nende järelevalveasutused ei ole pädevad valvama muude sõltumatute õigusasutuste isikuandmete töötlemise toimingute järele, kui need õigusasutused teevad menetlusotsuseid.
Artikkel 46
Ülesanded
1. Liikmesriigid näevad ette, et järelevalveasutusel on liikmesriigi territooriumil järgmised ülesanded:
a) valvata käesoleva direktiivi kohaselt vastu võetud sätete ja direktiivi rakendusmeetmete kohaldamise järele ning nende tagada kohaldamist;
b) suurendada üldsuse teadlikkust ja arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise kohta kehtivatest normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest;
c) nõustada kooskõlas liikmesriigi õigusega liikmesriigi parlamenti, valitsust ning teisi institutsioone ja organeid õigus- ja haldusmeetmete osas seoses füüsiliste isikute õiguste ja vabaduste kaitsega isikuandmete töötlemisel;
d) edendada vastutavate töötlejate ja volitatud töötlejate teadlikkust nende käesoleva direktiivi kohastest kohustustest;
e) anda andmesubjektile taotluse korral teavet tema käesolevast direktiivist tulenevate õiguste teostamise kohta ja teha asjakohasel juhul sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega;
f) käsitleda andmesubjekti, asutuse, organisatsiooni või ühenduse poolt artikli 55 kohaselt esitatud kaebusi, uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemusest, eelkõige juhul, kui on vajalik täiendav uurimine või kooskõlastamine teise järelevalveasutusega;
g) kontrollida isikuandmete töötlemise seaduslikkust vastavalt artiklile 17 ning teavitada andmesubjekti mõistliku aja jooksul artikli 17 lõike 3 kohase kontrollimise tulemusest või kontrolli teostamata jätmise põhjustest;
h) teha koostööd teiste järelevalveasutustega, sealhulgas jagades neile teavet, ja osutada vastastikust abi, et tagada käesoleva direktiivi ühetaoline kohaldamine ja täitmise tagamine;
i) toimetada uurimisi käesoleva direktiivi kohaldamise kohta, muu hulgas teiselt järelevalveasutuselt või muult riigiasutuselt saadud teabe põhjal;
j) jälgida asjaomaseid suundumusi, niivõrd kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja kommunikatsioonitehnoloogia arengut;
k) anda nõu artiklis 28 osutatud isikuandmete töötlemise toimingute osas ning
l) anda panus andmekaitsenõukogu tegevusse.
2. Järelevalveasutus võtab meetmeid lõike 1 punktis f osutatud kaebuste esitamise hõlbustamiseks, näiteks annab kaebuste esitamise vormi, mida saab ka täita elektrooniliselt, ilma et see välistaks muude sidevahendite kasutamist.
3. Järelevalveasutus täidab oma ülesandeid andmesubjekti ja andmekaitseametniku jaoks tasuta.
4. Kui taotlus on selgelt põhjendamatu või ülemäärane, eelkõige oma korduva iseloomu tõttu, võib järelevalveasutus nõuda oma halduskuludel põhinevat mõistlikku tasu või keelduda taotlust menetlemast. Järelevalveasutus on kohustatud tõendama, et taotlus on selgelt põhjendamatu või ülemäärane.
Artikkel 47
Volitused
1. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad uurimisvolitused. Kõnealused volitused hõlmavad vähemalt õigust saada vastutavalt töötlejalt ja volitatud töötlejalt juurdepääs kõikidele töödeldavatele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks.
2. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad parandusvolitused, näiteks järgmised:
a) hoiatada vastutavat töötlejat või volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesolevat direktiivi;
b) anda korraldus, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul isikuandmete töötlemise toimingud teatud viisil ja teatud tähtaja jooksul vastavusse käesoleva direktiiviga, eelkõige nõudes isikuandmete parandamist, kustutamist või isikuandmete töötlemise piiramist vastavalt artiklile 16;
c) kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas isikuandmete töötlemise keeld.
3. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on tõhusad nõuandevolitused nõustada vastutavat töötlejat kooskõlas artiklis 28 osutatud eelneva konsulteerimise menetluse käigus ning esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi liikmesriigi parlamendile, valitsusele või kooskõlas liikmesriigi õigusega muudele institutsioonidele ja asutustele ning samuti avalikkusele.
4. Järelevalveasutusele käesoleva artikli kohaselt antud volituste kasutamisele kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, mis on sätestatud liidu ja liikmesriigi õiguses kooskõlas hartaga.
5. Liikmesriigid näevad õiguses ette, et järelevalveasutusel on õigus juhtida õigusasutuste tähelepanu käesoleva direktiivi kohaselt vastu võetud sätete rikkumistele ning algatada asjakohasel juhul kohtumenetlus või osaleda selles muul viisil, et tagada käesoleva direktiivi kohaselt vastu võetud sätete täitmine.
Artikkel 48
Rikkumistest teatamine
Liikmesriigid näevad ette, et pädevad asutused võtavad kasutusele tõhusad mehhanismid, et ergutada konfidentsiaalset teatamist käesoleva direktiivi rikkumistest.
Artikkel 49
Tegevusaruanne
Järelevalveasutus koostab oma tegevuse kohta aastaaruande, mis võib sisaldada teavitatud rikkumiste ja määratud karistuste liikide loetelu. Aruanded edastatakse liikmesriigi parlamendile, valitsusele ja muudele liikmesriigi õigusega kindlaks määratud asutustele. Aruanne tehakse kättesaadavaks avalikkusele, komisjonile ja andmekaitsenõukogule.
VII PEATÜKK
Koostöö
Artikkel 50
Vastastikune abi
1. Liikmesriigid näevad ette, et nende järelevalveasutused annavad üksteisele asjakohast teavet ja vastastikust abi käesoleva direktiivi järjepidevaks rakendamiseks ja kohaldamiseks ning võtavad meetmeid omavaheliseks tõhusaks koostööks. Vastastikune abi hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks taotlusi konsultatsioonide, kontrollide ja uurimiste läbiviimiseks.
2. Liikmesriigid näevad ette, et järelevalveasutus võtab kõik asjakohased meetmed, et vastata teisele järelevalveasutusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Sellised meetmed võivad eelkõige hõlmata asjakohase teabe edastamist uurimise toimetamise kohta.
3. Abitaotlus sisaldab kogu vajalikku teavet, sealhulgas taotluse eesmärki ja põhjuseid. Vahetatud teavet kasutatakse üksnes sel eesmärgil, milleks seda taotleti.
4. Taotluse saanud järelevalveasutus ei või selle täitmisest keelduda, välja arvatud juhul, kui
a) ta ei ole taotluse sisu või temalt nõutavate meetmete rakendamise küsimuses pädev või
b) taotluse täitmine rikuks käesolevat direktiivi või taotluse saanud järelevalveasutusele kohaldatava liidu või liikmesriigi õigust.
5. Taotluse saanud järelevalveasutus teavitab taotluse esitanud järelevalveasutust tulemustest või asjakohasel juhul asjade käigust või meetmetest, mis võetakse taotlusele vastamiseks. Taotluse saanud järelevalveasutus esitab taotluse täitmisest keeldumise põhjused vastavalt lõikele 4.
6. Taotluse saanud järelevalveasutused esitavad teiste järelevalveasutuste taotletud teabe üldjuhul elektrooniliselt, kasutades selleks tüüpvormi.
7. Taotluse saanud järelevalveasutused ei võta nende poolt vastastikuse abi taotluse alusel võetud meetmete eest tasu. Järelevalveasutused võivad kokku leppida vastastikuse abi osutamisel erandjuhtudel tekkivate konkreetsete kulude üksteisele hüvitamise normid.
8. Komisjon võib rakendusaktidega kindlaks määrata käesolevas artiklis osutatud vastastikuse abistamise vormi ja korra ning järelevalveasutuste omavahelise ning järelevalveasutuste ja andmekaitsenõukogu vahelise elektroonilise teabevahetuse korra. Nimetatud rakendusaktid võetakse vastu kooskõlas artikli 58 lõikes 2 osutatud kontrollimenetlusega.
Artikkel 51
Andmekaitsenõukogu ülesanded
1. Määrusega (EL) 2016/679 asutatud andmekaitsenõukogu täidab käesoleva direktiivi kohaldamisalasse kuuluva isikuandmete töötlemise valdkonnas järgmisi ülesandeid:
a) annab komisjonile nõu liidus isikuandmete kaitse küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta;
b) vaatab omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva direktiivi kohaldamist käsitlevaid küsimusi ning annab käesoleva direktiivi järjepideva kohaldamise ergutamiseks välja suuniseid, soovitusi ja parimaid tavasid;
c) koostab järelevalveasutustele suuniseid seoses artikli 47 lõigetes 1 ja 3 osutatud meetmete kohaldamisega;
d) annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, et tuvastada isikuandmetega seotud rikkumised ning määrata kindlaks artikli 30 lõigetes 1 ja 2 osutatud põhjendamatu viivitus, samuti konkreetsed asjaolud, mille puhul vastutav töötleja või volitatud töötleja on kohustatud isikuandmetega seotud rikkumisest teatama;
e) annab välja suuniseid, soovitusi ja parimaid tavasid kooskõlas käesoleva lõike punktiga b, mille alusel teha kindlaks, millistel asjaoludel võib isikuandmetega seotud rikkumine tuua tõenäoliselt kaasa suure ohtu füüsiliste isikute õigustele ja vabadustele, nagu on osutatud artikli 31 lõikes 1;
f) vaatab läbi suuniste, soovituste ja parimate tavade praktilise kohaldamise;
g) esitab komisjonile arvamuse kaitse taseme piisavuse hindamiseks kolmandas riigis, territooriumil või ühes või mitmes kolmanda riigi konkreetses sektoris või rahvusvahelises organisatsioonis, sealhulgas selle hindamiseks, kas selline kolmas riik, territoorium, kindlaksmääratud sektor või rahvusvaheline organisatsioon ei taga enam piisaval tasemel kaitset;
h) edendab järelevalveasutuste vahelist koostööd ning tõhusat kahe- ja mitmepoolset teabe ja parimate tavade vahetamist;
i) edendab ühiste koolitusprogrammide korraldamist ja hõlbustab personalivahetust järelevalveasutuste ning asjakohasel juhul kolmandate riikide või rahvusvaheliste organisatsioonide järelevalveasutustega;
j) edendab teadmiste ja dokumentide vahetamist andmekaitset käsitleva õiguse ja tava kohta andmekaitse järelevalveasutustega kogu maailmas.
Seoses esimese lõigu punktiga g esitab komisjon andmekaitsenõukogule kõik vajalikud dokumendid, sealhulgas kirjavahetuse kolmanda riigi valitsusega, kõnealuse kolmanda riigi, territooriumi või kõnealuse kolmanda riigi kindlaksmääratud sektoriga või rahvusvahelise organisatsiooniga.
2. Kui komisjon küsib andmekaitsenõukogult nõu, võib ta esitada tähtaja, võttes arvesse küsimuse kiireloomulisust.
3. Andmekaitsenõukogu esitab oma arvamused, suunised, soovitused ja parimad tavad komisjonile ja artikli 58 lõikes 1 osutatud komiteele ning avalikustab need.
4. Komisjon teavitab andmekaitsenõukogu meetmetest, mida ta võtnud andmekaitsenõukogu arvamuste, suuniste, soovituste ja parimate tavade alusel.
VIII PEATÜKK
Õiguskaitsevahendid, vastutus ja karistused
Artikkel 52
Õigus esitada järelevalveasutusele kaebus
1. Ilma et see piiraks teiste halduslike kaitsevahendite või õiguskaitsevahendite kohaldamist, näevad liikmesriigid ette, et andmesubjektil on õigus esitada kaebus ühele järelevalveasutusele, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesoleva direktiivi kohaselt vastu võetud sätteid.
2. Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, edastab selle põhjendamatu viivituseta pädevale järelevalveasutusele, kui kaebust ei esitata sellele järelevalveasutusele, kes on pädev vastavalt artikli 45 lõikele 1. Andmesubjekti teavitatakse kaebuse edastamisest.
3. Liikmesriigid näevad ette, et järelevalveasutus, kellele kaebus esitati, annab andmesubjekti taotluse korral talle edasist abi.
4. Pädev järelevalveasutus teavitab andmesubjekti kaebuse menetlemise edenemisest ja tulemusest, kaasa arvatud artikli 53 kohase õiguskaitsevahendi kasutamise võimalusest.
Artikkel 53
Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu
1. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, näevad liikmesriigid ette, et füüsilisel ja juriidilisel isikul on õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.
2. Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui artikli 45 lõike 1 kohaselt pädev järelevalveasutus ei käsitle kaebust või ei teavita andmesubjekti kolme kuu jooksul artikli 52 kohaselt esitatud kaebuse menetlemise käigust või tulemustest.
3. Liikmesriigid näevad ette, et menetlus järelevalveasutuse vastu algatatakse selle liikmesriigi kohtus, kus järelevalveasutus on asutatud.
Artikkel 54
Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu
Ilma et see piiraks kättesaadavate halduslike kaitsevahendite või kohtuväliste heastamisvahendite kasutamist, sealhulgas artikli 52 kohast õigust esitada kaebus järelevalveasutusele, näevad liikmesriigid ette, et andmesubjektil, kes leiab, et käesoleva direktiivi sätteid rikkuva isikuandmete töötlemise tulemusena on rikutud kõnealustest sätetest talle tulenevaid õigusi, on õigus kasutada tõhusat õiguskaitsevahendit.
Artikkel 55
Andmesubjektide esindamine
Liikmesriigid näevad kooskõlas oma menetlusõigusega ette, et andmesubjektil on õigus volitada mittetulunduslikku asutust, organisatsiooni või ühendust, kes on vastavalt liikmesriigi õigusele nõuetekohaselt asutatud, kelle põhikirjajärgsed eesmärgid on avalikes huvides ja kes tegutseb andmesubjektide õiguste ja vabaduste kaitsmise valdkonnas seoses nende isikuandmete kaitsmisega, esitama tema nimel kaebust ja teostama tema nimel artiklites 52, 53 ja 54 osutatud õigusi.
Artikkel 56
Õigus hüvitisele
Liikmesriigid näevad ette, et igal isikul, kellele on tekitatud varaline või mittevaraline kahju ebaseadusliku isikuandmete töötlemise toimingu või käesoleva direktiivi kohaselt vastu võetud liikmesriigi sätteid rikkuva toimingu tagajärjel, on õigus saada vastutavalt töötlejalt või mõnelt muult liikmesriigi õiguse alusel pädevalt asutuselt hüvitist tekitatud kahju eest.
Artikkel 57
Karistused
Liikmesriigid kehtestavad karistusnormid, mida kohaldatakse käesoleva direktiivi kohaselt vastu võetud sätete rikkumise korral, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Kehtestatud karistused peavad olema tõhusad, proportsionaalsed ja heidutavad.
IX PEATÜKK
Rakendusaktid
Artikkel 58
Komiteemenetlus
1. Komisjoni abistab määruse (EL) 2016/679 artikli 93 alusel loodud komitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 tähenduses.
2. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.
3. Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 8 koostoimes nimetatud määruse artikliga 5.
X PEATÜKK
Lõppsätted
Artikkel 59
Raamotsuse 2008/977/JSK kehtetuks tunnistamine
1. Raamotsus 2008/977/JSK tunnistatakse kehtetuks alates 6. maist 2018.
2. Viiteid lõikes 1 osutatud kehtetuks tunnistatud otsusele käsitatakse viidetena käesolevale direktiivile.
Artikkel 60
Kehtivad liidu õigusaktid
Käesolev direktiiv ei mõjuta isikuandmete kaitse erisätteid, mis jõustusid 6. mail 2016 või enne seda kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluslepingute kohaselt käesoleva direktiivi kohaldamisala ulatuses loodud infosüsteemidele.
Artikkel 61
Seos varem sõlmitud rahvusvaheliste lepingutega kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö alal
Isikuandmete kolmandatele riikidele või rahvusvahelistele organisatsioonidele edastamist hõlmavad rahvusvahelised lepingud, mille liikmesriigid sõlmisid enne 6. maid 2016, ja mida kohaldati kooskõlas liidu õigusega enne 6. maid 2016, jäävad jõusse kuni nende muutmise, asendamise või lõpetamiseni.
Artikkel 62
Komisjoni aruanded
1. Hiljemalt 6. mail 2022 ja seejärel iga nelja aasta tagant esitab komisjon Euroopa Parlamendile ja nõukogule aruande käesoleva direktiivi hindamise ja läbivaatamise kohta.
2. Lõikes 1 osutatud hindamiste ja läbivaatamiste käigus analüüsib komisjon eelkõige isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamist käsitleva V peatüki sätete kohaldamist ja toimimist, pöörates erilist tähelepanu artikli 36 lõike 3 ja artikli 39 kohaselt vastu võetud otsustele.
3. Lõigetes 1 ja 2 osutatud eesmärkidel võib komisjon taotleda teavet liikmesriikidelt ja järelevalveasutustelt.
4. Lõigetes 1 ja 2 osutatud hindamistel ja läbivaatamistel võtab komisjon arvesse Euroopa Parlamendi, nõukogu ning muude asjaomaste asutuste ja allikate seisukohti ja tähelepanekuid.
5. Vajaduse korral esitab komisjon asjakohased ettepanekud käesoleva direktiivi muutmiseks, võttes eelkõige arvesse infotehnoloogia ja -ühiskonna arengut.
6. Komisjon vaatab hiljemalt 6. mail 2019 läbi muud liidu vastu võetud õigusaktid, millega reguleeritakse pädevate asutuste poolt isikuandmete töötlemist artikli 1 lõikes 1 sätestatud eesmärkidel, kaasa arvatud artiklis 60 osutatud õigusaktid, et hinnata vajadust viia need vastavusse käesoleva direktiiviga ning asjakohasel juhul teha vajalikud ettepanekud nende muutmiseks, et tagada järjepidev lähenemine isikuandmete kaitsele käesoleva direktiivi kohaldamisalas.
Artikkel 63
Ülevõtmine
1. Liikmesriigid võtavad vastu ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid hiljemalt 6. mail 2018. Nad edastavad kõnealuste normide teksti viivitamata komisjonile. Nad kohaldavad kõnealuseid norme alates 6. maist 2018.
Kui liikmesriigid need normid vastu võtavad, lisavad nad nende ametlikul avaldamisel nendesse või nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad ette liikmesriigid.
2. Erandina lõikest 1 võib liikmesriik sätestada, et kui sellega kaasneb ebaproportsionaalne jõupingutus, viiakse enne 6. maid 2016 loodud automatiseeritud isikuandmete töötlemissüsteemid erandjuhul artikli 25 lõikega 1 vastavusse 6. maiks 2023.
3. Erandina käesoleva artikli lõigetest 1 ja 2 võib liikmesriik erandlike asjaolude korral viia käesoleva artikli lõikes 2 osutatud automatiseeritud isikuandmete töötlemissüsteemi vastavusse artikli 25 lõikega 1 kindlaksmääratud tähtaja jooksul pärast käesoleva artikli lõikes 2 osutatud tähtaega, kui vastasel juhul tekiks tõsiseid raskusi kõnealuse konkreetse automatiseeritud töötlemissüsteemi toimimises. Asjaomane liikmesriik teavitab komisjoni kõnealuste tõsiste raskuste põhjustest ja sellise kindlaksmääratud tähtaja põhjustest, mille jooksul ta viib nimetatud konkreetse automatiseeritud töötlemissüsteemi vastavusse artikli 25 lõikega 1. Kindlaksmääratud tähtpäev ei või mingil juhul olla hilisem kui 6. mai 2026.
4. Liikmesriigid edastavad komisjonile käesoleva direktiiviga reguleeritavas valdkonnas vastuvõetud põhiliste siseriiklike õigusnormide teksti.
Artikkel 64
Jõustumine
Käesolev direktiiv jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Artikkel 65
Adressaadid
Käesolev direktiiv on adresseeritud liikmesriikidele.