Konsolidoitu TEKSTI: 32016L0680 — FI

Tämä asiakirja on ainoastaan dokumentoinnin apuväline eikä sillä ole oikeudellista vaikutusta. Unionin toimielimet eivät vastaa sen sisällöstä. Säädösten todistusvoimaiset versiot on johdanto-osineen julkaistu Euroopan unionin virallisessa lehdessä ja ne ovat saatavana EUR-Lexissä. Näihin virallisiin teksteihin pääsee suoraan tästä asiakirjasta siihen upotettujen linkkien kautta.

luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta

1. Tässä direktiivissä vahvistetaan säännöt luonnollisten henkilöiden suojelulle toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

b) varmistettava, että jos unionin oikeudessa tai jäsenvaltion lainsäädännössä edellytetään toimivaltaisten viranomaisten välistä henkilötietojen vaihtoa, tällaista vaihtoa ei rajoiteta eikä kielletä syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.

3. Tämä direktiivi ei estä jäsenvaltioita säätämästä suojatoimista, jotka ylittävät tässä direktiivissä vahvistetut suojatoimet rekisteröidyn oikeuksia ja vapauksien suojelemiseksi toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä.

1. Tätä direktiiviä sovelletaan toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn.

2. Tätä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista, sekä sellaisten henkilötietojen muuhun kuin automatisoituun käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai välillisesti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai muutoin, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista;

3) ’käsittelyn rajoittamisella’ tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;

4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin;

5) ’pseudonymisoinnilla’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu;

6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu;

a) kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai

b) kaikkia muita elimiä tai yksiköitä, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;

8) ’rekisterinpitäjällä’ toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin oikeudessa tai jäsenvaltion lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti;

9) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

10) ’vastaanottajalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti;

11) ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin;

12) ’geneettisillä tiedoilla’ henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla;

13) ’biometrisillä tiedoilla’ luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa;

14) ’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa, mukaan lukien tiedot terveyspalvelujen tarjoamisesta;

16) ’kansainvälisellä järjestöllä’ järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, tai muuta elintä, joka on perustettu kahden tai useamman maan välisellä sopimuksella tai tällaisen sopimuksen perusteella.

b) henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla;

c) henkilötiedot ovat asianmukaisia ja olennaisia eivätkä ne ole liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään;

d) henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä;

e) henkilötiedot säilytetään muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten;

f) henkilötietoja käsitellään tavalla, jolla varmistetaan henkilötietojen asianmukainen tietoturva muun muassa suojaamalla niitä luvattomalta ja laittomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisia teknisiä tai organisatorisia toimenpiteitä hyödyntäen.

2. Saman tai toisen rekisterinpitäjän suorittama käsittely muuhun 1 artiklan 1 kohdassa säädettyyn tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, sallitaan sikäli kuin

a) rekisterinpitäjällä on lupa käsitellä tällaisia henkilötietoja tällaista tarkoitusta varten unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti; ja

b) käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhteista unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

3. Saman tai toisen rekisterinpitäjän suorittamaan käsittelyyn voi kuulua käsittely yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista käsittelyä varten 1 artiklan 1 kohdassa säädettyihin tarkoituksiin edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet toteutetaan.

4. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1, 2 ja 3 kohtaa on noudatettu.

Jäsenvaltioiden on säädettävä siitä, että henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten vahvistetaan asianmukaiset määräajat. Määräaikojen noudattaminen on varmistettava menettelysäännöillä.

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä erottaa tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä, kuten

d) rikokseen nähden kolmannet osapuolet, kuten henkilöt, jotka voidaan kutsua todistamaan rikokseen liittyvän tutkinnan yhteydessä tai sitä seuraavassa rikosoikeudellisessa menettelyssä, henkilöt, jotka voivat antaa tietoa rikoksesta, tai edellä a tai b alakohdassa tarkoitettujen henkilöiden kontaktit tai kumppanit.

1. Jäsenvaltioiden on säädettävä siitä, että tosiseikkoihin perustuvat henkilötiedot erotetaan mahdollisuuksien mukaan henkilökohtaisiin arvioihin perustuvista henkilötiedoista.

2. Jäsenvaltioiden on säädettävä siitä, että toimivaltaiset viranomaiset toteuttavat kaikki kohtuulliset toimet varmistaakseen, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei siirretä eikä aseteta saataville. Tätä varten kunkin toimivaltaisen viranomaisen on varmennettava mahdollisuuksien mukaan henkilötietojen laatu ennen niiden siirtämistä tai saataville asettamista. Kaikkiin henkilötietojen siirtoihin on mahdollisuuksien mukaan lisättävä tarvittavat tiedot, joiden avulla vastaanottava toimivaltainen viranomainen voi arvioida henkilötietojen paikkansapitävyyttä, täydellisyyttä ja luotettavuutta sekä sitä, miltä osin ne ovat ajan tasalla.

3. Jos ilmenee, että on siirretty virheellisiä henkilötietoja tai että henkilötietoja on siirretty lainvastaisesti, on asiasta ilmoitettava viipymättä vastaanottajalle. Tällaisessa tapauksessa henkilötiedot on oikaistava, poistettava tai niiden käsittelyä on rajoitettava 16 artiklan mukaisesti.

1. Jäsenvaltioiden on säädettävä siitä, että käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi 1 artiklan 1 kohdan tarkoitusta varten ja se perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön.

2. Jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset.

1. Toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyihin tarkoituksiin keräämiä henkilötietoja ei saa käsitellä muihin kuin 1 artiklan 1 kohdassa säädettyihin tarkoituksiin, ellei kyseistä käsittelyä sallita unionin oikeudessa tai jäsenvaltion lainsäädännössä. Jos henkilötietoja käsitellään mainittuihin muihin tarkoituksiin, sovelletaan asetusta (EU) 2016/679, jollei käsittelyä suoriteta sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

2. Jos toimivaltaisille viranomaisille on jäsenvaltion lainsäädännön nojalla annettu muita tehtäviä kuin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten toteutettavia tehtäviä, asetusta (EU) 2016/679 sovelletaan tällaisia tarkoituksia varten tapahtuvaan tietojen käsittelyyn, mukaan lukien yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, paitsi jos tietojen käsittely suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

3. Jäsenvaltioiden on säädettävä siitä, että jos tietoja siirtävään toimivaltaiseen viranomaiseen sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään käsittelyä koskevista erityisistä edellytyksistä, tietoja siirtävän toimivaltaisen viranomaisen on ilmoitettava tällaisten henkilötietojen vastaanottajalle kyseisistä edellytyksistä ja vaatimuksesta noudattaa niitä.

4. Jäsenvaltioiden on säädettävä siitä, että tietoja siirtävä toimivaltainen viranomainen ei sovella muissa jäsenvaltioissa oleviin vastaanottajiin taikka Euroopan unionin toiminnasta tehdyn sopimuksen V osaston 4 ja 5 lukujen nojalla perustettuihin virastoihin, elimiin ja laitoksiin muita 3 kohdan mukaisia edellytyksiä kuin ne, joita sovelletaan samankaltaisiin tietojensiirtoihin tietoja siirtävän toimivaltaisen viranomaisen jäsenvaltiossa.

Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys, sekä geneettisien tietojen, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitettujen biometristen tietojen tai terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien tietojen käsittely sallitaan vain, jos se on ehdottoman välttämätöntä ja edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet on toteutettu ja vain

1. Jäsenvaltioiden on säädettävä siitä, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa on otettu huomioon rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että käsittelyyn osallistuu rekisterinpitäjän puolesta ihminen.

2. Tämän artiklan 1 kohdassa tarkoitetut päätökset eivät saa perustua 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos on toteutettu asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

3. Unionin oikeuden mukaisesti on kiellettävä profilointi, joka johtaa 10 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään.

Viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toteuttaa kohtuulliset toimet toimittaakseen rekisteröidylle 13 artiklan mukaiset tiedot ja kaikki 11, 14–18 ja 31 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava millä tahansa asianmukaisella tavalla, kuten sähköisesti. Rekisterinpitäjän on pääsääntöisesti toimitettava tiedot samassa muodossa kuin pyyntö.

2. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä helpottaa rekisteröidyn 11 ja 14–18 artiklan mukaisten oikeuksien käyttöä.

3. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle kirjallisesti tämän esittämän pyynnön käsittelystä ilman aiheetonta viivytystä.

4. Jäsenvaltioiden on säädettävä siitä, että 13 artiklan nojalla toimitetut tiedot ja kaikki 11, 14–18 ja 31 artiklan nojalla tehdyt ilmoitukset tai mainittujen säännösten nojalla toteutetut toimet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi joko

a) periä kohtuullisen maksun, jossa otetaan huomioon tietojen tai ilmoitusten toimittamisesta tai pyydetyn toimen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai

Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

5. Jos rekisterinpitäjällä on perusteltua syytä epäillä 14 ja 16 artiklassa tarkoitetun pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä asettaa rekisteröidyn saataville ainakin seuraavat tiedot:

e) tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista.

2. Edellä 1 kohdassa tarkoitettujen tietojen lisäksi jäsenvaltioiden on säädettävä laissa, että rekisterinpitäjä antaa erityistapauksissa rekisteröidylle jäljempänä mainitut tiedot, jotta hänen olisi mahdollista käyttää oikeuksiaan:

c) mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät, myös kolmansissa maissa tai kansainvälisissä järjestöissä;

3. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla viivytetään, rajoitetaan tai jätetään kokonaan tekemättä 2 kohdan mukainen rekisteröidylle ilmoittaminen, siltä osin ja niin pitkäksi aikaa kuin tällainen toimenpide on välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:

b) jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle;

4. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä niiden käsittelyn ryhmien määrittämiseksi, jotka voivat kuulua kokonaan tai osittain jonkin 3 kohdan alakohdan soveltamisalaan.

Jollei 15 artiklasta muuta johdu, jäsenvaltioiden on säädettävä rekisteröidyn oikeudesta saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

c) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt;

d) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika, tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;

e) rekisteröidyn oikeus pyytää rekisterinpitäjää häntä itseään koskevien henkilötietojen oikaisemista, poistamista tai käsittelyn rajoittamista;

1. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla rajoitetaan kokonaan tai osittain rekisteröidyn oikeutta saada pääsy tietoihin siltä osin ja niin pitkäksi aikaa kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:

2. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä niiden käsittelyn ryhmien määrittämiseksi, jotka voivat kuulua kokonaan tai osittain 1 kohdan a–e alakohdan soveltamisalaan.

3. Edellä 1 ja 2 kohdassa tarkoitetuissa tapauksissa jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa ilman aiheetonta viivytystä rekisteröidylle kirjallisesti, jos tietoihin pääsy evätään tai sitä rajoitetaan, sekä tällaisen epäämisen tai rajoittamisen perustelut. Tällaiset tiedot voidaan jättää pois, jos niiden ilmoittaminen vaarantaisi 1 kohdan mukaisen tarkoituksen. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle mahdollisuudesta tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja.

4. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä dokumentoi ne seikat tai oikeudelliset syyt, joihin päätös perustuu. Näiden tietojen on oltava pyynnöstä valvontaviranomaisten saatavilla.

Oikeus henkilötietojen oikaisemiseen tai poistamiseen sekä käsittelyn rajoittamiseen

1. Jäsenvaltioiden on säädettävä siitä, että rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan ilman aiheetonta viivytystä rekisteröityä koskevat virheelliset henkilötiedot. Käsittelyn tarkoitukset huomioon ottaen jäsenvaltioiden on säädettävä siitä, että rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

2. Jäsenvaltioiden on vaadittava, että rekisterinpitäjä poistaa henkilötiedot ilman aiheetonta viivytystä ja säädettävä rekisteröidyn oikeudesta saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, jos tietojen käsittely rikkoo 4, 8 tai 10 artiklan nojalla annettuja säännöksiä tai jos henkilötiedot on poistettava rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.

Jos käsittelyä on rajoitettu ensimmäisen alakohdan a alakohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kuin käsittelyä koskeva rajoitus poistetaan.

4. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle kirjallisesti, jos henkilötietojen oikaisemisesta, poistamisesta tai käsittelyn rajoittamisesta kieltäydytään, sekä kieltäytymisen syistä. Jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla rajoitetaan kokonaan tai osittain velvoitetta antaa tällaisia tietoja siltä osin kuin tällainen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut:

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle mahdollisuuksista tehdä valitus valvontaviranomaiselle tai käyttää muita oikeussuojakeinoja.

5. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa virheellisten henkilötietojen oikaisemisesta toimivaltaiselle viranomaiselle, jolta virheelliset henkilötiedot ovat peräisin.

6. Jäsenvaltioiden on säädettävä siitä, että tapauksissa, joissa henkilötietoja on oikaistu tai poistettu taikka käsittelyä on rajoitettu 1, 2 ja 3 kohdan nojalla, rekisterinpitäjä ilmoittaa asiasta vastaanottajille ja että vastaanottajat oikaisevat tai poistavat henkilötietoja taikka rajoittavat henkilötietojen käsittelyä vastuullaan.

Rekisteröidyn oikeuksien käyttäminen ja valvontaviranomaisen tekemät tarkistukset

1. Jäsenvaltioiden on 13 artiklan 3 kohdassa, 15 artiklan 3 kohdassa ja 16 artiklan 4 kohdassa tarkoitetuissa tapauksissa toteutettava toimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksia voidaan käyttää myös toimivaltaisen valvontaviranomaisen välityksellä.

2. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ilmoittaa rekisteröidylle mahdollisuudesta käyttää hänelle kuuluvia oikeuksia valvontaviranomaisen välityksellä 1 kohdan mukaisesti.

3. Jos 1 kohdassa tarkoitettua oikeutta käytetään, valvontaviranomaisen on ilmoitettava rekisteröidylle ainakin siitä, että valvontaviranomainen on tehnyt kaikki tarvittavat tarkistukset tai toteuttanut uudelleentarkastelun. Valvontaviranomaisen on myös tiedotettava rekisteröidylle hänen oikeudestaan käyttää oikeussuojakeinoja.

Jäsenvaltiot voivat säätää siitä, että 13, 14 ja 16 artiklassa tarkoitettuja oikeuksia käytetään jäsenvaltion lainsäädännön mukaisesti, jos henkilötiedot sisältyvät rikostutkinnan ja rikosoikeudellisen menettelyn yhteydessä käsiteltyyn tuomioistuimen päätökseen, asiakirjaan tai tapausaineistoon.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä, ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että käsittely tapahtuu tämän direktiivin mukaisesti. Näitä toimenpiteitä on tarvittaessa tarkistettava ja ajantasaistettava.

2. Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä toteuttaa asianmukaisia tietosuojaa koskevia menettelyjä.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä, ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisen henkilön oikeuksille ja vapauksille, toteuttaa tehokkaasti käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisoinnin, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näillä toimenpiteillä on etenkin varmistettava, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman luonnollisten henkilöiden määrän saataville ilman henkilön myötävaikutusta.

1. Jäsenvaltioiden on säädettävä siitä, että jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisiä rekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin tämän direktiivin mukaisen vastuualueen, erityisesti rekisteröityjen oikeuksien käytön ja 13 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritetään rekisterinpitäjien vastuualueet. Järjestelyn puitteissa on nimettävä rekisteröidyille tarkoitettu yhteyspiste. Jäsenvaltiot voivat nimetä jonkin yhteisistä rekisterinpitäjistä toimimaan yhtenä yhteyspisteenä rekisteröidyille kysymyksissä, jotka koskevat heille kuuluvien oikeuksien käyttöä.

2. Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista jäsenvaltiot voivat säätää, että rekisteröity voi käyttää tämän direktiivin nojalla annettujen säännösten mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

1. Jäsenvaltioiden on säädettävä, että jos käsittely suoritetaan rekisterinpitäjän lukuun, tämä käyttää vain sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet siitä, että käsittelyyn liittyvät tekniset ja organisatoriset toimet toteutetaan siten, että käsittely täyttää tämän direktiivin vaatimukset ja varmistaa rekisteröidyn oikeuksien suojelun.

2. Jäsenvaltioiden on säädettävä siitä, että henkilötietojen käsittelijä ei käytä toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista lupaa. Yleisen luvan tapauksessa henkilötietojen käsittelijän on aina ilmoitettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3. Jäsenvaltioiden on säädettävä siitä, että henkilötietojen käsittelijän suorittamaa käsittelyä säännellään sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeustoimella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään, ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Mainitussa sopimuksessa tai muussa oikeustoimessa ja on erityisesti määrättävä, että henkilötietojen käsittelijä

b) varmistaa, että henkilötietojen käsittelyluvan saaneet henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo asianmukainen lakisääteinen salassapitovelvollisuus;

c) avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan;

d) rekisterinpitäjän valinnan mukaan poistaa taikka palauttaa tietojenkäsittelypalveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;

4. Edellä 3 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mikä viittaa myös sähköiseen muotoon.

5. Jos henkilötietojen käsittelijä määrittelee tämän direktiivin vastaisesti käsittelyn tarkoitukset ja keinot, käsittelijä katsotaan rekisterinpitäjäksi kyseisen käsittelyn osalta.

Tietojenkäsittely rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa

Jäsenvaltioiden on säädettävä siitä, ettei henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, käsittele kyseisiä tietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti, jollei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjän on ylläpidettävä selostetta kaikista sen vastuulle kuuluvista käsittelytoimien ryhmistä. Seloste käsittää kaikki seuraavat tiedot:

c) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;

2. Jäsenvaltioiden on säädettävä siitä, että henkilötietojen käsittelijä ylläpitää selostetta kaikista rekisterinpitäjien lukuun suoritettavista henkilötietojen käsittelytoimien ryhmistä siten, että seloste käsittää seuraavat tiedot:

a) henkilötietojen käsittelijän tai useamman käsittelijän ja kunkin rekisterinpitäjän, jonka lukuun käsittelijä toimii, sekä tietosuojavastaavan nimi ja yhteystiedot;

c) jos rekisterinpitäjä on nimenomaisesti niin ohjeistanut, mahdolliset tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä;

3. Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mikä viittaa myös sähköiseen muotoon.

Rekisterinpitäjän ja henkilötietojen käsittelijän on pyydettäessä esitettävä saatavilla olevat selosteet valvontaviranomaiselle.

1. Jäsenvaltioiden on säädettävä siitä, että ainakin seuraavista automatisoiduissa käsittelyjärjestelmissä suoritettavista käsittelytoimista on säilytettävä lokitiedot: tietojen kerääminen, muuttaminen, kysely, luovuttaminen siirrot mukaan lukien, yhdistäminen ja poistaminen. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä toteamaan kyseisten toimien perusteet, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys.

2. Lokitietoja on käytettävä ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin.

3. Rekisterinpitäjän ja henkilötietojen käsittelijän on pyynnöstä asetettava lokitiedot valvontaviranomaisen saataville.

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ja henkilötietojen käsittelijä pyynnöstä tekevät yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi.

1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toteuttaa ennen käsittelyä arvioinnin suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojaan.

2. Edellä 1 kohdassa tarkoitetussa arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä, toimet, joiden avulla riskeihin on tarkoitus puuttua, sekä suojatoimet, turvatoimet ja -mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä direktiiviä on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä tai henkilötietojen käsittelijä kuulee valvontaviranomaista ennen henkilötietojen käsittelyä, joka muodostaa osan uutta, tekeillä olevaa rekisteriä, jos

a) 27 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaa korkean riskin, ellei rekisterinpitäjä toteuta toimenpiteitä riskin lieventämiseksi; tai

b) tietojen käsittely on sen luonteista, että siihen sisältyy muutoin, erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käytön johdosta, rekisteröityjen oikeuksien ja vapauksien kannalta korkea riski.

2. Jäsenvaltioiden on säädettävä siitä, että valvontaviranomaista kuullaan valmisteltaessa kansallisen parlamentin hyväksyntää varten ehdotusta lainsäädäntötoimenpiteeksi tai tällaiseen lainsäädäntötoimenpiteeseen perustuvaa sääntelytoimenpidettä, joka liittyy käsittelyyn.

3. Jäsenvaltioiden on säädettävä siitä, että valvontaviranomainen voi laatia luettelon käsittelytoimista, joihin sovelletaan 1 kohdassa tarkoitettua ennakkokuulemista.

4. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä toimittaa valvontaviranomaiselle 27 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin ja pyynnöstä mahdolliset muut tiedot, joiden avulla valvontaviranomainen voi arvioida käsittelyn vaatimustenmukaisuutta ja erityisesti riskejä rekisteröidyn henkilötietojen suojan kannalta ja tähän liittyviä suojatoimia.

5. Jäsenvaltioiden on säädettävä siitä, että jos valvontaviranomainen katsoo, että suunniteltu tämän artiklan 1 kohdassa tarkoitettu käsittely rikkoisi tämän direktiivin nojalla annettuja säännöksiä, erityisesti jos rekisterinpitäjä ei ole yksilöinyt tai lieventänyt riittävästi riskiä, valvontaviranomainen antaa enintään kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta kirjallisesti ohjeet rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle, ja se voi käyttää 47 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle mahdollisesta jatketusta määräajasta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä ja henkilötietojen käsittelijä, ottaen huomioon uusimman tekniikan ja toteuttamiskustannusten, käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten sekä luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvan todennäköisyydeltään ja vakavuudeltaan vaihtelevan riskin, toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen riskiä vastaavan turvallisuustason varsinkin 10 artiklassa tarkoitettujen erityisten henkilötietoryhmien osalta.

2. Kunkin jäsenvaltion on säädettävä siitä, että automatisoidun käsittelyn osalta rekisterinpitäjä tai henkilötietojen käsittelijä toteuttavat riskinarvioinnin pohjalta toimenpiteet, joiden tarkoituksena on

c) estää henkilötietojen luvaton syöttäminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen tai poistaminen (”tallentamisen valvonta”);

d) estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla (”käyttäjien valvonta”);

e) varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan valtuutuksensa piiriin kuuluviin henkilötietoihin (”pääsyn valvonta”);

f) varmistaa, että on mahdollista tarkistaa ja todeta, mille tahoille henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tiedonsiirtolaitteiden avulla (”tiedonvälityksen valvonta”);

g) varmistaa, että on mahdollista tarkistaa ja todeta jälkikäteen, mitä henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka henkilötietoja on syöttänyt (”tietojen syöttämisen valvonta”);

h) estää henkilötietojen asiaton lukeminen, jäljentäminen, muuttaminen tai poistaminen niitä siirrettäessä tai tietovälineitä kuljetettaessa (”siirron valvonta”);

j) varmistaa, että järjestelmä toimii, että havaituista toimintojen virheistä ilmoitetaan (”luotettavuus”) ja että järjestelmän toimintahäiriö ei voi vahingoittaa tallennettuja henkilötietoja (”eheys”).

1. Jäsenvaltioiden on säädettävä siitä, että henkilötietojen tietoturvaloukkauksen tapauksessa rekisterinpitäjä ilmoittaa siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta, paitsi jos tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta valvontaviranomaiselle 72 tunnin kuluessa, ilmoitukseen on liitettävä viivytyksen syyt.

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;

d) kuvattava toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut henkilötietojen tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet sen mahdollisten haittavaikutusten lieventämiseksi.

4. Jos ja siltä osin kuin ei ole mahdollista toimittaa tietoja samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

5. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä dokumentoi kaikki 1 kohdassa tarkoitetut henkilötietojen tietoturvaloukkaukset, sisältäen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

6. Jäsenvaltioiden on säädettävä siitä, että jos tietoturvaloukkaukseen sisältyy toisen jäsenvaltion rekisterinpitäjän toimittamia tai tälle toimitettuja henkilötietoja, 3 kohdassa tarkoitetut tiedot on toimitettava ilman aiheetonta viivytystä tämän jäsenvaltion rekisterinpitäjälle.

1. Jäsenvaltioiden on säädettävä siitä, että jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjä on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2. Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 30 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3. Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;

b) rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksien ja vapauksien kannalta korkea riski ei enää todennäköisesti toteudu;

c) se vaatisi kohtuutonta vaivaa. Tällöin on rekisteröidylle tarkoitetun ilmoituksen sijaan käytettävä julkista ilmoitusta tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

4. Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkausta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti tietoturvaloukkaus aiheuttaa korkean riskin.

5. Tämän artiklan 1 kohdassa tarkoitettua rekisteröidylle ilmoittamista voidaan viivästyttää tai rajoittaa tai se voidaan jättää tekemättä 13 artiklan 3 kohdan mukaisilla edellytyksillä ja perusteilla.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä nimittää tietosuojavastaavan. Jäsenvaltiot voivat vapauttaa tuomioistuimet ja muut riippumattomat oikeusviranomaiset tästä velvoitteesta näiden hoitaessa lainkäyttötehtäviään.

2. Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojaoikeudesta ja alan käytännöstä sekä valmiudet suorittaa 34 artiklassa tarkoitetut tehtävät.

3. Yksi ainoa tietosuojavastaava voidaan nimittää useaa toimivaltaista viranomaista varten niiden organisaatiorakenne ja koko huomioon ottaen.

4. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä julkistaa tietosuojavastaavan yhteystiedot ja ilmoittaa ne valvontaviranomaiselle.

1. Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä huolehtii tietosuojavastaavan ottamisesta asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2. Rekisterinpitäjän on tuettava tietosuojavastaavaa tämän 34 artiklassa tarkoitettujen tehtävien hoitamisessa antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien hoitamisessa, ja pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämisessä.

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä osoittaa tietosuojavastaavalle ainakin seuraavat tehtävät:

a) antaa rekisterinpitäjälle ja henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän direktiivin ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia;

b) valvoa, että noudatetaan tätä direktiiviä, muita unionin tai jäsenvaltioiden tietosuojasäännöksiä ja rekisterinpitäjän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tietoisuuden lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;

e) toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 28 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.

1. Jäsenvaltioiden on säädettävä siitä, että kaikki toimivaltaisen viranomaisen suorittamat sellaisten henkilötietojen siirrot, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen – mukaan luettuna siirrot edelleen toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle – toteutetaan ainoastaan tämän direktiivin muiden säännösten nojalla annettuja säännöksiä noudattaen ja ainoastaan jos täytetään tässä luvussa vahvistetut edellytykset, eli

b) henkilötiedot siirretään kolmanteen maahan tai kansainväliseen järjestöön rekisterinpitäjälle, joka on viranomaisena 1 artiklan 1 kohdan mukaisten tarkoitusten suhteen toimivaltainen;

c) jos henkilötietoja siirretään tai asetetaan saataville toisesta jäsenvaltiosta, kyseinen jäsenvaltio on antanut siirrolle ennakkolupansa kansallisen lainsäädäntönsä mukaisesti;

d) komissio on hyväksynyt tietosuojan riittävyyttä koskevan päätöksen 36 artiklan mukaisesti tai, jos tällaista päätöstä ei ole tehty, asianmukaisista suojatoimista on säädetty tai ne ovat olemassa 37 artiklan mukaisesti, tai, 36 artiklan mukaisen päätöksen ja 37 artiklan mukaisten asianmukaisten suojatoimien puuttuessa, sovelletaan 38 artiklan mukaisia erityistilanteita koskevia poikkeuksia; ja

e) jos henkilötiedot siirretään edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, alkuperäisen siirron toteuttanut toimivaltainen viranomainen tai kyseisen jäsenvaltion muu toimivaltainen viranomainen antaa luvan edelleen siirtämiselle otettuaan asianmukaisesti huomioon kaikki merkittävät tekijät, kuten rikoksen vakavuuden, henkilötietojen alkuperäisen siirron tarkoituksen ja henkilötietojen suojan tason siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle tiedot siirretään edelleen.

2. Jäsenvaltioiden on säädettävä siitä, että siirrot, jotka tehdään ilman toisen jäsenvaltion antamaa 1 kohdan c alakohdan mukaista ennakkolupaa, sallitaan ainoastaan, jos henkilötietojen siirto on tarpeen jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen tai jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi, eikä ennakkolupaa voida saada ajoissa. Ennakkoluvan antamisesta vastaavalle viranomaiselle on ilmoitettava asiasta viipymättä.

3. Tämän luvun kaikkia säännöksiä on sovellettava, jotta varmistetaan, ettei tällä direktiivillä taattua luonnollisten henkilöiden suojelun tasoa heikennetä.

1. Jäsenvaltioiden on säädettävä siitä, että henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa, kolmannen maan alue tai vähintään yksi erityinen sektori tai kyseinen kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

2. Arvioidessaan suojan riittävyyttä komissio ottaa huomioon etenkin seuraavat seikat:

a) oikeusvaltioperiaate, ihmisoikeuksien ja perusvapauksien kunnioitus, sekä yleinen että alakohtainen asiaankuuluva lainsäädäntö, joka koskee muun muassa yleistä turvallisuutta, puolustusta, kansallista turvallisuutta ja rikosoikeutta sekä viranomaisten pääsyä henkilötietoihin, sekä tällaisen lainsäädännön täytäntöönpano, tietosuojaa koskevat säännöt, ammatilliset säännöt ja turvatoimet, mukaan lukien asianomaisessa kolmannessa maassa tai kansainvälisessä järjestössä noudatettavat säännöt henkilötietojen siirtämisestä edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, oikeuskäytäntö sekä rekisteröidyille kuuluvat tehokkaat ja täytäntöönpanokelpoiset oikeudet ja tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot niitä rekisteröityjä varten, joiden henkilötietoja siirretään;

b) se, onko kyseisessä kolmannessa maassa tai siinä kolmannessa maassa, jonka alaisuuteen kansainvälinen järjestö kuuluu, vähintään yksi tehokkaasti toimiva riippumaton valvontaviranomainen, joka vastaa tietosuojasääntöjen noudattamisen varmistamisesta ja täytäntöönpanosta, mukaan lukien riittävät täytäntöönpanovaltuudet, tarjota rekisteröidyille apua ja neuvoja oikeuksien käyttämisessä ja tehdä yhteistyötä EU:n ja jäsenvaltioiden valvontaviranomaisten kanssa; sekä

c) kyseisen kolmannen maan tai kansainvälisen järjestön tekemät kansainväliset sitoumukset tai muut oikeudellisesti sitovista yleissopimuksista tai välineistä sekä monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, jotka koskevat erityisesti henkilötietojen suojaamista.

3. Komissio voi suojan riittävyyttä arvioituaan täytäntöönpanosäädöksellä päättää, että kolmas maa, kolmannen maan alue tai yksi tai useampi erityinen sektori, tai kansainvälinen järjestö tarjoaa tämän artiklan 2 kohdassa tarkoitetun riittävän tietosuojan tason. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta, jossa on otettava huomioon kaikki asiaan liittyvä kehitys kyseisessä kolmannessa maassa tai kansainvälisessä järjestössä. Täytäntöönpanosäädöksessä määritellään sen maantieteellinen ja alakohtainen soveltamisala ja nimetään mahdollinen tämän artiklan 2 kohdan b alakohdassa tarkoitettu valvontaviranomainen. Täytäntöönpanosäädös hyväksytään 58 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4. Komissio seuraa jatkuvasti kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa 3 kohdan nojalla hyväksyttyjen päätösten toimivuuteen.

5. Jos saatavilla olevista tiedoista käy ilmi varsinkin tämän artiklan 3 kohdassa tarkoitetun arvioinnin jälkeen, että kolmas maa tai kolmannen maan alue tai tietty sektori tai kansainvälinen järjestö ei tarjoa enää tämän artiklan 2 kohdassa tarkoitettua riittävää tietosuojan tasoa, komissio täytäntöönpanosäädöksellä tarpeen mukaan kumoaa tämän artiklan 3 kohdassa tarkoitetun päätöksen, muuttaa sitä tai keskeyttää sen soveltamisen ilman takautuvaa vaikutusta. Täytäntöönpanosäädös hyväksytään 58 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Komissio hyväksyy 58 artiklan 3 kohdassa tarkoitettua menettelyä noudattaen välittömästi sovellettavia täytäntöönpanosäädöksiä asianmukaisesti perustelluissa erittäin kiireellisissä tapauksissa.

6. Komissio aloittaa neuvottelut kolmannen maan tai kansainvälisen järjestön kanssa korjatakseen tilanteen, jonka johdosta 5 kohdan mukainen päätös annettiin.

7. Jäsenvaltioiden on säädettävä siitä, että 5 kohdan nojalla annettu päätös ei rajoita 37 ja 38 artiklan nojalla tehtäviä henkilötietojen siirtoja kolmanteen maahan tai kyseisen kolmannen maan alueelle tai yhdelle tai useammalle määrätylle sektorille tai kyseiselle kansainväliselle järjestölle.

8. Komissio julkaisee Euroopan unionin virallisessa lehdessä ja verkkosivustollaan luettelon niistä kolmansista maista, kolmannen maan alueista ja tietyistä sektoreista sekä kansainvälisistä järjestöistä, joiden osalta se on päättänyt, että tietosuojan taso on tai ei enää ole riittävä.

1. Jollei 36 artiklan 3 kohdan mukaista päätöstä ole tehty, jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle, jos

b) rekisterinpitäjä on arvioinut kaikkia henkilötietojen siirtoon liittyviä seikkoja ja katsoo, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet.

2. Rekisterinpitäjän on ilmoitettava valvontaviranomaiselle 1 kohdan b alakohdassa tarkoitettujen siirtojen sarjat.

3. Kun siirto perustuu 1 kohdan b alakohtaan, se on dokumentoitava ja asiakirjat on asetettava valvontaviranomaisen saataville pyynnöstä, mukaan lukien siirron päivämäärä ja ajankohta, vastaanottavan toimivaltaisen viranomaisen tiedot, siirron perusteet ja siirretyt henkilötiedot.

1. Edellä olevan 36 artiklan mukaisen tietosuojan tason riittävyyttä koskevan päätöksen tai 37 artiklan mukaisten asianmukaisten suojatoimien puuttuessa jäsenvaltioiden on säädettävä siitä, että henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain sillä edellytyksellä, että siirto on tarpeen

b) rekisteröidyn oikeutettujen etujen turvaamiseksi, jos henkilötietoja siirtävän jäsenvaltion lainsäädännössä niin säädetään;

e) yksittäistapauksessa 1 artiklan 1 kohdassa vahvistettuihin tarkoituksiin liittyvien oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi.

2. Henkilötietoja ei saa siirtää, jos siirron toteuttava toimivaltainen viranomainen katsoo, että asianomaisen rekisteröidyn perusoikeudet ja -vapaudet syrjäyttävät yleisen edun 1 kohdan d ja e alakohdassa tarkoitetussa siirrossa.

3. Jos siirto perustuu 1 kohtaan, se on dokumentoitava ja asiakirjat on asetettava valvontaviranomaisen saataville pyynnöstä, mukaan lukien siirron päivämäärä ja ajankohta, vastaanottavan toimivaltaisen viranomaisen tiedot, siirron perustelu ja siirretyt henkilötiedot.

1. Poiketen siitä, mitä 35 artiklan 1 kohdan b alakohdassa säädetään ja tämän artiklan 2 kohdassa tarkoitettujen kansainvälisten sopimusten soveltamista rajoittamatta, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan säätää, että 3 artiklan 7 kohdan a alakohdassa tarkoitetut toimivaltaiset viranomaiset voivat yksittäis- ja erityistapauksissa siirtää henkilötietoja suoraan kolmansiin maihin sijoittautuneille vastaanottajille vain, jos tämän direktiivin muita säännöksiä noudatetaan ja kaikki seuraavat edellytykset täyttyvät:

a) siirto on ehdottoman välttämätön, jotta siirron toteuttava toimivaltainen viranomainen voi suorittaa unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetyt tehtävänsä 1 artiklan 1 kohdassa vahvistettuja tarkoituksia varten;

b) siirron toteuttava toimivaltainen viranomainen katsoo, että asianomaisen rekisteröidyn perusoikeudet ja -vapaudet eivät syrjäytä yleistä etua, jonka perusteella siirto käsiteltävänä olevassa tapauksessa on tarpeen;

c) siirron toteuttava toimivaltainen viranomainen katsoo, että kolmannen maan viranomaiselle, joka on toimivaltainen 1 artiklan 1 kohdan mukaisissa tarkoituksissa, tapahtuva siirto on tehoton tai epätarkoituksenmukainen erityisesti siitä syystä, että siirtoa ei voida tehdä hyvissä ajoin;

d) kolmannen maan viranomaiselle, joka on toimivaltainen 1 artiklan 1 kohdan mukaisissa tarkoituksissa, ilmoitetaan siirrosta ilman aiheetonta viivästystä, ellei tämä ole tehotonta tai epätarkoituksenmukaista;

e) siirron toteuttava toimivaltainen viranomainen ilmoittaa vastaanottajalle, mitä tiettyä tarkoitusta tai tiettyjä tarkoituksia varten tämä saa ainoastaan käsitellä henkilötietoja sillä edellytyksellä, että tällainen käsittely on tarpeellista.

2. Edellä 1 kohdassa tarkoitettu kansainvälinen sopimus on mikä tahansa jäsenvaltioiden ja kolmansien maiden välillä voimassa oleva kahden- tai monenvälinen kansainvälinen sopimus rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön alalla.

3. Siirron toteuttavan toimivaltaisen viranomaisen on ilmoitettava valvontaviranomaiselle tämän artiklan nojalla tehtävät siirrot.

Komission ja jäsenvaltioiden on toteutettava kolmansien maiden ja kansainvälisten järjestöjen suhteen asianmukaiset toimet, joilla

a) kehitetään kansainvälisiä yhteistyökeinoja, jotta voidaan edistää henkilötietojen suojaamista koskevan lainsäädännön tosiasiallista täytäntöönpanoa;

b) tarjotaan keskinäistä kansainvälistä apua henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa esimerkiksi tiedonannolla, lähettämällä valituksia käsiteltäväksi, antamalla tutkinta-apua ja vaihtamalla tietoja, edellyttäen että on toteutettu asianmukaiset suojatoimet, jotka koskevat henkilötietojen suojaa ja muita perusoikeuksia ja -vapauksia;

c) saadaan keskeiset sidosryhmät mukaan keskusteluun ja toimintaan, joilla edistetään kansainvälistä yhteistyötä henkilötietojen suojaa koskevan lainsäädännön täytäntöönpanossa;

d) edistetään henkilötietojen suojaa koskevan lainsäädännön ja käytännön vaihtoa sekä dokumentointia muun muassa niiden koskiessa toimivaltaristiriitoja kolmansien maiden kanssa.

1. Jäsenvaltioiden on säädettävä siitä, että vähintään yksi riippumaton viranomainen vastaa tämän direktiivin soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaamiseksi käsittelyssä ja henkilötietojen vapaan kulun edistämiseksi unionissa, jäljempänä ’valvontaviranomainen’.

2. Jokaisen valvontaviranomaisen on myötävaikutettava tämän direktiivin yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa VII luvun mukaisesti.

3. Jäsenvaltiot voivat säätää, että asetuksen (EU) 2016/679 mukaisesti perustettu valvontaviranomainen voi olla tässä direktiivissä tarkoitettu valvontaviranomainen ja ottaa hoitaakseen tämän artiklan 1 kohdan mukaisesti perustettavan valvontaviranomaisen tehtävät.

4. Jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, jäsenvaltion on nimettävä valvontaviranomainen, joka edustaa näitä viranomaisia 51 artiklassa tarkoitetussa tietosuojaneuvostossa.

1. Kunkin jäsenvaltion on säädettävä siitä, että jokainen valvontaviranomainen toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään sille tämän direktiivin mukaisesti annettuja valtuuksia.

2. Jäsenvaltioiden on säädettävä siitä, että niiden valvontaviranomaisen jäseneen tai jäseniin ei vaikuteta ulkopuolelta suoraan eikä välillisesti näiden hoitaessa tehtäviään ja käyttäessä valtuuksiaan tämän direktiivin mukaisesti, ja että ne eivät pyydä eivätkä ota ohjeita miltään taholta.

3. Jäsenvaltioiden valvontaviranomaisen jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.

4. Kunkin jäsenvaltion on säädettävä siitä, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen, jotta valvontaviranomainen voi suorittaa tehtävänsä ja käyttää valtuuksiaan tehokkaasti, mukaan lukien tehtävät ja valtuudet, jotka liittyvät keskinäiseen avunantoon, yhteistyöhön ja osallistumiseen tietosuojaneuvoston toimintaan.

5. Kunkin jäsenvaltion on säädettävä siitä, että jokaisella valvontaviranomaisella on oma henkilöstö, jonka se valitsee itse ja joka toimii kyseisen valvontaviranomaisen jäsenen tai jäsenten yksinomaisessa ohjauksessa.

6. Kunkin jäsenvaltion on säädettävä siitä, että jokaiseen valvontaviranomaiseen sovelletaan varainhoidon valvontaa, joka ei vaikuta sen riippumattomuuteen, ja että sillä on erillinen ja julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota.

1. Jäsenvaltioiden on säädettävä siitä, että niiden valvontaviranomaisten jokaisen jäsenen nimittää läpinäkyvää menettelyä noudattaen asianomaisen jäsenvaltion

2. Jokaisella jäsenellä on oltava tehtävien hoitamisessa ja valtuuksien käyttämisessä tarvittava pätevyys, kokemus ja ammattitaito erityisesti henkilötietojen suojaamisen alalla.

3. Jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hänet erotetaan asianomaisen jäsenvaltion lainsäädännön mukaisesti.

4. Jäsen voidaan erottaa ainoastaan vakavan väärinkäytöksen perusteella tai jos hän ei enää täytä velvollisuuksien suorittamisessa vaadittuja edellytyksiä.

d) kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta, lukuun ottamatta ensimmäistä nimitystä 6 päivän toukokuuta 2016 jälkeen, jolloin osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla;

e) siitä, voidaanko kunkin valvontaviranomaisen jäsen tai jäsenet nimittää uudelleen ja, jos näin on, kuinka moneksi toimikaudeksi;

f) kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä, yhteensopimatonta toimintaa ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen ja tehtävien päättymistä koskevista säännöistä.

2. Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän direktiivin rikkomisista.

1. Kunkin jäsenvaltion on säädettävä siitä, että jokaisella valvontaviranomaisilla on niille tämän direktiivin mukaisesti annettujen tehtävien hoitoa ja valtuuksien käyttöä koskeva toimivalta oman jäsenvaltionsa alueella.

2. Kunkin jäsenvaltion on säädettävä siitä, että valvontaviranomaisella ei ole toimivaltaa valvoa sellaisia käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä. Kukin jäsenvaltio voi säätää siitä, että valvontaviranomaisella ei ole toimivaltaa valvoa käsittelytoimia, joita muut riippumattomat oikeusviranomaiset suorittavat lainkäyttötehtäviensä yhteydessä.

1. Kunkin jäsenvaltion on säädettävä siitä alueellaan siitä, että kukin valvontaviranomainen

a) valvoo tämän direktiivin ja sen täytäntöönpanotoimenpiteiden nojalla annettujen säännösten soveltamista ja panee ne täytäntöön;

c) antaa jäsenvaltion lainsäädännön mukaisesti kansalliselle parlamentille, hallitukselle ja muille toimielimille ja elimille neuvontaa luonnollisten henkilöiden oikeuksien ja vapauksien suojelua käsittelyssä koskevista lainsäädännöllisistä ja hallinnollisista toimenpiteistä;

d) edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tekemistä tietoisiksi niille tämän direktiivin mukaan kuuluvista velvollisuuksista;

e) antaa pyynnöstä rekisteröidyille tietoja heille tämän direktiivin mukaan kuuluvien oikeuksien käytöstä ja tekee tarvittaessa yhteistyötä muiden jäsenvaltioiden viranomaisten kanssa tätä tarkoitusta varten;

f) käsittelee rekisteröidyn tai 55 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkii valituksen tarpeellisin osin ja ilmoittaa valituksen tekijälle tutkinnan etenemisestä sekä tutkinnan tuloksista kohtuullisen ajan kuluessa, erityisesti jos asia edellyttää lisätutkimuksia tai koordinointia toisen valvontaviranomaisen kanssa;

g) tarkistaa 17 artiklan mukaisesti käsittelyn lainmukaisuuden ja ilmoittaa rekisteröidylle kohtuullisen ajan kuluessa kyseisen artiklan 3 kohdan mukaisesti tarkistuksen tuloksesta tai siitä, miksi tarkistusta ei ole suoritettu;

h) tekee yhteistyötä muun muassa jakamalla tietoa ja tarjoaa keskinäistä apua muille valvontaviranomaisille, jotta voidaan varmistaa, että tätä direktiiviä sovelletaan ja se pannaan täytäntöön johdonmukaisesti;

i) suorittaa tutkimuksia tämän direktiivin soveltamisesta, myös toiselta valvontaviranomaiselta tai muulta viranomaiselta saatujen tietojen perusteella;

2. Kaikkien valvontaviranomaisten on helpotettava 1 kohdan f alakohdassa tarkoitettujen valitusten jättämistä toimenpitein, kuten tarjoamalla valituslomakkeen, joka voidaan täyttää sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3. Minkään valvontaviranomaisten tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle eikä tietosuojavastaavalle.

4. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia erityisesti siitä syystä, että niissä on toistuvuutta, valvontaviranomainen voi periä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisen on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

1. Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on tehokkaat tutkintavaltuudet. Näihin valtuuksiin on sisällyttävä vähintään valtuudet saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin käsiteltävän oleviin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen valvontaviranomaisen tehtävien suorittamisessa.

2. Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on tehokkaat korjaavat toimivaltuudet, kuten esimerkiksi valtuudet

a) varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet ovat todennäköisesti tämän direktiivin nojalla hyväksyttyjen säännösten vastaisia;

b) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän direktiivin nojalla hyväksyttyjen säännösten mukaisiksi tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa, erityisesti määräämällä henkilötietojen korjaamisesta tai poistamisesta taikka käsittelyn rajoittamisesta 16 artiklan mukaisesti;

3. Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on tehokkaat neuvontavaltuudet antaa rekisterinpitäjälle neuvoja 28 artiklassa tarkoitetun ennakkokuulemismenettelyn mukaisesti ja antaa omasta aloitteestaan tai pyynnöstä lausuntoja kyseisen jäsenvaltion kansalliselle parlamentille, hallitukselle tai kansallisen lainsäädäntönsä mukaisesti muille toimielimille ja elimille sekä yleisölle kaikista henkilötietojen suojaan liittyvistä kysymyksistä.

4. Valvontaviranomaiselle tämän artiklan nojalla annetun toimivallan käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, siten kuin niistä säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti.

5. Kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on valtuudet saattaa tämän direktiivin nojalla hyväksyttyjen säännösten rikkomiset oikeusviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää oikeustoimet tämän direktiivin nojalla hyväksyttyjen säännösten täytäntöönpanemiseksi.

Jäsenvaltioiden on säädettävä siitä, että toimivaltaiset viranomaiset ottavat käyttöön tehokkaita mekanismeja, jotka kannustavat ilmoittamaan tämän direktiivin rikkomisista luottamuksellisesti.

Jokaisen valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon voi sisältyä luettelo siitä, millaisia rikkomisia on ilmoitettu ja millaisia seuraamuksia määrätty. Kertomukset on toimitettava kansalliselle parlamentille, hallitukselle ja muille jäsenvaltion lainsäädännössä nimetyille viranomaisille. Ne on saatettava yleisön, komission ja tietosuojaneuvoston saataville.

1. Jäsenvaltioiden on säädettävä siitä, että valvontaviranomaiset antavat toisilleen tarvittavat tiedot ja keskinäistä apua tämän direktiivin johdonmukaisen täytäntöönpanon ja soveltamisen varmistamiseksi ja toteuttavat toimenpiteet tehokasta keskinäistä yhteistyötä varten. Keskinäisen avunannon on katettava erityisesti tietopyynnöt ja valvontatoimet, kuten kuulemisten, tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt.

2. Jäsenvaltioiden on säädettävä siitä, että jokainen valvontaviranomainen toteuttaa kaikki tarvittavat toimenpiteet voidakseen vastata toisen valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

3. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, kuten pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

4. Pyynnön vastaanottanut valvontaviranomainen voi kieltäytyä noudattamasta pyyntöä vain, jos

b) pyynnön täyttäminen rikkoisi tätä direktiiviä tai sellaista unionin oikeutta tai jäsenvaltion lainsäädäntöä, jota sovelletaan pyynnön vastaanottaneeseen valvontaviranomaiseen.

5. Pyynnön vastaanottanut valvontaviranomainen ilmoittaa pyynnön esittäneelle valvontaviranomaiselle asian ratkaisusta tai tarvittaessa asian etenemisestä tai pyyntöön vastaamiseksi toteutetuista toimenpiteistä. Jos pyynnön vastaanottanut valvontaviranomainen kieltäytyy noudattamasta pyyntöä 4 kohdan nojalla, sen on esitettävä kieltäytymisen syyt.

6. Pyynnön vastaanottaneen valvontaviranomaisen on lähtökohtaisesti toimitettava muiden valvontaviranomaisten pyytämät tiedot sähköisesti vakiomuodossa.

7. Pyynnön vastaanottanut valvontaviranomainen ei saa periä maksua keskinäistä avunantoa koskevien pyyntöjen perusteella toteuttamistaan toimista. Valvontaviranomaiset voivat keskenään sopia säännöistä, jotka koskevat keskinäisestä avunannosta poikkeuksellisissa olosuhteissa aiheutuvista erityisistä kustannuksista maksettavia korvauksia.

8. Komissio voi täytäntöönpanosäädöksillä vahvistaa tässä artiklassa tarkoitettua keskinäistä avunantoa koskevat muodot ja menettelyt sekä järjestelyt valvontaviranomaisten kesken ja valvontaviranomaisten ja tietosuojaneuvoston välillä sähköisin keinoin toteutettavaa tietojenvaihtoa varten. Nämä täytäntöönpanosäädökset hyväksytään 58 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

1. Asetuksella (EU) 2016/679 perustettu neuvosto hoitaa seuraavia tämän direktiivin soveltamisalaan kuuluvaan käsittelyyn liittyviä tehtäviä:

a) antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän direktiivin mahdollisesta muuttamisesta;

b) tarkastella omasta aloitteestaan, jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän direktiivin soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän direktiivin johdonmukaista soveltamista;

d) antaa tämän kohdan b alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 30 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietojen tietoturvaloukkausten toteamiseksi ja aiheettoman viivästyksen määrittämiseksi sekä niistä erityisolosuhteista, joissa rekisterinpitäjän tai henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

e) antaa tämän kohdan b alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 31 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

g) antaa komissiolle lausunto kolmannen maan, kolmannen maan alueen tai yhden tai useamman määrätyn sektorin tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö tällainen kolmas maa tai alue tai kansainvälinen järjestö tai määrätty sektori enää varmistamaan tietosuojan riittävää tasoa;

h) edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

i) edistää yhteisiä koulutusohjelmia ja helpottaa henkilövaihtoa valvontaviranomaisten välillä sekä tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

j) edistää tietosuojaoikeutta ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa.

Ensimmäisen alakohdan g alakohdan osalta komissio toimittaa tietosuojaneuvostolle kaikki tarpeelliset asiakirjat, kuten kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai määrätyn sektorin, tai kansainvälisen järjestön kanssa käydyn kirjeenvaihdon.

2. Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

3. Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 58 artiklan 1 kohdassa tarkoitetulle komitealle ja julkaistava ne.

4. Komission on ilmoitettava tietosuojaneuvostolle toimista, jotka se on toteuttanut tietosuojaneuvoston antamien lausuntojen, suuntaviivojen, suositusten ja parhaiden käytänteiden perusteella.

1. Jäsenvaltioiden on säädettävä siitä, että jokaisella rekisteröidyllä on oikeus tehdä valitus yhdelle valvontaviranomaiselle, jos rekisteröity katsoo, että häneen liittyvässä henkilötietojen käsittelyssä rikotaan tämän direktiivin nojalla annettuja säännöksiä, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2. Jäsenvaltioiden on säädettävä siitä, että valvontaviranomainen, jolle valitus on tehty, toimittaa sen toimivaltaiselle valvontaviranomaiselle ilman aiheetonta viivytystä, jos valitusta ei ole tehty 45 artiklan 1 kohdan nojalla toimivaltaiselle valvontaviranomaiselle. Rekisteröidylle on ilmoitettava siirrosta.

3. Jäsenvaltioiden on säädettävä siitä, että valvontaviranomainen, jolle valitus on tehty, antaa lisäapua rekisteröidyn pyynnöstä.

4. Toimivaltaisen valvontaviranomaisen on ilmoitettava rekisteröidylle valituksen etenemisestä ja ratkaisusta, mukaan lukien 53 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

1. Jäsenvaltioiden on säädettävä luonnollisten henkilöiden tai oikeushenkilöiden oikeudesta käyttää tehokkaita oikeussuojakeinoja valvontaviranomaisen oikeudellisesti sitovia heitä koskevia päätöksiä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 45 artiklan 1 kohdan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 52 artiklan mukaisesti tehdyn valituksen etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

3. Jäsenvaltioiden on säädettävä siitä, että kanne valvontaviranomaista vastaan nostetaan sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.

Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan

Jäsenvaltioiden on säädettävä, että rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tämän direktiivin nojalla annettuihin säännöksiin perustuvia oikeuksiaan on rikottu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu kyseisiä säännöksiä, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 52 artiklan mukainen oikeus tehdä valitus valvontaviranomaiselle.

Jäsenvaltioiden on jäsenvaltion prosessioikeuden mukaisesti säädettävä siitä, että rekisteröidyllä on oikeus valtuuttaa sellainen voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröityjen oikeuksien ja vapauksien suojelemisen alalla heidän henkilötietojensa suojan osalta, tekemään valitus puolestaan ja käyttämään puolestaan 52, 53 ja 54 artiklassa tarkoitettuja oikeuksia.

Jäsenvaltioiden on säädettävä siitä, että jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta tämän direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, hänellä on oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta.

Jäsenvaltioiden on vahvistettava säännöt tämän direktiivin nojalla annettuihin säännöksiin kohdistuvien rikkomisten johdosta määrättävistä seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

1. Komissiota avustaa asetuksen (EU) 2016/679 93 artiklalla perustettu komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

3. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä sen 5 artiklan kanssa.

2. Viittauksia 1 kohdassa tarkoitettuun, kumottuun päätökseen pidetään viittauksina tähän direktiiviin.

Direktiivi ei vaikuta henkilötietojen suojaa koskeviin erityisiin säännöksiin, jotka sisältyvät rikosasioissa tehtävän oikeudellisen yhteistyön ja poliisiyhteistyön alalla ennen 6 päivää toukokuuta 2016 voimaan tulleisiin unionin säädöksiin, joilla säännellään käsittelyä jäsenvaltioiden kesken ja jäsenvaltioiden nimettyjen viranomaisten pääsyä perussopimusten mukaisesti perustettuihin tietojärjestelmiin tämän direktiivin soveltamisalan puitteissa.

Suhde rikosasioissa tehtävää oikeudellista yhteistyötä ja poliisiyhteistyötä koskeviin, aiemmin tehtyihin kansainvälisiin sopimuksiin

Henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille edellyttävät kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen 6 päivää toukokuuta 2016 ja jotka ovat unionissa kyseistä päivää voimassa olleen oikeuden mukaisia, ovat edelleen voimassa, kunnes niitä muutetaan tai ne korvataan tai kumotaan.

1. Komissio toimittaa Euroopan parlamentille ja neuvostolle 6 päivään toukokuuta 2022 mennessä, ja tämän jälkeen neljän vuoden välein säännöllisesti kertomukset tämän direktiivin arvioinnista ja uudelleentarkastelusta. Kertomukset julkistetaan.

2. Edellä 1 kohdassa tarkoitettujen arviointien ja uudelleentarkastelujen yhteydessä komissio tarkastelee erityisesti kolmansiin maihin tai kansainvälisille järjestöille tapahtuvaa henkilötietojen siirtoa koskevan V luvun säännösten soveltamista ja toimivuutta varsinkin 36 artiklan 3 kohdan ja 39 artiklan nojalla hyväksyttävien päätösten osalta.

3. Komissio voi pyytää jäsenvaltioilta ja valvontaviranomaisilta tietoja 1 ja 2 kohdan tarkoituksiin.

4. Komission on 1 ja 2 kohdassa tarkoitettuja arviointeja ja uudelleentarkasteluja toteuttaessaan otettava huomioon Euroopan parlamentin, neuvoston sekä muiden asiaan liittyvien elimien tai lähteiden kannat ja havainnot.

5. Komissio voi tarvittaessa toimittaa asianmukaisia ehdotuksia tämän direktiivin muuttamiseksi, ottaen erityisesti huomioon tietotekniikassa ja tietoyhteiskunnassa tapahtuva kehitys.

6. Komissio tarkastelee 6 päivään toukokuuta 2019 mennessä muita unionin hyväksymiä säädöksiä, joilla säännellään toimivaltaisten viranomaisten suorittamaa käsittelyä 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten, mukaan lukien 60 artiklassa tarkoitetutunionin säädökset, arvioidakseen, olisiko niitä yhdenmukaistettava tämän direktiivin kanssa, ja tekee tarvittaessa tarpeelliset ehdotukset kyseisten säädösten muuttamiseksi, jotta voidaan varmistaa johdonmukainen lähestymistapa henkilötietojen suojaan tämän direktiivin soveltamisalan puitteissa.

1. Jäsenvaltioiden on annettava ja julkaistava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018. Niiden on viipymättä ilmoitettava komissiolle kirjallisina nämä säännökset. Jäsenvaltioiden on sovellettava näitä säännöksiä 6 päivästä toukokuuta 2018.

Näissä jäsenvaltioiden antamissa säädöksissä on viitattava tähän direktiiviin tai niihin on liitettävä tällainen viittaus, kun ne julkaistaan virallisesti. Jäsenvaltioiden on säädettävä siitä, miten viittaukset tehdään.

2. Jäsenvaltio voi 1 kohdasta poiketen säätää, että jos siitä aiheutuu suhteetonta vaivaa, ennen 6 päivää toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät on saatettava 25 artiklan 1 kohdan mukaisiksi poikkeuksellisesti viimeistään 6 päivänä toukokuuta 2023.

3. Tämän artiklan 1 ja 2 kohdasta poiketen jäsenvaltio voi poikkeuksellisissa olosuhteissa saattaa tietyn tämän kohdan 2 alakohdassa tarkoitetun automatisoidun käsittelyjärjestelmän 25 artiklan 1 kohdan mukaiseksi määräajan kuluessa tämän artiklan 2 kohdassa tarkoitetusta ajanjaksosta, jos tästä muutoin aiheutuisi vakavia vaikeuksia kyseisen automatisoidun käsittelyjärjestelmän toiminnalle. Asianomainen jäsenvaltio ilmoittaa komissiolle vakavien vaikeuksien ja sen määräajan perusteista, jonka kuluessa sen on saatettava kyseinen automatisoitu käsittelyjärjestelmä 25 artiklan 1 kohdan mukaiseksi. Määräaika ei saa missään tapauksessa olla myöhemmin kuin 6 päivänä toukokuuta 2026.

4. Jäsenvaltioiden on toimitettava tässä direktiivissä tarkoitetuista kysymyksistä antamansa keskeiset kansalliset säännökset kirjallisina komissiolle.

Tämä direktiivi tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.