32008F0977

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 32008F0977 - EN

Document 32008F0977

Help

Nõukogu raamotsus 2008/977/JSK, 27. november 2008 , kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta

ELT L 350, 30.12.2008, p. 60–71 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

(HR)
⏵Dokument on avaldatud eriväljaandes (HR)
horvaadikeelne eriväljaanne: Peatükk 16 Köide 002 Lk 118 - 129

Legal status of the document No longer in force, Date of end of validity: 05/05/2018; kehtetuks tunnistatud 32016L0680

ELI: http://data.europa.eu/eli/dec_framw/2008/977/oj

HTML

PDF

Official Journal

30.12.2008

Euroopa Liidu Teataja

L 350/60

NÕUKOGU RAAMOTSUS 2008/977/JSK,

27. november 2008,

kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta

EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu lepingut, eriti selle artikleid 30, 31 ja artikli 34 lõike 2 punkti b,

võttes arvesse komisjoni ettepanekut,

võttes arvesse Euroopa Parlamendi arvamust, (1)

ning arvestades järgmist:

(1)	Euroopa Liit on oma eesmärgiks seadnud säilitada ja arendada liitu vabadusel, turvalisusel ja õigusel rajaneva alana, mille piires tuleb tagada kõrgetasemeline kaitse liikmesriikide ühismeetmetega kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas.

(2)	Euroopa Liidu lepingu artikli 30 lõike 1 punkti b ja artikli 31 lõike 1 punkti a kohaselt hõlmavad ühismeetmed kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas asjakohaste andmete töötlemist, järgides seejuures asjakohaseid isikuandmete kaitsmisega seotud sätteid.

(3)

Euroopa Liidu lepingu VI jaotise reguleerimisalasse kuuluvad õigusaktid peaksid edendama kriminaalasjades tehtavat politsei- ja õigusalast koostööd tõhususe, samuti selle õiguspärasuse ja põhiõigustele vastavuse seisukohast, arvestades eelkõige õigust eraelu puutumatusele ja isikuandmete kaitsele. Kuritegude ennetamise ja nende vastu võitlemise käigus töödeldavate isikuandmete töötlemist ja kaitset käsitlevad ühtsed standardid võivad kaasa aidata mõlema eesmärgi saavutamisele.

(4)

4. novembril 2004. aastal Euroopa Ülemkogul vastu võetud vabaduse, turvalisuse ja õiguse tugevdamist Euroopa Liidus käsitlevas Haagi programmis rõhutatakse õiguskaitsealase teabe piiriüleseks vahetuseks uue lähenemisviisi vajadust, mille puhul järgitakse andmekaitse kõiki olulisi tingimusi. Programmis kutsutakse komisjoni üles esitama asjaomased ettepanekud hiljemalt 2005. aasta lõpuks. See kajastus ka nõukogu ja komisjoni tegevuskavas vabaduse, turvalisuse ja õiguse tugevdamist Euroopa Liidus käsitleva Haagi programmi rakendamise kohta. (2)

(5)

Haagi programmis sätestatud teabe kättesaadavuse põhimõtte kohaselt peaksid isikuandmete vahetamist kriminaalasjades tehtava politsei- ja õigusalase koostöö käigus toetama selged eeskirjad, mis tugevdavad pädevate asutuste vahelist vastastikust usaldust ja tagavad asjaomase teabe kaitse viisil, mis välistab mis tahes diskrimineerimise sellises liikmesriikide vahelises koostöös ja tagab samal ajal isikute põhiõiguste austamise. Olemasolevatest Euroopa tasandi õigusaktidest ei piisa; Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) (3) ei ole kohaldatav isikuandmete töötlemise suhtes sellise tegevuse käigus, mis ei kuulu ühenduse õiguse reguleerimisalasse, näiteks Euroopa Liidu lepingu VI jaotises osutatud tegevus, ega ole mitte mingil juhul kohaldatav sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku või riigi toimingutega kriminaalõiguse valdkonnas.

(6)

Raamotsust kohaldatakse üksnes andmete suhtes, mida kogutakse või töödeldakse pädevate asutuste poolt kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täideviimise eesmärgil. Raamotsusega tuleks jätta liikmesriikidele õigus määrata riiklikul tasandil täpsemalt, milliseid muid eesmärke peetakse kokkusobimatuks eesmärgiga, milleks isikuandmeid esialgselt koguti. Üldiselt tohiks pidada isikuandmete täiendavat töötlemist ajaloo, statistika või teadusega seotud eesmärkidel töötlemise esialgse eesmärgiga vastuolus olevaks.

(7)

Käesoleva raamotsuse reguleerimisala on piiratud liikmesriikide vahel edastatud või kättesaadavaks tehtud isikuandmete töötlemisega. Sellest piirangust ei tohiks tuletada järeldusi liidu pädevuse suhtes võtta vastu õigusakte isikuandmete kogumise ja töötlemise kohta siseriiklikul tasandil või otstarbekuse kohta seda liidus tulevikus teha.

(8)

Et hõlbustada andmevahetust liidus, kavatsevad liikmesriigid tagada, et siseriikliku andmetöötluse andmekaitsestandardid on vastavuses käesolevas raamotsuses sätestatutega. Siseriikliku andmetöötluse osas ei takistata käesoleva raamotsusega liikmesriike kehtestamast selliseid kaitsemeetmeid, mis on rangemad käesolevas raamotsuses isikuandmete kaitseks kehtestatud kaitsemeetmetest.

(9)	Käesolevat raamotsust ei peaks kohaldama isikuandmete suhtes, mille liikmesriik on saanud käesoleva raamotsuse kohaldamisel ning mis pärinevad samast liikmesriigist.

(10)	Liikmesriikide õigusaktide ühtlustamise tulemusena ei tohiks langeda liikmesriikide andmekaitse tase, vaid sellega tuleks tagada kõrgetasemeline kaitse Euroopa Liidu tasandil.

(11)

Politsei- ja õigusalase tegevuse raames tuleb määratleda andmekaitse eesmärgid ning kehtestada isikuandmete töötlemise seaduslikkust reguleerivad eeskirjad, mis tagaksid mis tahes vahetatava teabe seadusliku töötlemise kooskõlas andmete kvaliteedi põhimõtetega. Samas ei tohiks need eeskirjad mingil viisil takistada politsei-, tolli- ja õigusasutuste ning muude pädevate asutuste õiguslikku tegevust.

(12)

Võttes arvesse asjaomase töötlemise laadi ja eesmärki, tuleb kohaldada andmete täpsuse põhimõtet. Näiteks eelkõige kohtumenetluses põhinevad andmed isikute subjektiivsel ettekujutusel toimunust ning mõningatel juhtudel ei ole neid võimalik tõendada. Seetõttu ei saa täpsuse nõue puudutada tunnistuse täpsust, vaid üksnes tõsiasja, et konkreetne tunnistus on antud.

(13)

Arhiveerimine eraldi andmekogumis peaks olema lubatud üksnes siis, kui andmeid enam ei vajata ega kasutata kuritegude ennetamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täideviimiseks. Arhiveerimine eraldi andmekogumis peaks olema lubatud samuti siis, kui arhiveeritud andmeid säilitatakse andmebaasis koos teiste andmetega selliselt, et neid ei saa enam kasutada kuritegude ennetamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täideviimiseks. Arhiveerimisperioodi kestus peaks sõltuma arhiveerimise otstarbest ning andmesubjektide õigustatud huvidest. Ajaloolisel eesmärgil arhiveerimise korral võib näha ette väga pika arhiveerimisperioodi.

(14)	Andmed võib samuti kustutada andmekandja hävitamise teel.

(15)

Teisele liikmesriigile edastatud või kättesaadavaks tehtud ning kohtulaadsete asutuste poolt (st asutused, kellel on pädevus teha õiguslikult siduvaid otsuseid) täiendavalt töödeldud ebatäpsed, mittetäielikud või aegunud andmed parandatakse, kustutatakse või blokeeritakse kooskõlas siseriikliku õigusega.

(16)	Üksikisikute isikuandmete kõrgetasemelise kaitse tagamine nõuab üldsätete olemasolu, mis määraksid kindlaks teise liikmesriigi pädevas asutuses töödeldavate andmete seaduslikkuse ja kvaliteedinõuded.

(17)

Euroopa tasandil tuleks sätestada millistel tingimustel peaks liikmesriigi pädeval asutusel olema lubatud liikmesriigi asutusele ja eraisikule edastada ja kättesaadavaks teha teiselt liikmesriigilt saadud isikuandmeid. Paljudel juhtudel on õigusasutuse, politsei- või tolliasutuse poolt isikuandmete eraisikule edastamine siiski vajalik kuritegude eest vastutusele võtmiseks või avalikku korda ähvardava vahetu ja tõsise ohu vältimiseks või isikute õiguste tõsise rikkumise vältimiseks, näiteks väljastatakse pankadele ja krediidiasutustele väärtpaberite võltsimiste kohta hoiatusi või edastatakse sõidukitega seotud kuritegevuse valdkonnas isikuandmeid kindlustusseltsidele, et vältida varastatud mootorsõidukitega ebaseaduslikku kauplemist või parandada tingimusi varastatud mootorsõidukite tagasisaamiseks välismaalt. See on samaväärne politsei- või õigusasutuste ülesannete üleminekuga eraisikutele.

(18)	Käesoleva raamotsuse eeskirju, mis käsitlevad õigusasutuse, politsei- või tolliasutuse poolt isikuandmete eraisikule edastamist, ei kohaldata andmete avalikustamise suhtes eraisikule (nt kaitseadvokaatidele ja kuriteo ohvritele) kriminaalmenetluse raames.

(19)	Teise liikmesriigi pädevalt asutuselt saadud või selle asutuse poolt kättesaadavaks tehtud isikuandmete täiendava töötlemise suhtes, eelkõige selliste andmete edastamise või kättesaadavaks tegemise suhtes tuleks kohaldada Euroopa tasandil ühiseid eeskirju.

(20)

Kui isikuandmeid võib täiendavalt töödelda pärast nõusoleku saamist liikmesriigilt, kellelt andmed saadi, peaks igal liikmesriigil olema võimalik kindlaks määrata sellise nõusoleku andmise üksikasjad, sealhulgas andes näiteks üldise nõusoleku teabekategooriate või täiendava töötlemise kategooriate kaupa.

(21)	Kui isikuandmeid võib täiendavalt töödelda haldusmenetluse käigus, sisaldavad need menetlused ka tegevust, mida teostavad reguleerivad ja järelevalveasutused.

(22)	Politsei-, tolli-, õigusasutuste ja muude pädevate asutuste õiguspärane tegevus võib ette näha andmete saatmist kolmandate riikide ametiasutustele või rahvusvahelistele organitele, kellel on kuritegude ennetamise, uurimise, avastamise ja kuritegude eest vastutusele võtmisega seotud kohustusi.

(23)	Kui liikmesriik edastab isikuandmeid kolmandatele riikidele või rahvusvahelistele organitele, tuleks põhimõtteliselt tagada selliste andmete nõuetekohane kaitse.

(24)

Kui liikmesriik edastab isikuandmeid kolmandatele riikidele või rahvusvahelistele organitele, peaks selline edastamine põhimõtteliselt toimuma alles pärast seda, kui riik, kust andmed saadi, on andnud nõusoleku nende edastamiseks. Igal liikmesriigil peaks olema võimalik kindlaks määrata sellise nõusoleku andmise üksikasjad, sealhulgas andes näiteks üldise nõusoleku teabekategooriate või konkreetsete kolmandate riikide kaupa.

(25)

Kui liikmesriigi või kolmanda riigi avalikku korda ähvardav oht on nii vahetu, et ei ole võimalik õigeaegselt eelnevat nõusolekut saada, peaks pädeval asutusel olema tõhusa õiguskaitsealase koostöö huvides võimalik edastada asjakohased isikuandmed asjaomasele kolmandale riigile ilma eelneva nõusolekuta. Sama kehtib olukorra puhul, kui kaalul on liikmesriigi samaväärse tähtsusega muud olulised huvid, näiteks kui liikmesriigi esmatähtsat infrastruktuuri ähvardab otsene või tõsine oht või kui liikmesriigi rahandussüsteem võib olla tõsiselt häiritud.

(26)	Andmesubjektide tõhusa õiguskaitse tagamiseks võib osutuda vajalikuks neid teavitada sellest, et nende andmeid töödeldakse, eelkõige juhul, kui andmete salajase kogumise meetmete tulemusel on nende õigusi tõsiselt rikutud.

(27)

Liikmesriik peaks tagama andmesubjekti teavitamise sellest, et isikuandmeid võidakse koguda, töödelda või edastada teisele liikmesriigile või seda tehakse kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kuritegude eest mõistetud sanktsioonide täideviimise eesmärgil. Viisid, kuidas tagatakse andmesubjekti õigus olla teavitatud, tuleks kindlaks määrata siseriikliku õigusega. See võib toimuda üldisel viisil, näiteks õigusaktide alusel või töötlemistoimingute loetelu avaldamise kaudu.

(28)	Selleks et tagada isikuandmete kaitse ja mitte ohustada eeluurimise huve, on vaja määratleda andmesubjekti õigused.

(29)

Mõned liikmesriigid on sätestanud andmesubjekti õiguse tutvuda teda puudutavate andmetega kriminaalasjades süsteemi kaudu, mille puhul siseriiklikul järelevalveasutusel on andmesubjekti asemel õigus piiranguteta tutvuda kõikide andmesubjektiga seonduvate andmetega, samuti on tal õigus ebatäpsed andmed parandada, kustutada või ajakohastada. Sellisel andmetega kaudse tutvumise juhul võib nende liikmesriikide õiguses olla sätestatud, et siseriiklik järelevalveasutus teavitab andmesubjekti üksnes sellest, et kõik vajalikud kontrollid on teostatud. Kõnealused liikmesriigid võivad aga samuti erijuhtudel näha ette, et andmesubjektile antakse võimalus andmetega, näiteks kohtutoimikutega, vahetult tutvuda, et saada enda kohta karistusregistri väljavõtteid või dokumente politseiasutustes toimunud enda ülekuulamiste kohta.

(30)

Tuleks kehtestada ühised eeskirjad, mis käsitlevad andmete töötlemise konfidentsiaalsust ja turvalisust, vastutust, andmesubjekti õiguskaitsevahendeid ja karistusi, kui pädevad asutused kasutavad andmeid ebaseaduslikult. Siiski määrab iga liikmesriik lepinguvälist kahju reguleerivate sätete laadi ja karistused, mida kohaldatakse siseriiklike andmekaitsesätete rikkumise korral.

(31)	Käesoleva raamotsuse põhimõtete rakendamisel on lubatud arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet.

(32)

Kui isikuandmeid on vaja kaitsta seoses töötlemisega, mille ulatus või laad toob endaga kaasa konkreetse ohu andmesubjekti põhiõigustele ja -vabadustele, näiteks kasutades töötlemisel uusi tehnoloogiaid, mehhanisme või menetlusi, on asjakohane tagada, et pädevate siseriiklike järelevalveasutustega konsulteeritakse enne kõnealuste andmete töötlemiseks ettenähtud kataloogide loomist.

(33)	Täielikult sõltumatute järelevalveasutuste loomine liikmesriikides on oluline tegur üksikisikute kaitsmisel seoses isikuandmete töötlemisega liikmesriikide vahelise politsei- ja õigusalase koostöö raames.

(34)	Direktiivi 95/46/EÜ kohaselt liikmesriikides juba loodud asutused peaksid samuti olema võimelised vastutama käesoleva raamotsuse kohaselt loodavate riiklike järelevalveasutuste ülesannete täitmise eest.

(35)

Sellistel järelevalveasutustel peaksid olema oma kohustuste täitmiseks vajalikud vahendid, sealhulgas volitus tegeleda uurimisega ja sekkuda, seda eelkõige üksikisikute esitatud kaebuste puhul, või volitus osaleda kohtumenetlustes. Sellised järelevalveasutused peaksid aitama tagada töötlemise läbipaistvust liikmesriikides, kelle jurisdiktsiooni alla nad kuuluvad. Samas ei tohi selliste asutuste pädevus mõjutada kriminaalmenetluse erisätteid ega kohtunike sõltumatust.

(36)

Euroopa Liidu lepingu artiklis 47 sätestatakse, et miski selles lepingus ei mõjuta Euroopa ühenduste asutamislepinguid ega hilisemaid lepinguid või õigusakte, mis neid muudavad või täiendavad. Järelikult ei mõjuta käesolev raamotsus ühenduse õigusaktide kohast isikuandmete kaitset, eelkõige direktiivis 95/46/EÜ, Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määruses (EÜ) nr 45/2001 (üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta) (4) ja Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivis 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (5) sätestatud kujul.

(37)	Käesolev raamotsus ei piira andmetele ebaseaduslikku juurdepääsu käsitlevate eeskirjade kohaldamist, mis on sätestatud nõukogu 24. veebruari 2005. aasta raamotsuses 2005/222/JSK (infosüsteemide vastu suunatud rünnete kohta). (6)

(38)	Käesolev raamotsus ei piira kolmandate riikidega sõlmitud kahepoolsete ja/või mitmepoolsete lepingutega liikmesriikidele või liidule pandud kehtivate kohustuste täitmist. Edasised lepingud peaksid vastama eeskirjadele, mis käsitlevad teabevahetust kolmandate riikidega.

(39)

Mitmed Euroopa Liidu lepingu VI jaotise alusel vastu võetud õigusaktid sisaldavad nende õigusaktide kohaselt vahetatavate või muul viisil töödeldavate isikuandmete kaitset käsitlevaid erisätteid. Mõnel juhul moodustavad need sätted täieliku ja tervikliku eeskirjade kogumi, mis hõlmab kõiki andmekaitse asjakohaseid aspekte (andmete kvaliteedi põhimõtted, andmete turvalisus, andmesubjekti õiguste ja kaitse reguleerimine, järelevalve ja vastutuse korraldus), ning nad reguleerivad neid küsimusi üksikasjalikumalt kui käesolev raamotsus. Käesolev raamotsus ei tohiks mõjutada nende õigusaktide asjakohaseid andmekaitset käsitlevaid sätteid, eelkõige neid, mis reguleerivaid Europoli, Eurojusti, Schengeni infosüsteemi (SIS) ja tolliinfosüsteemi (CIS) toimimist ning millega kehtestatakse liikmesriigi ametiasutustele otsene juurdepääs teise liikmesriigi teatavatele andmesüsteemidele. Sama kehtib ka nende andmekaitset käsitlevate sätete puhul, mis reguleerivad DNA profiilide, sõrmejälgede andmete ja riiklike sõidukite registreerimisandmete automatiseeritud edastamist liikmesriikide vahel vastavalt nõukogu 23. juuni 2008. aasta otsusele 2008/615/JSK (piiriülese koostöö tõhustamise kohta, eelkõige seoses terrorismi- ja piiriülese kuritegevuse vastase võitlusega). (7)

(40)

Muudel juhtudel on Euroopa Liidu lepingu VI jaotise alusel vastu võetud õigusaktides sisalduvate andmekaitset käsitlevate sätete kohaldamisala piiratum. Sageli nähakse nendega ette eritingimused liikmesriigile, kes saab teiselt liikmesriigilt isikuandmeid sisaldavat teavet, millisel eesmärgil ta neid andmeid kasutada võib, ent teiste andmekaitse aspektide osas osutatakse Euroopa Nõukogu 28. jaanuari 1981. aasta konventsioonile üksikisikute kaitse kohta isikuandmete automatiseeritud töötlemisel või siseriiklikule õigusele. Kuna nende õigusaktide sätted, millega kehtestatakse andmeid vastuvõtvale liikmesriigile isikuandmete kasutamise või edastamise tingimused, on käesoleva raamotsuse vastavates sätetes sisalduvatest tingimustest piiravamad, ei tohiks käesolev raamotsus ka esimesena nimetatud sätteid mõjutada. Kõikide muude aspektide osas peaks aga kohaldama käesolevas raamotsuses kehtestatud eeskirju.

(41)	Raamotsus ei mõjuta Euroopa Nõukogu konventsiooni üksikisikute kaitse kohta isikuandmete automatiseeritud töötlemisel, selle konventsiooni 8. novembri 2001. aasta lisaprotokolli ega kriminaalasjades tehtavat õigusalast koostööd käsitlevaid Euroopa Nõukogu konventsioone.

(42)

Kuna käesoleva raamotsuse eesmärki, nimelt ühtsete eeskirjade määratlemist isikuandmete kaitsmiseks nende töötlemisel kriminaalasjades tehtava politsei- ja õigusalase koostöö raames, ei suuda liikmesriigid piisavalt saavutada ning seetõttu on seda meetme ulatuse ja toime tõttu parem saavutada liidu tasandil, võib nõukogu võtta meetmeid kooskõlas Euroopa Ühenduse asutamislepingu artiklis 5 sätestatud ja Euroopa Liidu lepingu artiklis 2 osutatud subsidiaarsuse põhimõttega. Euroopa Ühenduse asutamislepingu artiklis 5 sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev raamotsus kaugemale sellest, mis on vajalik nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(43)

Ühendkuningriik osaleb käesolevas raamotsuses Euroopa Liidu lepingule ja Euroopa Ühenduse asutamislepingule lisatud Schengeni acquis’ Euroopa Liitu integreerimist käsitleva protokolli artikli 5 ning nõukogu 29. mai 2000. aasta otsuse 2000/365/EÜ (Suurbritannia ja Põhja-Iiri Ühendkuningriigi taotluse kohta osaleda teatavates Schengeni acquis’ sätetes) (8) artikli 8 lõike 2 kohaselt.

(44)

Iirimaa osaleb käesolevas raamotsuses Euroopa Liidu lepingule ja Euroopa Ühenduse asutamislepingule lisatud Schengeni acquis’ Euroopa Liitu integreerimist käsitleva protokolli artikli 5 ning nõukogu 28. veebruari 2002. aasta otsuse 2002/192/EÜ (Iirimaa taotluse kohta osaleda teatavates Schengeni acquis’ sätetes) (9) artikli 6 lõike 2 kohaselt.

(45)

Islandi ja Norra puhul kujutab käesolev raamotsus endast Schengeni acquis’ nende sätete edasiarendamist Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (mis käsitleb nimetatud kahe riigi ühinemist Schengeni acquis’ sätete rakendamise, kohaldamise ja edasiarendamisega) (10) tähenduses, mis kuuluvad nimetatud lepingu teatavaid rakenduseeskirju käsitleva nõukogu aasta otsuse 1999/437/EÜ (11) artikli 1 punktides H ja I osutatud valdkonda.

(46)

Šveitsi puhul kujutab käesolev raamotsus endast Schengeni acquis’ nende sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ sätete rakendamise, kohaldamise ja edasiarendamisega) (12) tähenduses, mis kuuluvad otsuse 1999/437/EÜ artikli 1 punktides H ja I osutatud valdkonda, koostoimes Euroopa Ühenduse nimel allakirjutamist käsitleva nõukogu otsuse 2008/149/JSK (13) artikliga 3.

(47)

Liechtensteini puhul kujutab käesolev otsus endast Schengeni acquis’ nende sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahelise protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega) tähenduses, mis kuuluvad otsuse 1999/437/EÜ artikli 1 punktides H ja I osutatud valdkonda, koostoimes protokolli Euroopa Liidu nimel allkirjastamist käsitleva nõukogu otsuse 2008/262/JSK (14) artikliga 3.

(48)	Käesolevas raamotsuses austatakse põhiõigusi ja peetakse kinni eelkõige Euroopa Liidu põhiõiguste hartaga (15) tunnustatud põhimõtetest. Käesoleva raamotsuse eesmärk on täielikult tagada harta artiklites 7 ja 8 kajastatud õigus eraelu puutumatusele ja isikuandmete kaitsele,

ON VASTU VÕTNUD KÄESOLEVA RAAMOTSUSE:

Artikkel 1

Eesmärk ja reguleerimisala

1. Käesoleva raamotsuse eesmärk on tagada füüsiliste isikute põhiõiguste ja -vabaduste, eelkõige nende õiguse eraelu puutumatusele, kõrgetasemeline kaitse isikuandmete töötlemisel Euroopa Liidu lepingu VI jaotises sätestatud kriminaalasjades tehtava politsei- ja õigusalase koostöö raames, tagades seejuures avaliku julgeoleku kõrge taseme.

2. Käesoleva raamotsuse kohaselt kaitsevad liikmesriigid füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige nende õigust eraelu puutumatusele, kui kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täideviimise eesmärgil

a)	isikuandmeid edastatakse või edastati liikmesriikidele või tehakse või tehti nende vahel kättesaadavaks;

b)	liikmesriigid edastavad või edastasid isikuandmeid ametiasutustele või Euroopa Liidu lepingu VI jaotise kohaselt loodud infosüsteemidele või teevad või tegid isikuandmed neile kättesaadavaks, või

c)	isikuandmeid edastatakse või edastati või tehakse kättesaadavaks või tehti kättesaadavaks liikmesriikide pädevatele asutustele Euroopa Liidu lepingu või Euroopa Ühenduse asutamislepingu kohaselt loodud asutuste või infosüsteemide kaudu.

3. Käesolevat raamotsust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda.

4. Käesoleva raamotsusega ei piirata riigi julgeoleku olulisi huve ega riigi julgeolekuga seotud luuretegevust.

5. Käesoleva raamotsusega ei välistata liikmesriikide poolt siseriiklikul tasandil kogutavate või töödeldavate isikuandmete suhtes selliste kaitsemeetmete kehtestamist, mis on käesolevas raamotsuses isikuandmete kaitseks kehtestatud kaitsemeetmetest rangemad.

Artikkel 2

Mõisted

Käesolevas raamotsuses kasutatakse järgmisi mõisteid:

„isikuandmed” – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt”) kohta; tuvastatav isik on isik, keda saab otseselt või kaudselt kindlaks teha, eelkõige identifitseerimisnumbri põhjal või ühe või mitme tema füüsilise, füsioloogilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine” ja „töötlemine” – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks andmete kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringute teostamine, kasutamine, üleandmine, levitamine või muul moel kättesaadavaks tegemine, ühitamine või ühendamine, blokeerimine, kustutamine või hävitamine;

c)	„blokeerimine” – salvestatud isikuandmete markeerimine eesmärgiga piirata nende edaspidist töötlemist;

d)	„isikuandmete kataloog” ja „kataloog” – kõik isikuandmete korrastatud kogumid, millest võib andmeid saada teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsetel või geograafilistel põhimõtetel hajutatud;

e)	„volitatud töötleja” – mis tahes organ, kes töötleb isikuandmeid vastutava töötleja nimel;

f)	„vastuvõtja” – mis tahes organ, kellele andmed avaldatakse;

g)	„andmesubjekti nõusolek” – iga vabatahtlik, konkreetne ja teadlik tahteavaldus, millega andmesubjekt annab nõusoleku töödelda tema kohta käivaid isikuandmeid;

„pädevad asutused” – Euroopa Liidu lepingu VI jaotise kohaselt vastuvõetud nõukogu õigusaktide alusel asutatud asutused või organid ning liikmesriikide politsei-, tolli-, õigus- ja teised pädevad asutused, keda on siseriiklike õigusaktidega volitatud töötlema käesoleva raamotsuse reguleerimisalasse kuuluvaid isikuandmeid;

i)	„vastutav töötleja” – füüsiline või juriidiline isik, avaliku võimu organ, agentuur või mis tahes muu asutus, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid;

j)	„markeerimine” – salvestatud isikuandmete markeerimine piiramata nende edaspidist töötlemist;

„anonüümseks muutma” – isikuandmete selline muutmine, mille tulemusel ei ole enam võimalik tuvastada isiklike või materiaalsete asjaolude üksikasjade seost tuvastatud või tuvastatava füüsilise isikuga või see on võimalik üksnes ebaproportsionaalselt suure aja-, rahalise ja tööjõukulu kasutamise abil.

Artikkel 3

Seaduslikkuse, proportsionaalsuse ja eesmärgipärasuse põhimõtted

1. Pädevad asutused võivad isikuandmeid koguda oma ülesannete raames üksnes konkreetsetel, selgelt kindlaksmääratud ja õiguspärastel eesmärkidel ning neid võib töödelda üksnes samal eesmärgil, milleks andmeid koguti. Andmete töötlemine on seaduslik ja piisav, asjakohane ning ei tohi ületada kogumise eesmärgi piire.

2. Teisel eesmärgil asetleidev täiendav töötlemine on lubatud üksnes juhul, kui

a)	see ei ole vastuolus andmete kogumise eesmärkidega;

b)	pädevad asutused on volitatud töötlema selliseid andmeid sellisel teisel eesmärgil kooskõlas kohaldatavate õigusnormidega ning

c)	töötlemine on teise eesmärgi jaoks vajalik ja proportsionaalne.

Samuti võivad pädevad asutused edastatud isikuandmeid täiendavalt töödelda ajaloo, statistika või teadusega seotud eesmärkidel, eeldusel et liikmesriigid näevad ette vajalikud kaitsemeetmed, näiteks andmete anonüümseks muutmise.

Artikkel 4

Parandamine, kustutamine ja blokeerimine

1. Isikuandmeid parandatakse, kui need on ebatäpsed, ning neid täiendatakse või ajakohastatakse, kui see on võimalik ja vajalik.

2. Isikuandmed kustutatakse või muudetakse anonüümseks, kui need ei ole nende seadusliku kogumise või täiendava seadusliku töötlemise eesmärgil enam vajalikud. Käesoleva sättega ei mõjutata kõnealuste andmete arhiveerimist asjakohaseks ajavahemikuks eraldi andmekogumis vastavalt siseriiklikule õigusele.

3. Isikuandmed blokeeritakse nende kustutamise asemel, kui on põhjendatult alust arvata, et andmete kustutamine võib mõjutada andmesubjekti õiguspäraseid huve. Blokeeritud andmeid tohib töödelda üksnes sel eesmärgil, mis takistas nende kustutamist.

4. Kui isikuandmed sisalduvad kohtuotsuses või kohtuotsuse tegemisega seonduvas dokumendis, siis andmed parandatakse, kustutatakse või blokeeritakse vastavalt kohtumenetlust käsitlevatele siseriiklikele õigusnormidele.

Artikkel 5

Kustutamise ja läbivaatamise tähtaegade kehtestamine

Kehtestatakse isikuandmete kustutamise või nende säilitamisvajaduse perioodilise läbivaatamise asjakohased tähtajad. Nimetatud tähtaegade järgimise tagamiseks kehtestatakse menetluslikud meetmed.

Artikkel 6

Andmete eriliikide töötlemine

Selliste isikuandmete töötlemine, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumise ning tervisliku seisundi või seksuaalelu, on lubatud üksnes juhul, kui see on hädavajalik ning kui siseriikliku õigusega on tagatud piisavad kaitsemeetmed.

Artikkel 7

Automatiseeritud üksikotsused

Andmesubjektile kahjulike õiguslike tagajärgedega või märkimisväärse mõjuga otsuse, mis toetub ainult selliste andmete automatiseeritud töötlemisele, mille eesmärk on anda hinnang andmesubjekti teatavatele isikuomadustele, tegemine on lubatav üksnes juhul, kui seda võimaldab seadus, mis ühtlasi kehtestab piisavad meetmed andmesubjekti õigustatud huvide tagamiseks.

Artikkel 8

Edastatavate või kättesaadavaks tehtavate andmete kvaliteedi kontrollimine

1. Pädevad asutused võtavad kõik mõistlikud meetmed tagamaks, et ebatäpseid, mittetäielikke või aegunud isikuandmeid ei edastata ega tehta kättesaadavaks. Sel eesmärgil kontrollivad pädevad asutused võimaluse korral isikuandmete kvaliteeti enne nende edastamist või kättesaadavaks tegemist. Andmete edastamisel lisatakse võimaluse korral olemasolev teave, mis võimaldab andmeid vastuvõtval liikmesriigil hinnata täpsuse, täielikkuse, ajakohasuse ja usaldusväärsuse taset. Kui isikuandmeid ei edastatud taotluse alusel, peab andmeid vastuvõttev asutus viivitamatult kontrollima, kas need andmed on vajalikud sel eesmärgil, milleks neid edastati.

2. Kui ilmneb, et edastatud on ebaõigeid andmeid või andmeid on edastatud ebaseaduslikult, tuleb vastuvõtjat sellest viivitamata teavitada. Andmed tuleb viivitamatult parandada, kustutada või blokeerida kooskõlas artikliga 4.

Artikkel 9

Tähtajad

1. Andmete edastamisel või nende kättesaadavaks tegemisel võib andmeid edastav asutus siseriikliku õiguse piires ning vastavalt artiklitele 4 ja 5 teha teatavaks andmete säilitamise tähtajad, mille lõppedes peab andmete vastuvõtja andmed kustutama, blokeerima või vaatama läbi, kas andmed on jätkuvalt vajalikud. Seda nõuet ei kohaldata, kui nimetatud tähtaegade lõppedes vajatakse andmeid käimasolevaks kuritegude uurimiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täideviimiseks.

2. Kui andmeid edastav asutus ei ole tähtaegu lõike 1 kohaselt teatavaks teinud, kohaldatakse vastuvõtva liikmesriigi siseriikliku õiguse kohaselt esitatud andmete säilitamisel artiklites 4 ja 5 osutatud tähtaegu.

Artikkel 10

Registreerimine ja dokumenteerimine

1. Isikuandmete igasugune edastamine tuleb registreerida või dokumenteerida, et kontrollida andmete töötlemise seaduslikkust, läbi viia sisekontroll ning tagada andmete nõuetekohane terviklikkus ja turvalisus.

2. Lõike 1 kohaselt koostatud registrid või dokumendid tuleb vastava taotluse korral edastada pädevale järelevalveasutusele, et kontrollida andmekaitset. Pädev järelevalveasutus kasutab seda teavet ainult andmekaitse kontrollimiseks ning nõuetekohase andmetöötluse, andmete terviklikkuse ja turvalisuse tagamiseks.

Artikkel 11

Teiselt liikmesriigilt saadud või tema poolt kättesaadavaks tehtud isikuandmete töötlemine

Teise liikmesriigi pädevalt asutuselt saadud või tema poolt kättesaadavaks tehtud isikuandmeid võib vastavalt artikli 3 lõikes 2 sätestatud nõuetele täiendavalt töödelda üksnes järgmistel, edastamise või kättesaadavaks tegemise eesmärkidest erinevatel eesmärkidel:

a)	kuritegude ennetamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täideviimiseks, kui tegemist pole nende kuritegudega, millega seoses isikuandmeid edastati või kättesaadavaks tehti;

b)	muude kohtu- ja haldusmenetluste läbiviimiseks, mis on otseselt seotud kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmisega või kriminaalkaristuste täideviimisega;

c)	avalikku korda ähvardava tõsise ja vahetu ohu ennetamiseks või

d)	mis tahes muul eesmärgil ja üksnes andmeid edastava liikmesriigi eelneva nõusoleku korral või andmesubjekti nõusoleku korral, mis on antud kooskõlas siseriikliku õigusega.

Artikkel 12

Andmete töötlemise riiklike piirangute järgimine

1. Kui andmeid edastava liikmesriigi õiguse kohaselt kohaldatakse erijuhtudel selle liikmesriigi pädevate asutuste vahelise andmevahetuse suhtes töötlemise eripiiranguid, teavitab andmeid edastav asutus vastuvõtjat sellistest eripiirangutest. Vastuvõtja tagab töötlemise eripiirangutest kinnipidamise.

2. Lõike 1 kohaldamisel ei kohalda liikmesriigid teistele liikmesriikidele või Euroopa Liidu lepingu VI jaotise kohaselt asutatud asutustele või organitele andmete edastamise suhtes muid piiranguid peale nende, mida kohaldatakse sarnase siseriikliku andmeedastuse suhtes.

Artikkel 13

Andmete edastamine kolmanda riigi pädevale asutusele või rahvusvahelisele organile

1. Liikmesriigid sätestavad, et teise liikmesriigi pädeva asutuse edastatud või kättesaadavaks tehtud isikuandmeid võib edastada kolmandatele riikidele või rahvusvahelistele organitele üksnes juhul, kui

a)	see on vajalik kuritegude ennetamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täideviimiseks;

b)	kolmanda riigi andmeid vastuvõttev asutus või vastuvõttev rahvusvaheline organ vastutab kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täideviimise eest;

c)	liikmesriik, kellelt andmed on saadud, on andnud nõusoleku andmete edastamiseks oma siseriikliku õiguse kohaselt, ning

d)	asjaomane kolmas riik või rahvusvaheline organ tagab kavandatava andmetöötluse piisaval tasemel kaitse.

2. Lõike 1 punkti c kohaselt andmete edastamine ilma eelneva nõusolekuta on lubatav ainult juhul, kui andmete edastamine on äärmiselt vajalik liikmesriigi või kolmanda riigi avalikku korda või liikmesriigi olulisi huve ähvardava vahetu ja tõsise ohu vältimiseks ning kui eelnevat nõusolekut ei ole võimalik saada õigeaegselt. Nõusoleku andmise eest vastutavat asutust teavitatakse sellest viivitamata.

3. Erandina lõike 1 punktist d võib isikuandmeid edastada, kui

andmeid edastava liikmesriigi õigusega nähakse seda ette

i)	andmesubjekti õiguspäraste erihuvide tõttu või

ii)	ülekaalukate õiguspäraste huvide, eelkõige oluliste üldiste huvide tõttu või

b)	kolmas riik või andmeid vastuvõttev rahvusvaheline organ pakub tagatisi, mida asjaomane liikmesriik peab oma siseriikliku õiguse kohaselt piisavateks.

4. Lõike 1 punktis d osutatud kaitsemeetmete piisava taseme hindamisel võetakse arvesse kõiki andmete edastamistoimingute või edastamistoimingute kogumi asjaolusid. Tähelepanu pööratakse eelkõige andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele, andmete päritolu riigile ning andmete lõpliku sihtkoha riigile või rahvusvahelisele organile, kõnealuses kolmandas riigis või kõnealuse rahvusvahelise organi suhtes kehtivatele nii üldistele kui ka konkreetse sektori õigusnormidele ja kohaldatavatele ametieeskirjadele ja turvameetmetele.

Artikkel 14

Andmete edastamine liikmesriigi eraisikule

1. Liikmesriigid sätestavad, et teise liikmesriigi pädevalt asutuselt saadud või tema poolt kättesaadavaks tehtud isikuandmeid võib edastada eraisikule üksnes juhul, kui

a)	liikmesriigi pädev asutus, kellelt andmed saadi, on andnud vastavalt oma siseriiklikule õigusele nõusoleku andmete edastamiseks;

b)	andmesubjekti õiguspärased erihuvid ei takista edastamist ning

erijuhtudel on andmete edastamine äärmiselt vajalik pädevale asutusele, kes edastab andmeid eraisikule

i)	temale seaduslikult antud ülesande täitmiseks;

ii)	kuritegude ennetamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele võtmiseks või kriminaalkaristuste täideviimiseks;

iii)	avalikku korda ähvardava tõsise ja vahetu ohu ennetamiseks või

iv)	isikute õiguste tõsise rikkumise vältimiseks.

2. Andmeid eraisikule edastav pädev asutus teavitab sellist isikut andmete kasutamise ainueesmärkidest.

Artikkel 15

Teabe esitamine pädeva asutuse taotlusel

Vastuvõtja teatab taotluse korral isikuandmeid edastanud või neid kättesaadavaks teinud pädevale asutusele, kuidas isikuandmeid töödeldakse.

Artikkel 16

Teave andmesubjektile

1. Liikmesriigid tagavad, et nende pädevad asutused teavitavad andmesubjekti isikuandmete kogumisest või töötlemisest kooskõlas siseriikliku õigusega.

2. Kui liikmesriigid on üksteisele edastanud või kättesaadavaks teinud isikuandmed, võib iga liikmesriik kooskõlas lõikes 1 osutatud siseriikliku õiguse sätetega paluda teisel liikmesriigil andmesubjekti mitte teavitada. Sellisel juhul ei teavita viimasena nimetatud liikmesriik andmesubjekti teise liikmesriigi eelneva nõusolekuta.

Artikkel 17

Õigus tutvuda andmetega

1. Igal andmesubjektil on õigus saada sobivate ajavahemike järel tehtud taotluste korral piiranguteta ja liigsete viivituste või kulutusteta:

volitatud töötajalt või siseriiklikult järelevalveasutuselt vähemalt kinnitust selle kohta, kas teda puudutavad andmed on edastatud või tehtud kättesaadavaks, ning teavet vastuvõtjate või vastuvõtjate kategooriate kohta, kellele andmeid on avalikustatud, ning teavet selle kohta, milliseid andmeid töödeldakse, või

b)	siseriiklikult järelevalveasutuselt vähemalt kinnitust, et on teostatud kõik vajalikud kontrollid.

2. Liikmesriigid võivad võtta vastu seadusandlikke meetmeid, millega piiratakse lõike 1 punkti a kohast juurdepääsu teabele, kui selline piirang kujutab endast asjaomase isiku õigustatud huvisid nõuetekohaselt arvesse võttes vajalikku ja proportsionaalset meedet:

a)	teenistuslike või õiguslike uurimiste, uuringute või menetluste takistamise vältimiseks;

b)	kuritegude ennetamise, uurimise, avastamise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täideviimise kahjustamise vältimiseks;

c)	avaliku korra kaitseks;

d)	riigi julgeoleku kaitseks;

e)	andmesubjekti kaitseks või teiste isikute õiguste ja vabaduste kaitseks.

3. Andmesubjektile teatatakse juurdepääsu võimaldamisest keeldumisest või juurdepääsu piiramisest kirjalikult. Samal ajal teatatakse talle ka nimetatud otsuse aluseks olevad faktilised või õiguslikud põhjused. Viimase teatamise võib ära jätta, kui selleks on olemas põhjus vastavalt lõike 2 punktidele a–e. Kõigil sellistel juhtudel teavitatakse andmesubjekti sellest, et ta võib esitada kaebuse pädevale riiklikule järelevalveasutusele, õigusasutusele või kohtule.

Artikkel 18

Õigus parandada, kustutada või blokeerida

1. Andmesubjektil on õigus eeldada, et vastutav töötleja täidab vastavalt artiklitele 4, 8 ja 9 käesolevast raamotsusest tulenevaid ülesandeid seoses isikuandmete parandamise, kustutamise või blokeerimisega. Liikmesriigid näevad ette, kas andmesubjekt võib saada sellele õigusele kinnitust otse vastutavalt töötlejalt või pädeva riikliku järelevalveameti vahendusel. Kui vastutav töötleja keeldub parandamisest, kustutamisest või blokeerimisest, tuleb sellest andmesubjektile kirjalikult teatada, teavitades teda siseriiklikus õiguses sätestatud võimalustest kaebuse esitamiseks või õiguskaitsevahendite kasutamiseks. Kaebuse või õiguskaitsevahendi taotluse läbivaatamisel teatatakse andmesubjektile, kas vastutav töötleja käitus nõuetekohaselt või mitte. Liikmesriigid võivad samuti sätestada, et pädev riiklik järelevalveamet teatab andmesubjektile läbivaatamise toimumisest.

2. Kui andmesubjekt eitab isikuandmete õigsust ning kui nende täpsust või ebatäpsust ei ole võimalik kindlaks teha, kohaldatakse nimetatud isikuandmete suhtes viitamist.

Artikkel 19

Õigus hüvitisele

1. Kõigil isikutel, kellele on tekitatud kahju ebaseadusliku töötlemisega või käesoleva raamotsuse rakendamiseks vastu võetud siseriiklike õigusnormidega vastuolus oleva toimingu tagajärjel, on õigus saada volitatud töötajalt või mõnelt muult siseriikliku õiguse alusel pädevalt asutuselt hüvitist tekitatud kahju eest.

2. Kui liikmesriigi pädev asutus on edastanud isikuandmeid, ei saa vastuvõtja (vastutuse kontekstis, mis tal siseriikliku õiguse kohaselt kannatanu ees on) enda kaitseks väita, et edastatud andmed olid ebatäpsed. Kui vastuvõtja tasub hüvitise ebaõigelt edastatud andmete kasutamisest põhjustatud kahju eest, hüvitab andmeid edastav pädev asutus vastuvõtjale kahjutasuna makstud summad, võttes arvesse vastuvõtja kõiki võimalikke vigu.

Artikkel 20

Õiguskaitsevahendid

Andmesubjektil on õigus kasutada õiguskaitsevahendeid, kui on rikutud õigusi, mis talle on antud kohaldatava siseriikliku õigusega, ilma et see piiraks ühegi sellise haldusõigusliku kaitsevahendi kohaldamist, mis võib olla ette nähtud enne küsimuse suunamist kohtule.

Artikkel 21

Töötlemise konfidentsiaalsus

1. Iga käesoleva raamotsuse reguleerimisalasse kuuluvatele isikuandmetele juurdepääsu omav isik võib kõnealuseid andmeid töödelda üksnes juhul, kui nimetatud isik on pädeva asutuse liige või tegutseb pädeva asutuse juhiste alusel, välja arvatud juhul, kui töötlemise kohustus tuleneb seadusest.

2. Isikud, kes töötavad liikmesriigi pädeva asutuse heaks, on kohustatud järgima kõiki andmekaitsenõudeid, mida kõnealuse pädeva asutuse suhtes kohaldatakse.

Artikkel 22

Töötlemise turvalisus

1. Liikmesriigid näevad ette, et pädevad asutused rakendavad kohaseid tehnilisi ja organisatsioonilisi meetmeid, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävimise, juhusliku kadumise, muutmise, loata avalikustamise ja neile juurdepääsu eest, eelkõige juhul, kui töötlemine hõlmab andmete edastamist võrgu kaudu või andmete kättesaadavaks tegemist otsese automatiseeritud juurdepääsu teel, ning mis tahes muu ebaseadusliku töötlemise eest, võttes eelkõige arvesse töötlemise ja kaitstavate isikuandmete laadiga kaasnevaid riske. Võttes arvesse tehnika taset ja selliste meetmete elluviimise kulusid, peavad kõnealused meetmed tagama töötlemise ja kaitstavate andmete laadiga kaasnevatele riskidele vastava turvalisuse taseme.

2. Iga liikmesriik rakendab andmete automaattöötlust käsitlevaid meetmeid, mis on kavandatud selleks, et

a)	keelata kõrvaliste isikute pääs isikuandmete töötlemiseks kasutatavate andmetöötlusseadmete juurde (töövahenditele juurdepääsu kontroll);

b)	hoida ära andmekandjate loata lugemine, kopeerimine, muutmine või eemaldamine (andmekandjate kontroll);

c)	hoida ära isikuandmete sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine ilma vastava loata (säilitamise kontroll);

d)	hoida ära automatiseeritud andmetöötlussüsteemi kasutamine andmesidevahendite abil isikute poolt, kellel puudub selleks luba (kasutajate kontroll);

e)	tagada, et automatiseeritud andmetöötlussüsteemi kasutamisluba omavatel isikutel oleks juurdepääs ainult nendele andmetele, mida hõlmab nende juurdepääsuluba (juurdepääsu kontroll);

f)	tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud, millistele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll);

g)	tagada võimalus hiljem tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt need sisestati (sisestamise kontroll);

h)	hoida ära isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal (transpordi kontroll);

i)	tagada, et paigaldatud süsteeme on võimalik katkestuse korral taastada (taastamine);

j)	tagada, et süsteem toimib, et selle ilmnevatest toimimisvigadest teatatakse (töökindlus), ja et säilitatavaid andmeid ei ole võimalik süsteemi rikete abil moonutada (ehtsus).

3. Liikmesriigid näevad ette, et töötlejad võib määrata üksnes juhul, kui nad tagavad lõike 1 kohaste vajalike tehniliste ja organisatsiooniliste meetmete ning artikli 21 kohaste juhiste järgimise. Pädev asutus teostab selles osas järelevalvet töötleja üle.

4. Töötleja võib andmeid töödelda üksnes õigusakti või kirjaliku lepingu alusel.

Artikkel 23

Eelnev konsulteerimine

Liikmesriigid tagavad, et pädevate riiklike järelevalveasutustega konsulteeritakse enne selliste isikuandmete töötlemist, mis moodustavad osa uuest loodavast kataloogist, kus:

a)	töödeldakse artiklis 6 osutatud andmete eriliike või

b)	töötlemise laad, eelkõige uute tehnoloogiate, mehhanismide või menetluste kasutamine toob endaga vastasel juhul kaasa konkreetse ohu andmesubjekti põhiõigustele ja -vabadustele, eelkõige tema eraelu puutumatusele.

Artikkel 24

Karistused

Liikmesriigid võtavad sobivaid meetmeid, et tagada käesoleva raamotsuse sätete täielik rakendamine, ja sätestavad eelkõige tõhusad, proportsionaalsed ja hoiatavad karistused, mida määratakse käesoleva raamotsuse kohaselt vastuvõetud sätete rikkumise korral.

Artikkel 25

Riiklikud järelevalveasutused

1. Iga liikmesriik näeb ette ühe või mitu ametiasutust, kes vastutavad tema territooriumil käesoleva direktiivi kohaselt liikmesriikide poolt vastu võetud sätete kohaldamise nõustamise ja järelevalve eest. Kõnealused asutused tegutsevad neile usaldatud ülesannete täitmisel täiesti sõltumatult.

2. Igal sellisel asutusel on eelkõige:

a)	uurimisvolitus, näiteks volitus tutvuda töödeldavate andmetega ja koguda oma järelevalvekohustuse täitmiseks vajalikku teavet;

tõhus sekkumisvolitus, näiteks avaldada arvamust enne töötlemise alustamist ja tagada selliste arvamuste asjakohane avalikustamine, anda korraldus andmete blokeerimiseks, kustutamiseks või hävitamiseks, keelata töötlemine ajutiselt või alaliselt, hoiatada vastutavat töötlejat või teha talle märkus või suunata küsimus riigi parlamenti või teistesse poliitilistesse institutsioonidesse;

c)	volitus olla kohtus menetlusosaline, kui käesoleva raamotsuse kohaselt vastu võetud siseriikliku õiguse norme on rikutud, või juhtida kõnealusele rikkumisele õigusasutuste tähelepanu. Kui järelevalveasutuse otsustega ei olda rahul, võib need edasi kaevata kohtusse.

3. Iga järelevalveasutus vaatab läbi kõigi isikute esitatud kaebused nende õiguste ja vabaduste kaitse kohta seoses isikuandmete töötlemisega. Andmesubjektile teatatakse kaebuse tagajärgedest.

4. Liikmesriigid näevad ette, et järelevalveasutuse liikmete ja töötajate suhtes kehtivad kõnealuse pädeva asutuse suhtes kohaldatavad andmekaitsesätted ning et nad peavad isegi pärast töösuhte lõppemist järgima ametisaladuse hoidmise kohustust konfidentsiaalse teabe suhtes, millele neil on juurdepääs.

Artikkel 26

Suhe kolmandate riikidega sõlmitud lepingutega

Käesolev raamotsus ei piira ühegi kohustuse ja kokkuleppe täitmist, mis on pandud liikmesriikidele või liidule kolmandate riikidega sõlmitud ja käesoleva raamotsuse vastuvõtmise ajal jõus olevate kahepoolsete ja/või mitmepoolsete lepingutega.

Nende lepingute kohaldamisel järgitakse teiselt liikmesriigilt saadud isikuandmed kolmandale riigile edastamisel kas artikli 13 lõike 1 punkti c või lõike 2 sätteid.

Artikkel 27

Hindamine

1. 27. novembriks 2013 annavad liikmesriigid komisjonile aru meetmetest, mis nad on võtnud käesoleva raamotsuse täieliku järgimise tagamiseks ning eelkõige seoses sätetega, mida tuleb järgida juba andmete kogumisel. Komisjon uurib eelkõige nende sätete mõju käesoleva raamotsuse reguleerimisalale, mis on sätestatud artikli 1 lõikes 2.

2. Komisjon esitab Euroopa Parlamendile ja nõukogule ühe aasta jooksul aruande lõikes 1 osutatud hindamise tulemuste kohta ning lisab aruandele käesoleva raamotsuse asjakohased muudatusettepanekud.

Artikkel 28

Seos varem vastu võetud liidu õigusaktidega

Juhul kui õigusaktidega, mis on vastu võetud Euroopa Liidu lepingu VI jaotise kohaselt enne käesoleva raamotsuse jõustumise kuupäeva ja millega reguleeritakse liikmesriikide vahelist isikuandmete vahetust või liikmesriigi määratud asutuste juurdepääsu Euroopa Ühenduse asutamislepingu kohaselt loodud infosüsteemidele, on kehtestatud eritingimused, mis käsitlevad andmete kasutamist neid vastuvõtva liikmesriigi poolt, siis on nimetatud tingimused ülimuslikud käesoleva raamotsuse nende sätete suhtes, mis käsitlevad teiselt liikmesriigilt saadud või tema poolt kättesaadavaks tehtud andmeid.

Artikkel 29

Rakendamine

1. Liikmesriigid võtavad käesoleva raamotsuse sätete järgimiseks vajalikud meetmed enne 27. novembrit 2010.

2. Liikmesriigid edastavad samaks kuupäevaks nõukogu peasekretariaadile ja komisjonile nende sätete teksti, millega võetakse siseriiklikku õigusse üle käesolevast raamotsusest tulenevad kohustused, ning artiklis 25 osutatud järelevalveasutust käsitleva teabe. Nimetatud teabe alusel koostatud komisjoni aruande põhjal hindab nõukogu enne 27. novembrit 2011, millises ulatuses on liikmesriigid järginud käesoleva raamotsuse sätteid.

Artikkel 30

Jõustumine

Käesolev raamotsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Brüssel, 27. november 2008

Nõukogu nimel

eesistuja

M. ALLIOT-MARIE

(1) ELT C 125 E, 22.5.2008, lk 154.

(2) ELT C 198, 12.8.2005, lk 1.

(3) EÜT L 281, 23.11.1995, lk 31.

(4) EÜT L 8, 12.1.2001, lk 1.

(5) EÜT L 201, 31.7.2002, lk 37.