Neuvoston perustelut: neuvoston ensimmäisen käsittelyn kanta (EU) N:o 6/2016 Euroopan parlamentin ja neuvoston asetuksen antamiseksi luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

(2016/C 159/02)

I   JOHDANTO

Komissio esitti 25. tammikuuta 2012 kattavan tietosuojauudistuksen, joka sisälsi seuraavat:

Euroopan parlamentti vahvisti ensimmäisen käsittelyn kantansa yleistä tietosuoja-asetusta koskevaan ehdotukseen 12. maaliskuuta 2014 (asiak. 7427/14).

Neuvosto sopi yleisnäkemyksestä 15. kesäkuuta 2015 ja antoi puheenjohtajavaltiolle neuvotteluvaltuudet kolmikantaneuvotteluihin Euroopan parlamentin kanssa (asiak. 9565/15).

Euroopan parlamentti vahvisti 17. joulukuuta 2015 kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan tasolla ja neuvosto puolestaan 18. joulukuuta 2015 pysyvien edustajien komitean tasolla yhteisymmärryksen kompromissiehdotuksesta, joka perustuu kolmikantaneuvotteluihin.

Neuvosto pääsi istunnossaan 12. helmikuuta 2016 asetusehdotuksesta poliittiseen yhteisymmärrykseen (asiak. 5455/15). Neuvosto vahvisti 8. huhtikuuta 2016 ensimmäisen käsittelyn kantansa. Kanta vastaa täysin asetuksen kompromissitekstiä, josta sovittiin epävirallisissa neuvotteluissa neuvoston ja Euroopan parlamentin kesken.

Talous- ja sosiaalikomitea antoi asetuksesta lausunnon vuonna 2012 (EUVL C 229, 31.7.2012, s. 90).

Alueiden komitea antoi asetuksesta lausunnon (EUVL C 391, 18.12.2012, s. 127).

Euroopan tietosuojavaltuutettua kuultiin, ja hän antoi ensimmäisen lausunnon vuonna 2012 (EUVL C 192, 30.6.2012, s. 7) ja toisen lausunnon vuonna 2015 (EUVL C 301, 12.9.2015, s. 1–8).

Perusoikeusvirasto antoi lausunnon 1. lokakuuta 2012.

II   TAVOITE

Yleisellä tietosuoja-asetuksella yhdenmukaistetaan tietosuojasäännöt Euroopan unionissa. Asetuksen tavoitteina on vahvistaa yksilöiden tietosuojaoikeuksia, helpottaa henkilötietojen vapaata liikkuvuutta sisämarkkinoilla ja vähentää hallinnollista rasitetta.

III   NEUVOSTON ENSIMMÄISEN KÄSITTELYN KANNAN ANALYSOINTI

A.    Yleisiä huomautuksia

Ottaen huomioon Eurooppa-neuvoston tavoitteen varmistaa tietosuojauudistusta koskeva yhteisymmärrys vuoden 2015 loppuun mennessä Euroopan parlamentti ja neuvosto ovat käyneet epävirallisia neuvotteluja kantojensa lähentämiseksi. Yleistä tietosuoja-asetusta koskevassa neuvoston ensimmäisen käsittelyn kannassa on otettu täysin huomioon neuvoston ja Euroopan parlamentin saavuttama kompromissi, joka saatiin aikaan Euroopan komission avustuksella.

Neuvoston ensimmäisen käsittelyn kannassa pidetään voimassa direktiivin 95/46/EY tavoitteet: tietosuojaoikeuksien suojaaminen ja tietojen vapaa liikkuvuus. Samalla sillä pyritään mukauttamaan voimassa olevia tietosuojasääntöjä ottaen huomioon käsiteltyjen henkilötietojen määrä, joka kasvaa jatkuvasti teknologisen kehityksen ja globalisaation johdosta. Jotta asetuksessa otettaisiin tulevaisuuden vaatimukset huomioon, neuvoston ensimmäisen käsittelyn kannassa olevat tietosuojasäännöt ovat teknologianeutraaleja.

Jotta voitaisiin varmistaa yksilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, neuvoston ensimmäisen käsittelyn kannassa esitetään laajalti yhtenäiset säännöt, jotka ovat suoraan sovellettavissa kaikkialla unionissa. Tällä yhdenmukaistamisella poistetaan hajanaisuus, joka johtuu siitä, että lait, joilla jäsenvaltiot ovat panneet direktiivin 95/46 täytäntöön, eroavat toisistaan. Jotta kuitenkin otettaisiin huomioon tietojenkäsittelyyn liittyvien erityistilanteiden vaatimukset – myös julkisen sektorin osalta – neuvoston ensimmäisen käsittelyn kannassa jäsenvaltioille suodaan mahdollisuus täsmentää asetuksessa säädettyjen tietosuojasääntöjen soveltamista kansallisessa lainsäädännössään.

Henkilötietojen suoja on Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdassa vahvistettu perusoikeus. Lisäksi Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklassa määrätään, että jokaisella on kansalaisuudestaan tai asuinpaikastaan riippumatta oikeus henkilötietojensa suojaan ja että olisi annettava sääntöjä tätä tarkoitusta ja henkilötietojen vapaata liikkuvuutta varten. Näin ollen neuvoston ensimmäisen käsittelyn kannassa vahvistetaan periaatteet ja säännöt, jotka koskevat yksilöiden suojelua henkilötietojen käsittelyssä.

Asetuksen tavoitteiden saavuttamiseksi neuvoston ensimmäisen käsittelyn kannassa lisätään (henkilötietojen käsittelyn tarkoitusten ja keinojen määrittelystä vastaavien) rekisterinpitäjien ja (henkilötietojen käsittelystä rekisterinpitäjän puolesta vastaavien) henkilötietojen käsittelijöiden vastuuvelvollisuutta todellisen tietosuojakulttuurin edistämiseksi. Tätä taustaa vasten koko asetuksessa on otettu käyttöön riskiperusteinen lähestymistapa, jonka avulla rekisterinpitäjien ja henkilötietojen käsittelijöiden velvoitteet voidaan mukauttaa niiden suorittaman tietojenkäsittelyn riskeihin. Lisäksi käytännesäännöt ja sertifiointimekanismit edistävät tietosuojasääntöjen noudattamista. Tämä lähestymistapa ehkäisee liian ohjailevia sääntöjä ja vähentää hallinnollista taakkaa heikentämättä sääntöjen noudattamista. Lisäksi mahdollisesti määrättävien seuraamusten varoitusvaikutus luo rekisterinpitäjille kannustimia noudattaa asetusta.

Neuvoston ensimmäisen käsittelyn kannassa esitetyissä uusissa tietosuojasäännöissä myös lujitetaan kansalaisten oikeuksia ja taataan niiden täytäntöönpanokelpoisuus. Tämä parantaa yksilöiden mahdollisuuksia valvoa henkilötietojaan, mikä lisää luottamusta rajatylittäviin verkkopalveluihin ja siten edistää digitaalisia sisämarkkinoita. Erityisesti lapsia on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä tai omista oikeuksistaan.

Lisäksi neuvoston ensimmäisen käsittelyn kannassa parannetaan valvontaviranomaisten riippumattomuutta ja samalla yhdenmukaistetaan niiden tehtäviä ja toimivaltaa. Säännöillä, jotka koskevat yhteistyötä valvontaviranomaisten kesken ja tarvittaessa komission kanssa rajatylittävissä tapauksissa – yhdenmukaisuusmekanismilla – edistetään asetuksen yhdenmukaista soveltamista kaikkialla Euroopan unionissa. Tämä lisää oikeusvarmuutta ja keventää hallinnollista taakkaa. Lisäksi yhden luukun järjestelmä tarjoaa rekisterinpitäjille ja henkilötietojen käsittelijöille niiden rajatylittävien käsittelyjen osalta ainoan yhteystahon, mukaan lukien hiljattain perustetun Euroopan tietosuojaneuvoston antamat sitovat päätökset kiistatapauksissa. Tämä mekanismi lisää asetuksen soveltamisen johdonmukaisuutta. Sitä paitsi se lisää oikeusvarmuutta ja keventää hallinnollista taakkaa.

Lopuksi neuvoston ensimmäisen käsittelyn kannassa vahvistetaan kattava kehys henkilötietojen siirroille Euroopan unionista kolmansissa maissa tai kansainvälisissä järjestöissä oleville vastaanottajille; tähän sisältyy uusia välineitä direktiiviin 95/46/EY verrattuna.

B.    Keskeiset kysymykset

Neuvosto ja Euroopan parlamentti lähensivät epävirallisissa neuvotteluissa Euroopan komission avustuksella neuvoston yleisnäkemyksessä ja parlamentin ensimmäisen käsittelyn kannassa ilmaistuja kantojaan. Yleistä tietosuoja-asetusta koskevassa neuvoston ensimmäisen käsittelyn kannassa on otettu täysin huomioon aikaansaadut kompromissit. Neuvoston ensimmäisen käsittelyn kannan keskeiset kysymykset esitetään jäljempänä.

1.    Soveltamisala

1.1.   Asetuksen aineellinen soveltamisala ja rajaukset suhteessa tietosuojadirektiiviin

Neuvoston ensimmäisen käsittelyn kannan mukaan yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat osan tai joiden on tarkoitus muodostaa osa mistä tahansa jäsennellystä henkilötietoja sisältävästä tietojoukosta, josta tiedot ovat saatavilla tietyin perustein. Yleisen tietosuoja-asetuksen aineellinen soveltamisala ja lainvalvonta-alan tietosuojadirektiivin soveltamisala ovat toisensa poissulkevia. Tekstissä täsmennetään, että asetusta ei sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Tämä rajaus antaa lainvalvontaviranomaisille ja erityisesti poliisille mahdollisuuden soveltaa pääsääntöisesti direktiivin tietosuojajärjestelmää ja varmistaa samalla lainvalvontaoperaatioiden kohteena oleville yksilöille yhdenmukainen ja korkeatasoinen henkilötietojen suoja.

1.2.   EU:n toimielimet ja elimet

Jotta voidaan varmistaa rekisteröityjen yhtenäinen ja johdonmukainen suoja henkilötietojen käsittelyssä, neuvoston ensimmäisen käsittelyn kannassa todetaan, että yleisen tietosuoja-asetuksen hyväksymisen jälkeen olisi tehtävä tarvittavat muutokset EU:n toimielimiin, elimiin ja laitoksiin sovellettavaan asetukseen (EY) N:o 45/2001, jotta sitä voidaan alkaa soveltaa samaan aikaan kuin yleistä tietosuoja-asetusta.

1.3.   Kotitalouksia koskeva poikkeus

Jotta vältettäisiin sellaisten sääntöjen asettaminen, joista aiheutuisi tarpeetonta rasitusta yksilöille, neuvoston ensimmäisen käsittelyn kannassa esitetään, että asetusta ei sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn, joka liittyy yksinomaan henkilökohtaiseen tai kotitaloutta koskevaan toimintaan, joka ei näin ollen ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan.

1.4.   Alueellinen soveltamisala

Neuvoston ensimmäisen käsittelyn kannassa luodaan rekisterinpitäjille ja henkilötietojen käsittelijöille tasapuoliset toimintaedellytykset alueellisen soveltamisalan suhteen ottamalla huomioon kaikki rekisterinpitäjät ja henkilötietojen käsittelijät riippumatta siitä, ovatko ne sijoittautuneet unioniin vai ei.

Ensinnäkin asetuksessa määritetään, että tietosuojasääntöjä sovelletaan henkilötietojen käsittelyyn, jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa toiminnan yhteydessä, riippumatta siitä, suoritetaanko käsittely unionin alueella vai ei. Toiseksi, jotta yksilöt eivät jäisi vaille tietosuojaa, asetusta sovelletaan unionissa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn silloinkin, kun rekisterinpitäjä tai henkilötietojen käsittelijä ei ole sijoittautunut unioniin, jos sen käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa, sekä näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu Euroopan unionissa. Lisäksi soveltamisalan määritteleminen tällä tavoin parantaa oikeusvarmuutta sekä rekisterinpitäjien että rekisteröityjen eli yksilöiden, joiden henkilötietoja käsitellään, kannalta.

Neuvoston ensimmäisen käsittelyn kannassa varmistetaan, että rekisteröidyille ja valvontaviranomaisille on yhteyspiste EU:ssa, jos rekisterinpitäjät tai henkilötietojen käsittelijät eivät ole sijoittautuneet unioniin, mutta kuuluvat asetuksen soveltamisalan piiriin: niiden on kirjallisesti nimettävä edustaja unionin aluetta varten. Tarpeettoman hallinnollisen taakan välttämiseksi tätä velvoitetta ei sovelleta käsittelyyn, joka ei todennäköisesti aiheuta riskiä yksilöiden oikeuksille ja vapauksille, eikä asianomaisen kolmannen maan viranomaisen tai julkishallinnon elimen suorittamaan tietojenkäsittelyyn.

2.    Henkilötietojen käsittelyn periaatteet

Tietosuojaperiaatteita sovelletaan kaikkiin tietoihin, jotka koskevat tunnistettavissa olevaa tai tunnistettua luonnollista henkilöä, myös tietoihin, joita ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei tällaista yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu (pseudonymisoiminen). Suhteessa direktiivissä 95/46 oleviin henkilötietojen käsittelyperiaatteisiin asetuksessa on paljolti pyritty jatkuvuuteen. Tietojen minimoinnin periaatetta on kuitenkin mukautettu siten, että siinä otetaan digitaalinen todellisuus huomioon ja pyritään luomaan tasapaino henkilötietojen suojan ja rekisterinpitäjien tietojenkäsittelymahdollisuuksien välillä.

3.    Henkilötietojen käsittelyn lainmukaisuus

3.1.   Lainmukaisuuden edellytykset

Oikeusvarmuuden turvaamiseksi neuvoston ensimmäisen käsittelyn kanta perustuu direktiiviin 95/46, sillä siinä täsmennetään, että henkilötietojen käsittely on lainmukaista ainoastaan, jos vähintään yksi seuraavista edellytyksistä täyttyy:

Kahta edellytyksistä on syytä selkeyttää edelleen: suostumusta ja rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamista.

3.1.1.   Suostumus

Jotta rekisteröidyn henkilötietoja voidaan käsitellä, hän voi antaa suostumuksensa tietojen käsittelyyn selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen hyväksyntä henkilötietojensa käsittelyyn. Suostumus kattaa kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus on annettava kaikkia käsittelytarkoituksia varten. Lisäksi rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Suostumusta ei sen vuoksi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen käsitteen rajaaminen takaa jatkuvuuden suhteessa unionin säännöstöön, joka on kehittynyt tämän käsitteen direktiiviin 95/46/EY perustuvan käytön pohjalta, ja samalla edistää sitä, että suostumuksen käsite ymmärretään samalla tavoin ja sitä sovelletaan yhdenmukaisesti kaikkialla Euroopan unionissa.

Lisäksi rekisteröidyn tietosuojaoikeuksien turvaamiseksi täsmennetään, että jos rekisteröity on antanut suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, mikään kyseisen ilmoituksen osista, joka rikkoo asetusta, ei ole sitova. Arvioitaessa suostumuksen vapaaehtoisuutta on myös otettava mahdollisimman kattavasti huomioon muun muassa se, onko sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaiseen käsittelyyn, joka ei ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Lopuksi, jotta voidaan sallia poikkeukset yleisestä kiellosta käsitellä erityisiä henkilötietoryhmiä, neuvoston ensimmäisen käsittelyn kannassa esitetään sille korkeampaa kynnystä kuin muulle käsittelylle, koska rekisteröidyn on annettava nimenomainen suostumuksensa tällaisten arkaluonteisten henkilötietojen käsittelyyn.

Neuvoston ensimmäisen käsittelyn kannassa esitetään lasten antaman suostumuksen osalta erityistä suojajärjestelyä, kun on kyse tietoyhteiskunnan palvelujen tarjoamisesta. Jos lapsi on iältään alle 16 vuoden enimmäisiän, hänen henkilötietojensa käsittely on lainmukaista, jos käytettävissä oleva teknologia huomioon ottaen on kohtuudella mahdollista tarkistaa, että lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen. Jäsenvaltioilla, jotka katsovat alemman iän asianmukaisemmaksi, on oikeus vahvistaa alempi enimmäisikä, kunhan se on vähintään 13 vuotta.

3.1.2.   Rekisterinpitäjän oikeutetut edut

Henkilötietojen käsittely voi olla lainmukaista, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut eivät kuitenkaan ole riittävä peruste lainmukaiselle käsittelylle, jos henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Oikeutetun edun olemassaolo edellyttää arviointia muun muassa siitä, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että tietoja voidaan käsitellä tätä tarkoitusta varten. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna. Koska lainsäätäjän tehtävä on vahvistaa lailla oikeusperusta, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, edellä sanottua ei sovelleta viranomaisten tehtäviensä yhteydessä suorittamaan henkilötietojen käsittelyyn.

3.2.   Yksityiskohtaiset jäsenvaltioiden säännöt asetuksen soveltamisen mukauttamiseksi

Neuvoston ensimmäisen käsittelyn kannassa jäsenvaltioille annetaan mahdollisuus pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä mukauttaakseen asetuksessa vahvistettujen sääntöjen soveltamista, jos henkilötietoja käsitellään lakisääteisen velvoitteen noudattamiseksi tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Lisäksi on säädetty poikkeuksia, erityisvaatimuksia ja muita toimenpiteitä, jotka liittyvät erityisiin käsittelytoimiin, joilla jäsenvaltiot sovittavat yhteen henkilötietojen suojaa koskevan oikeuden ja sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden, virallisten asiakirjojen julkisuuteen, kansallisten henkilötunnusten käsittelemiseen, käsittelyyn työsuhteen yhteydessä ja käsittelyyn yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten.

3.3.   Myöhempi käsittely

Neuvoston ensimmäisen käsittelyn kannassa esitetään, että henkilötietojen käsittely muuhun tarkoitukseen kuin siihen, jota varten tiedot on alun perin kerätty, on lainmukaista ainoastaan, jos kyseinen myöhempi käsittely on yhteensopivaa niiden tarkoitusten kanssa, joita varten tietoja alun perin käsiteltiin. Jos rekisteröity kuitenkin on antanut suostumuksensa tai käsittely perustuu unionin tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen, jolla pyritään turvaamaan erityisesti yleisiin julkisiin etuihin liittyviä tärkeitä tavoitteita, rekisterinpitäjälle sallitaan henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Rekisteröidyn oikeuksia on vahvistettu myöhemmän käsittelyn osalta, erityisesti siltä osin kuin on kyse oikeudesta saada tietoja ja oikeudesta vastustaa tällaista myöhempää käsittelyä, jos käsittely ei ole tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän on otettava huomioon muun muassa alkuperäisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidylle ja asianmukaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.

3.4.   Erityisiä henkilötietoryhmiä koskeva käsittely

Henkilötietoja, jotka ovat erityisen arkaluonteisia, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voi aiheuttaa huomattavia riskejä yksilöiden perusoikeuksille ja -vapauksille. Tämän vuoksi yleissääntönä on, että neuvoston ensimmäisen käsittelyn kannassa säilytetään direktiivissä 95/46 esitetty lähestymistapa erityisten henkilötietoryhmien käsittelyn kieltämiseen.

Poiketen tästä säännöstä tietyissä tyhjentävästi luetelluissa tilanteissa arkaluonteisten tietojen käsittely on sallittua, esimerkiksi jos rekisteröity on antanut nimenomaisen suostumuksensa, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä tai jos käsittely on tarpeen muista syistä, muun muassa terveyden alalla.

Lopuksi neuvoston ensimmäisen käsittelyn kannassa esitetään, että jäsenvaltiot voivat ottaa käyttöön lisäehtoja, kuten rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Nämä lisäehdot eivät saa kuitenkaan haitata vapaata tiedonkulkua unionissa.

4.    Rekisteröityjen vaikutusmahdollisuuksien lisääminen

4.1.   Johdanto

Neuvoston ensimmäisen käsittelyn kannassa lisätään rekisteröityjen vaikutusmahdollisuuksia antamalla heille vahvistettuja tietosuojaoikeuksia ja asettamalla velvoitteita rekisterinpitäjille. Rekisteröidyn oikeuksiin kuuluu oikeus saada tietoja, oikeus saada pääsy henkilötietoihin, oikeus henkilötietojen oikaisemiseen ja poistamiseen mukaan lukien oikeus tulla unohdetuksi, oikeus tietojenkäsittelyn rajoittamiseen, oikeus tietojen siirrettävyyteen, oikeus vastustaa tietojen käsittelyä ja oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin. Oikeudet, joihin on tehty merkittäviä muutoksia verrattuna direktiiviin 95/46, käsitellään tarkemmin jäljempänä.

Rekisterinpitäjillä on velvollisuus helpottaa rekisteröityjen oikeuksien käyttöä ja käsitellä henkilötietoja avoimuusperiaatteen mukaisesti erityisesti antamalla tietoa suorittamastaan henkilötietojen käsittelystä.

Jos rekisterinpitäjä ei kuitenkaan pysty tunnistamaan rekisteröityä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjällä ei ole velvoitetta hankkia lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä.

Näistä rekisteröityjen oikeuksista ja rekisterinpitäjien velvoitteista huolimatta neuvoston ensimmäisen käsittelyn kannassa säilytetään direktiivin 95/46 lähestymistapa mahdollistamalla yleisten periaatteiden ja yksilön oikeuksien rajoittaminen, jos tällainen rajoitus perustuu unionin tai jäsenvaltion lainsäädäntöön. Tällaisten rajoitusten on noudatettava keskeisiltä osin perusoikeuksia ja -vapauksia, ja niiden on oltava tarpeellisia ja oikeasuhteisia demokraattisessa yhteiskunnassa tiettyjen yleisten etujen suojaamiseksi.

4.2.   Avoimuus

Avoimuusperiaatteen mukaisesti rekisterinpitäjien on toimitettava tiedot ja ilmoitukset henkilötietojen käsittelystä tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa.

Neuvoston ensimmäisen käsittelyn kannassa esitetään lisäksi määräajat rekisterinpitäjälle osoitetuille tietopyynnöille tai rekisterinpitäjän viesteille tai muulle toiminnalle, jonka on pääsääntöisesti oltava maksutonta. Jos rekisteröidyn pyynnöt kuitenkin ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimen toteuttamisesta aiheutuvat hallinnolliset kustannukset tai rekisterinpitäjä voi kieltäytyä toteuttamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

4.3.   Rekisterinpitäjän vastuulla oleva tiedotus ja viestintä

Jotta saataisiin tasapainotettua riittävien tietojen antaminen rekisteröidyille heidän henkilötietojensa käsittelystä ja rekisterinpitäjille rasitusta aiheuttavien velvoitteiden välttäminen, neuvoston ensimmäisen käsittelyn kannassa esitetään kaksivaiheista lähestymistapaa sen varmistamiseksi, että rekisteröidyt saavat asianmukaiset tiedot sekä silloin, kun henkilötietoja kerätään rekisteröidyltä, että silloin, kun henkilötietoja ei ole saatu rekisteröidyltä. Ensimmäisessä vaiheessa rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle asetuksessa luetellut tiedot. Toisessa vaiheessa rekisterinpitäjän on toimitettava asetuksessa luetellut lisätiedot, jotka ovat tarpeen oikeudenmukaisen ja tehokkaan käsittelyn varmistamiseksi. Rekisterinpitäjien on myös ilmoitettava rekisteröidyille, jos ne aikovat myöhemmin käsitellä henkilötietoja eri tarkoitukseen kuin siihen, johon henkilötiedot alun perin kerättiin.

Rekisterinpitäjällä ei ole velvoitetta toimittaa ensimmäisen eikä toisen vaiheen osalta lueteltuja tietoja, jos rekisteröidyllä on jo nämä tiedot. Silloin, kun henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjä ei saa antaa rekisteröidylle mitään tietoja siinä tapauksessa, että lainsäädännössä nimenomaisesti säädetään henkilötietojen tallentamisesta tai luovuttamisesta muille osapuolille tai kun tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa.

Lopuksi rekisterinpitäjillä on velvollisuus ilmoittaa kaikista oikaisuista, poistoista tai käsittelyn rajoituksista jokaiselle vastaanottajalle, jolle henkilötietoja on luovutettu, paitsi jos tämä osoittautuu mahdottomaksi tai vaatii kohtuutonta vaivaa. Lisäksi rekisterinpitäjän on ilmoitettava rekisteröidylle näistä vastaanottajista, jos rekisteröity sitä pyytää.

4.4.   Kuvakkeet

Avoimen käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista. Tätä taustaa vasten neuvoston ensimmäisen käsittelyn kannassa esitetään, että rekisteröidylle toimitettavat tiedot voidaan antaa yhdistettynä vakiomuotoisiin kuvakkeisiin. Rekisterinpitäjät voivat vapaaehtoisesti päättää, onko tällaisten vakiomuotoisten kuvakkeiden käyttö hyödyllistä niiden suorittaman henkilötietojen käsittelyn kannalta. Kuvakkeilla olisi annettava suunnitellusta käsittelystä mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Kuvakkeet on toimitettava samanaikaisesti kuin itse tiedot. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa. Kuvakkeiden standardoidun käytön edistämiseksi EU:ssa asetuksella siirretään komissiolle valta antaa delegoituja säädöksiä, joilla määritetään kuvakkeilla annettavat tiedot sekä menettelyt, joilla standardoituja kuvakkeita tarjotaan käyttöön. Euroopan tietosuojaneuvoston on annettava lausunto komission ehdottamista kuvakkeista. Mahdollisuus antaa delegoituja säädöksiä ei estä Euroopan tietosuojaneuvostoa antamasta kuvakkeita koskevia suuntaviivoja, lausuntoja ja parhaita käytänteitä.

4.5.   Oikeus saada pääsy tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy asetuksessa lueteltuihin tietoihin. Tämän vuoksi asetuksessa täsmennetään, että rekisterinpitäjän on toimitettava maksutta jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. Oikeus saada jäljennös ei saa aiheuttaa vahinkoa muiden oikeuksille ja vapauksille.

4.6.   Oikeus poistaa tiedot ("oikeus tulla unohdetuksi")

Neuvoston ensimmäisen käsittelyn kannassa rekisteröidyille annetaan oikeus poistattaa itseään koskevat henkilötiedot, jos tietojen käsittely ei ole tämän asetuksen tai rekisterinpitäjään sovellettavan unionin tai jäsenvaltion lainsäädännön mukaista.

Viittauksella "oikeuteen tulla unohdetuksi" otetaan huomioon tarve sovittaa oikeus tietojen poistamiseen erityisesti digitaaliseen ympäristöön. Rekisterinpitäjien, jotka ovat julkistaneet henkilötiedot, jotka rekisteröity haluaa unohdettavan, on toteutettava kohtuulliset toimenpiteet, tekniset toimet mukaan lukien, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille rekisteröidyn pyynnöstä poistaa näitä tietoja koskevat linkit tai näiden tietojen kopiot tai jäljennökset, käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen. Euroopan tietosuojaneuvosto voi antaa suuntaviivoja, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista.

Oikeutta tietojen poistamiseen ja rekisterinpitäjän velvoitetta ilmoittaa muille rekisterinpitäjille pyynnöstä poistaa tiedot ei sovelleta, jos henkilötietojen käsittely on välttämätöntä asetuksessa tyhjentävästi lueteltuja tarkoituksia varten, kuten sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi.

4.7.   Oikeus siirtää tiedot järjestelmästä toiseen

Neuvoston ensimmäisen käsittelyn kannassa todetaan, että kun henkilötietojen käsittely suoritetaan automatisoidusti, rekisteröidyillä on oikeus saada rekisterinpitäjälle toimittamansa itseään koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää nämä tiedot toiselle rekisterinpitäjälle. Lisäksi täsmennetään, että kun se on teknisesti mahdollista, rekisteröidyillä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle. Tämä vahvistaa rekisteröityjen oikeutta valvoa henkilötietojaan. Se myös edistää rekisterinpitäjien välistä kilpailua.

Oikeutta siirtää tiedot järjestelmästä toiseen ei kuitenkaan sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Lisäksi jos tietyssä henkilötietojen kokoelmassa tiedot koskevat useampaa kuin yhtä rekisteröityä, rekisteröidyn oikeus vastaanottaa henkilötietoja ei saa rajoittaa muiden oikeuksia ja vapauksia.

4.8.   Vastustamisoikeus

Tapauksissa, joissa henkilötietoja voitaisiin käsitellä lainmukaisesti, koska käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen vuoksi, rekisteröidyllä on oikeus vastustaa minkä tahansa omaa erityistä tilannettaan koskevien henkilötietojen käsittelyä. Siinä tapauksessa rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos se voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Tämän vuoksi täsmennetään, että jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä. Tähän luetaan mukaan profilointi siltä osin kuin se liittyy tällaiseen suoramarkkinointiin. Profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa kyseisiä tietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen. Lisäksi tämä oikeus on nimenomaisesti ja selvästi saatettava rekisteröidyn tietoon viimeistään silloin, kun henkilötiedoista vastaava rekisterinpitäjä on ensimmäisen kerran yhteydessä rekisteröityyn.

Lisäksi neuvoston ensimmäisen käsittelyn kanta sisältää viittauksen verkossa käytettäviin seurannan estäviin toimintoihin, koska siinä täsmennetään, että tietoyhteiskunnan palvelujen käytön yhteydessä rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen.

4.9.   Automaattisesti tehtävät yksittäispäätökset, mukaan lukien profilointi

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään hänen henkilökohtaisia ominaisuuksiaan arvioivaan automaattiseen käsittelyyn ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Esimerkkejä ovat online-luottohakemuksen automaattinen epääminen tai sähköisen rekrytoinnin käytännöt ilman ihmisen osallistumista. Tällaiseen automaattiseen tietojenkäsittelyyn voi sisältyä myös profilointi. Tätä oikeutta olla joutumatta automaattisen tietojenkäsittelyn kohteeksi ei kuitenkaan sovelleta:

Rekisteröidyn vaikutusmahdollisuuksia lisätään myös siten, että tämän ollessa tarpeen asianmukaisen ja avoimen käsittelyn takaamiseksi rekisterinpitäjällä on velvollisuus antaa rekisteröidylle tieto automaattisen päätöksenteon, kuten profiloinnin olemassaolosta, ja ainakin kyseisissä tapauksissa merkitykselliset tiedot sovelletusta logiikasta sekä tällaisen käsittelyn merkityksestä ja mahdollisista seurauksista rekisteröidyn kannalta.

Lopuksi erityisiin henkilötietoryhmiin perustuva automaattinen päätöksenteko ja profilointi on sallittava vain erityisin ehdoin, mukaan lukien rekisteröidyn oikeus vastustaa tällaista käsittelyä, jos kyseisiä henkilötietoja käsitellään myöhemmin tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Euroopan tietosuojaneuvosto voi antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin profilointiin perustuvien päätösten kriteerit ja edellytykset.

5.    Rekisterinpitäjä ja henkilötietojen käsittelijä

5.1.   Johdanto

Neuvoston ensimmäisen käsittelyn kannassa vahvistetaan oikeudellinen kehys, joka koskee vastuuta rekisterinpitäjän suorittamasta tai henkilötietojen käsittelijän rekisterinpitäjän puolesta suorittamasta henkilötietojen käsittelystä. Tilivelvollisuusperiaatteen mukaisesti rekisterinpitäjä on velvollinen toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet ja sen on voitava osoittaa, että sen suorittamat käsittelytoimet ovat asetuksen mukaisia. Tämän vuoksi asetuksessa vahvistetaan säännöt rekisterinpitäjän velvollisuuksista, jotka liittyvät vaikutustenarviointeihin, kirjanpitoon tietojenkäsittelytoimista, tietoturvaloukkauksiin, tietosuojavastaavan nimittämiseen sekä käytännesääntöihin ja sertifiointimekanismeihin.

5.2.   Vaikutustenarvioinnit

Rekisterinpitäjän vastuulla on toteuttaa tietosuojaa koskeva vaikutustenarviointi, jossa arvioidaan, aiheuttaako käsittely todennäköisesti suuren riskin yksilöiden oikeuksien ja vapauksien kannalta. Neuvoston ensimmäisen käsittelyn kannassa vahvistetaan tapaukset, joissa erityisesti vaaditaan tietosuojaa koskevaa vaikutustenarviointia, kuten tietyt laajamittaiset käsittelytoimet. Jos tällaisen vaikutustenarvioinnin perusteella käsittelytoimiin liittyy suuri riski, jota rekisterinpitäjä ei voi asianmukaisin toimenpitein vähentää käytettävissä olevan tekniikan ja toteuttamiskustannusten suhteen, valvontaviranomaista on kuultava ennen tietojenkäsittelyä. Valvontaviranomainen voi sen jälkeen antaa ohjeet rekisterinpitäjälle ja käyttää kaikkia valtuuksiaan.

Euroopan tietosuojaneuvosto voi antaa suuntaviivoja sellaisia käsittelytoimia varten, jotka todennäköisesti aiheuttavat suuren riskin yksilöiden oikeuksille ja vapauksille, ja ilmoittaa, mitkä toimenpiteet voivat tällaisissa tilanteissa olla riittäviä mahdollisen riskin torjumiseksi.

5.3.   Seloste käsittelytoimista

Valvontaviranomaisen jälkitarkastusten mahdollistamiseksi rekisterinpitäjän tai rekisterinpitäjän mahdollisen edustajan tai henkilötietojen käsittelijän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista, tietoturvaloukkaukset mukaan lukien. Hallinnollisen rasitteen vähentämiseksi selosteen ylläpitovelvoite ei koske yrityksiä tai järjestöjä, joissa on alle 250 työntekijää, paitsi jos niiden suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröityjen oikeuksille ja vapauksille, jos käsittely ei ole satunnaista tai jos käsittely kohdistuu arkaluonteisiin tietoihin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.

5.4.   Tietoturvaloukkaukset

Henkilötietojen tietoturvaloukkauksesta voi aiheutua henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten tietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. Neuvoston ensimmäisen käsittelyn kannassa esitetään, että rekisterinpitäjien on ilmoitettava tietoturvaloukkauksista valvontaviranomaisille, paitsi jos tietoturvaloukkaus ei todennäköisesti vaaranna yksilöiden oikeuksia ja vapauksia. Niiden on myös tiedotettava asianomaisille rekisteröidyille niistä tietoturvaloukkauksista, jotka todennäköisesti aiheuttavat korkean riskin. Valvontaviranomaisille tehty ilmoitus antaa näille mahdollisuuden puuttua asiaan tarvittaessa. Lisäksi tiedonanto asianomaiselle rekisteröidylle antaa tälle mahdollisuuden toteuttaa varotoimenpiteitä.

Hallinnollisen taakan vähentämiseksi neuvoston ensimmäisen käsittelyn kannassa sovelletaan eritasoisia kynnyksiä valvontaviranomaiselle ja asianomaiselle rekisteröidylle ilmoittamisen suhteen niin, että rekisteröidylle tehtävien ilmoitusten kynnys on korkeampi kuin valvontaviranomaisille tehtävien ilmoitusten. Rekisterinpitäjien on heti saatuaan tietää, että henkilötietojen tietoturvaloukkaus on tapahtunut, ilmoitettava siitä toimivaltaiselle valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan viimeistään 72 tunnin kuluttua sen ilmitulosta. Rekisterinpitäjät voivat kuitenkin olla tekemättä ilmoitusta, mikäli ne voivat osoittaa, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu yksilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Rekisterinpitäjät ovat joitakin poikkeuksia lukuun ottamatta velvollisia ilmoittamaan tietoturvaloukkauksesta asianomaisille rekisteröidyille ilman aiheetonta viivytystä, jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin kyseisten rekisteröityjen oikeuksille ja vapauksille.

Euroopan tietosuojaneuvosto voi antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, jotka koskevat tietoturvaloukkausten toteamista ja sen määrittämistä, kuinka pitkä on aiheeton viivytys sen jälkeen, kun rekisterinpitäjä on saanut tietää tietoturvaloukkauksesta, ja niitä erityisiä olosuhteita, joissa rekisterinpitäjää vaaditaan ilmoittamaan henkilötietojen tietoturvaloukkauksesta, sekä olosuhteita, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille.

5.5.   Tietosuojavastaava

Tietosuojavastaavan nimittämisen tarkoituksena on parantaa asetuksen noudattamista. Näin ollen tietosuojavastaavan on oltava henkilö, jolla on tietosuojalainsäädännön ja alan käytänteiden erityisasiantuntemusta, ja hänen on autettava rekisterinpitäjää tai henkilötietojen käsittelijää valvomaan tämän asetuksen noudattamista tällaisen käsittelyn yhteydessä. Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella. On myös mahdollista nimittää yksi ainoa tietosuojavastaava, jos kyseessä on konserni tai jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen. Neuvoston ensimmäisen käsittelyn kannassa esitetään, että tietosuojavastaavan nimittäminen on pakollista, jos:

5.6.   Käytännesäännöt ja sertifiointimekanismit

Neuvoston ensimmäisen käsittelyn kannassa kannustetaan soveltamaan käytännesääntöjä ja suositellaan tietosuojaa koskevien sertifiointimekanismien sekä tietosuojasinettien ja -merkkien laajempaa käyttöä. Nämä aloitteet edistävät tietosuojasääntöjen noudattamista samalla kun niissä vältetään liian ohjailevia sääntöjä ja vähennetään täytäntöönpanosta vastaavien viranomaisten kustannuksia. Lisäksi käytännesääntöjen avulla voidaan ottaa tietyillä aloilla suoritettavan käsittelyn erityispiirteet sekä mikroyritysten ja pienten ja keskisuurten yritysten tarpeet paremmin huomioon. Sertifiointimekanismit sekä tietosuojasinetit ja -merkit edistävät omalta osaltaan asetuksen noudattamista, koska rekisteröidyt voivat helposti arvioida asianomaisten tuotteiden ja palvelujen tietosuojan tason.

Neuvoston ensimmäisen käsittelyn kanta sisältää joukon yksityiskohtaisia sääntöjä, jotka koskevat käytännesääntöjä ja sertifiointimekanismeja, tietosuojasinettejä ja -merkkejä, jotka mahdollistavat yksityiset aloitteet suojaten samalla tietosuojanormeja valvontaviranomaisten osallistumisen kautta.

5.6.1.   Käytännesäännöt

Valvontaviranomainen voi hyväksyä käytännesääntöjä tai niiden muutoksia tai laajennuksia. Jos käytännesääntöjen luonnos liittyy käsittelytoimiin useissa eri jäsenvaltioissa, toimivaltaisen valvontaviranomaisen on ennen hyväksymistä toimitettava käytännesääntöjen tai niiden muutoksen tai laajennuksen luonnos Euroopan tietosuojaneuvostolle lausuntoa varten.

Komissio voi antaa täytäntöönpanosäädöksiä, joissa se toteaa, että toimivaltaisen valvontaviranomaisen hyväksymät uudet käytännesäännöt tai voimassa olevien käytännesääntöjen muutokset tai laajennukset ovat yleisesti päteviä unionissa.

Euroopan tietosuojaneuvoston olisi kannustettava käytännesääntöjen laatimista. Sen on myös koottava kaikki hyväksytyt käytännesäännöt ja niihin tehdyt muutokset rekisteriin ja asetettava ne julkisesti saataville asianmukaisilla tavoilla.

5.6.2.   Sertifiointimekanismit, tietosuojasinetit ja -merkit

Neuvoston ensimmäisen käsittelyn kannassa esitetään, että jokaisen jäsenvaltion on säädettävä, kuuluuko sertifiointielinten akkreditointi valvontaviranomaiselle vai kansalliselle akkreditointielimelle. Akkreditoidut sertifiointielimet voivat myöntää sertifioinnin rekisterinpitäjille ja henkilötietojen käsittelijöille toimivaltaisen valvontaviranomaisen tai yhdenmukaisuusmekanismin mukaisesti Euroopan tietosuojaneuvoston hyväksymien kriteerien perusteella. Jälkimmäisessä tapauksessa voidaan Euroopan tietosuojaneuvoston hyväksymien kriteerien perusteella tehdä yhteinen sertifiointi, eurooppalainen tietosuojasinetti. Rekisterinpitäjälle tai henkilötietojen käsittelijälle myönnetään sertifiointi enintään kolmeksi vuodeksi, ja se voidaan uusia. Sertifiointielimen on ilmoitettava valvontaviranomaiselle syyt pyydetyn sertifioinnin myöntämiseen tai peruuttamiseen. Tämän jälkeen valvontaviranomainen voi hylätä kyseisen sertifioinnin tai julistaa sen pätemättömäksi.

Komissiolla on toimivalta antaa delegoituja säädöksiä, joissa täsmennetään tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset. Euroopan tietosuojaneuvoston on annettava lausunto kyseisistä vaatimuksista. Komissio voi myös antaa täytäntöönpanosäädöksiä teknisistä standardeista sertifiointimekanismeja sekä tietosuojasinettejä ja -merkkejä varten ja menettelyistä sertifiointimekanismien sekä tietosuojasinettien ja -merkkien edistämiseksi ja tunnustamiseksi.

Lopuksi Euroopan tietosuojaneuvoston olisi edistettävä tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa.

6.    Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille

6.1.   Johdanto

Kansainväliset henkilötietojen siirrot unionin ulkopuolisiin maihin ja kansainvälisille järjestöille ja sieltä unioniin ovat ratkaisevan tärkeitä maailmanlaajuisen kaupassa ja rajatylittävässä digitaalisessa taloudessa. Unionin takaama suojelun taso ei saa heikentyä, jos EU:n kansalaisten henkilötietoja siirretään unionin ulkopuolelle.

Yleisenä periaatteena on, että henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain, jos rekisterinpitäjät ja henkilötietojen käsittelijät noudattavat tämän asetuksen säännöksiä. Neuvoston ensimmäisen käsittelyn kannassa otetaan täysimääräisesti huomioon Euroopan unionin tuomioistuimen oikeuskäytäntö, mukaan lukien sen 6. lokakuuta 2015 asiassa C-362/14 antama tuomio. Neuvoston kannassa säilytetään ne eri tavat, joilla mahdollistetaan rajatylittävät henkilötietojen siirrot, ja samalla vahvistetaan takeita siitä, että tietosuojaoikeuksia kunnioitetaan. Näitä eri tapoja siirtää henkilötiedot ovat tietosuojan riittävyyttä koskevat päätökset, asianmukaiset suojatoimet ja poikkeukset.

Neuvoston ensimmäisen käsittelyn kannassa selvennetään, että mikä tahansa kolmannen maan tuomioistuimen tuomio tai hallintoviranomaisen päätös, jossa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista, voidaan tunnustaa tai saattaa millään tavoin täytäntöönpanokelpoiseksi vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen. Lisäksi neuvoston ensimmäisen käsittelyn kannassa nimenomaisesti täsmennetään, että tällaiset kansainväliset sopimukset eivät rajoita asetuksessa säädettyjä rajatylittäviä siirtoja koskevia muita perusteita.

6.2.   Tietosuojan riittävyyttä koskevat päätökset

Kansainvälisiä siirtoja voidaan tehdä sillä perusteella, että komissio on tehnyt tietosuojan riittävyyttä koskevan päätöksen siitä, että kyseessä oleva kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö takaa tietosuojan tason, joka pääasiallisesti vastaa unionissa taattua tasoa. Näin oikeusvarmuus ja yhdenmukaisuus varmistetaan kaikkialla unionissa.

Komissio voi päättää kumota tietosuojan riittävyyttä koskevan päätöksen ilmoitettuaan asiasta ja toimitettuaan kattavat perustelut asianomaiselle kolmannelle maalle tai kansainväliselle järjestölle. Komissio antaa tietosuojan tason riittävyyttä koskevat päätökset ja niiden peruuttamista koskevat päätökset täytäntöönpanosäädöksinä. Täytäntöönpanosäädöksessä on säädettävä vähintään joka neljäs vuosi tehtävästä määräaikaistarkastelusta. Komission on seurattava kolmansissa maissa ja kansainvälisissä järjestöissä tapahtuvaa kehitystä, joka saattaa vaikuttaa tietosuojan tason riittävyyttä koskevien päätösten toimivuuteen. Valvoessaan ja toteuttaessaan määräaikaisarviointeja komission olisi otettava huomioon Euroopan parlamentilta ja neuvostolta sekä muilta asiaankuuluvilta elimiltä ja muista lähteistä saadut näkemykset ja löydökset. Asetuksen arvioinnin ja uudelleentarkastelun yhteydessä komission on myös säännöllisin väliajoin raportoitava neuvostolle ja Euroopan parlamentille. Lopuksi Euroopan tietosuojaneuvoston on annettava komissiolle lausunto kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi ja myös sen arvioimiseksi, onko riittävää tietosuojan tasoa enää varmistettu.

Komission direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla antamat päätökset pysyvät voimassa, kunnes niitä muutetaan, ne korvataan tai ne kumotaan komission päätöksellä. Vastaavasti hyväksynnät, jotka jäsenvaltio tai valvontaviranomainen on antanut direktiivin 95/46/EY 26 artiklan 2 kohdan nojalla, ja päätökset, jotka komissio on tehnyt direktiivin 95/46/EY 26 artiklan 4 kohdan nojalla, pysyvät voimassa, kunnes niitä tarvittaessa muutetaan, ne korvataan tai ne kumotaan ensimmäisessä tapauksessa kyseisen valvontaviranomaisen toimesta tai toisessa tapauksessa komission päätöksellä. Neuvoston ensimmäisen käsittelyn kannassa varmistetaan jatkuvuus, mikä luo oikeusvarmuutta.

6.3.   Asianmukaiset suojatoimet

Sen lisäksi, että rajatylittäviä siirtoja voidaan tehdä tietosuojan riittävyyttä koskevien päätösten perusteella, niitä voidaan tehdä myös, jos rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaisia suojatoimia, joilla kompensoidaan kolmannen maan tai kansainvälisen organisaation tietosuojan puutteita. Nämä suojatoimet voivat olla viranomaisten tai julkisten elinten välisiä oikeudellisesti sitovia ja täytäntöönpanokelpoisia välineitä, yritystä koskevia sitovia sääntöjä, komission tai valvontaviranomaisen hyväksymiä tietosuojaa koskevia vakiolausekkeita tai valvontaviranomaisen hyväksymiä sopimuslausekkeita. Kolmannen maan rekisterinpitäjät tai henkilötietojen käsittelijät voivat myös tarjota asianmukaiset suojatoimet henkilötietojen siirtämiseksi kolmansiin maihin tai kansainvälisille järjestöille. Ne voivat tehdä tämän hyväksyttyjen käytännesääntöjen avulla yhdessä sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi joko sopimusperusteisesti tai muulla oikeudellisesti sitovalla tavalla, myös rekisteröityjen oikeuksiin. Ne voivat tehdä tämän myös toimivaltaisen valvontaviranomaisen hyväksymän sertifiointimekanismin avulla yhdessä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovien ja täytäntöönpanokelpoisten sitoumusten kanssa asianmukaisten suojatoimien soveltamiseksi, myös rekisteröityjen oikeuksiin.

6.4.   Poikkeukset

Jos tietosuojan riittävyyttä koskevaa päätöstä tai asianmukaisia suojatoimia ei ole, henkilötietojen siirto tai siirtojen sarja kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa niiden poikkeusten perusteella, jotka luetellaan tyhjentävästi asetuksessa. Yksi näistä poikkeuksista koskee rekisterinpitäjän oikeutettujen etujen toteuttamista silloin, kun rekisteröidyn edut tai oikeudet ja vapaudet eivät syrjäytä kyseisiä etuja. Henkilötietojen rajatylittäviä siirtoja koskevien riittävien suojatoimien takaamiseksi rekisterinpitäjän oikeutetut edut on tiukasti rajattu ja niihin voidaan vedota ainoastaan viimeisenä keinona. Asetuksen yhdenmukaisen soveltamisen takaamiseksi Euroopan tietosuojaneuvoston on omasta aloitteestaan tai komission pyynnöstä laadittava ja tarkistettava suuntaviivoja, suosituksia ja parhaita käytänteitä, jotta voidaan tarkemmin määritellä tietojen siirtoja koskevat kriteerit ja vaatimukset, jos ei ole tehty tietosuojan tason riittävyyttä koskevaa päätöstä tai toteutettu asianmukaisia suojatoimia.

7.    Valvontaviranomaiset

7.1.   Riippumattomuus

Yksilöiden perusoikeuksien ja -vapauksien suojelemiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa kunkin jäsenvaltion on säädettävä siitä, että yksi tai useampi riippumaton viranomainen vastaa asetuksen soveltamisen valvomisesta niiden alueella. Jokaisen valvontaviranomaisen ja sen jäsenten on toimittava täysin riippumattomasti ja lahjomattomasti suorittaessaan tehtäviään ja käyttäessään kyseiselle valvontaviranomaiselle ja sen jäsenille annettuja valtuuksia.

Jokaisen valvontaviranomaisen on myötävaikutettava asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään, Euroopan tietosuojaneuvoston kanssa sekä komission kanssa. Asetuksen yhdenmukainen soveltaminen varmistetaan lisäksi säätämällä valvontaviranomaisten toimivallasta sekä määrittelemällä valvontaviranomaisten tehtävät ja ne tutkintavaltuudet, korjaavat toimivaltuudet sekä hyväksymis- ja neuvontavaltuudet, jotka valvontaviranomaisilla on vähintään oltava.

7.2.   Salassapitovelvollisuus

Neuvoston ensimmäisen käsittelyn kannassa asetetaan salassapitovelvollisuutta koskevia sääntöjä valvontaviranomaisille ja niiden jäsenille. Ensinnäkin kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Tekstissä myös täsmennetään, että heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin yksilöiden tekemiin ilmoituksiin asetuksen rikkomisista. Lisäksi Euroopan tietosuojaneuvostolle annetaan tehtäväksi antaa suuntaviivoja, suosituksia ja parhaita käytänteitä sellaisten yhteisten menettelyjen laatimiseksi, joilla yksilöt voivat ilmoittaa asetuksen rikkomisista.

8.    Yhteistyö ja yhdenmukaisuus

8.1.   Euroopan tietosuojaneuvosto

Neuvoston ensimmäisen käsittelyn kannan mukaan perustetaan Euroopan tietosuojaneuvosto unionin elimeksi, jolla on oikeushenkilöllisyys, jotta voidaan varmistaa asetuksen asianmukainen ja johdonmukainen soveltaminen. Tietosuojaneuvoston toimia ovat erityisesti lausuntojen antaminen, sitovien päätösten tekeminen valvontaviranomaisten välisten kiistojen ratkaisun yhteydessä tai suuntaviivojen antaminen kaikista tämän asetuksen soveltamiseen liittyvistä kysymyksistä asetuksen yhdenmukaisen täytäntöönpanon varmistamiseksi.

Euroopan tietosuojaneuvoston muodostavat yksi valvontaviranomaisen johtaja kustakin jäsenvaltiosta ja Euroopan tietosuojavaltuutettu tai näiden edustajat. Komissiolla on oikeus osallistua Euroopan tietosuojaneuvoston toimintaan ja kokouksiin ilman äänioikeutta. Euroopan tietosuojaneuvoston keskustelut ovat luottamuksellisia tietosuojaneuvoston katsoessa sen tarpeelliseksi työjärjestyksensä mukaisesti.

Jos Euroopan tietosuojaneuvosto tekee sitovan päätöksen kiistojen ratkaisun yhteydessä, Euroopan tietosuojavaltuutetulla on äänioikeus vain päätöksissä, jotka koskevat unionin toimielimiin, elimiin ja laitoksiin sovellettavia periaatteita ja sääntöjä, jotka vastaavat asiasisällöltään tämän asetuksen periaatteita ja sääntöjä.

8.2.   Yhdenmukaisuusmekanismi

Kun on kyse rajatylittävästä henkilötietojen käsittelystä, johon liittyy useampi kuin yksi valvontaviranomainen, yhdenmukaisuusmekanismilla varmistetaan, että tehdään yksi ainoa päätös, joka on sovellettavissa kaikkialla Euroopan unionissa, ja otetaan samalla huomioon asianomaisten eri valvontaviranomaisten näkemykset. Yhdenmukaisuusmekanismi lisää näin ollen rekisteröityjen ja päättävän valvontaviranomaisen läheisyyttä ottamalla 'paikalliset' valvontaviranomaiset mukaan päätöksentekoprosessiin. Lisäksi uudella Euroopan tietosuojaneuvostolla on toimivalta tehdä sitovia päätöksiä eri jäsenvaltioiden valvontaviranomaisten välisissä kiistoissa.

Yhdenmukaisuusmekanismin sääntöjä ei sovelleta, jos käsittelyn suorittavat viranomaiset tai yleisen edun hyväksi toimivat yksityiset elimet. Tällaisissa tapauksissa ainoa toimivaltainen valvontaviranomainen on sen jäsenvaltion valvontaviranomainen, johon viranomainen tai yksityinen elin on sijoittautunut.

Neuvoston ensimmäisen käsittelyn kannassa esitetään, että asetusta koskevan komission arvioinnin yhteydessä on tarkasteltava yhteistyön ja yhdenmukaisuusmekanismin soveltamista.

9.    Oikeussuojakeinot, vastuut ja seuraamukset

Neuvoston ensimmäisen käsittelyn kannassa esitetään joukko yksityiskohtaisia sääntöjä, joiden myötä rekisteröidyillä on mahdollisuus käyttää useita eri oikeussuojakeinoja, muun muassa vaatia korvausta, jos asetuksen rikkomisesta aiheutuu vahinkoa.

9.1.   Oikeus tehdä valitus ja oikeus oikeussuojakeinoihin

Neuvoston ensimmäisen käsittelyn kannassa esitetään, että jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittely ei ole tämän asetuksen mukaista. Lisäksi jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan. Hänellä on myös oikeus tehokkaisiin oikeussuojakeinoihin, jos valvontaviranomainen ei käsittele valitusta tai ei toimita tietoja valituksen etenemisestä tai ratkaisusta.

Lisäksi jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta.

Rekisteröidyn ja kansallisen tuomioistuimen läheisyys on taattu, sillä rekisteröidyllä on oikeus saattaa tietosuojaviranomaisensa päätös kansallisen tuomioistuimensa käsiteltäväksi riippumatta siitä, mihin jäsenvaltioon rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut. Kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Vaihtoehtoisesti tällainen kanne voidaan nostaa sen jäsenvaltion tuomioistuimissa, jossa rekisteröidyn vakinainen asuinpaikka on, paitsi jos rekisterinpitäjä tai henkilötietojen käsittelijä on jäsenvaltion viranomainen, jonka toiminta liittyy sen julkisen vallan käyttöön.

Lopuksi jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on SEUT 263 artiklassa määrätyin edellytyksin oikeus nostaa kumoamiskanne Euroopan unionin tuomioistuimessa Euroopan tietosuojaneuvoston päätöksiä vastaan.

9.2.   Rekisteröityjen edustaminen

Rekisteröidyllä on oikeus valtuuttaa tietyt kriteerit täyttävät, esimerkiksi voittoa tavoittelemattomalta pohjalta tietosuojan alalla toimivat elimet, järjestöt tai yhdistykset tekemään puolestaan valitus ja käyttämään puolestaan oikeussuojakeinoja ja korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä. Näiden erityisten kriteerien tarkoituksena on välttää se, että tietosuojan alalla tulisi tavaksi esittää kaupallisia vaateita. Lisäksi jäsenvaltiot voivat säätää, että millä tahansa tällaisella elimellä, järjestöllä tai yhdistyksellä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa valitus toimivaltaiselle valvontaviranomaiselle ja käyttää oikeussuojakeinoja koskevia oikeuksia, jos se katsoo, että rekisteröidyn oikeuksia on loukattu sen takia, ettei henkilötietojen käsittelyssä ole noudatettu asetusta.

9.3.   Menettelyn keskeyttäminen

Sen välttämiseksi, että saman rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimia koskevaa samaa asiaa tutkitaan eri tuomioistuimissa, mikä tahansa muu toimivaltainen tuomioistuin kuin se, jossa kanne on ensin nostettu, voi keskeyttää menettelynsä tai jonkin asianosaisen pyynnöstä jättää asian tutkimatta.

9.4.   Vastuu ja oikeus korvauksen saamiseen

Neuvoston ensimmäisen käsittelyn kannassa esitetään, että jos rekisteröidylle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus. Jotta rekisteröidyillä olisi mahdollisuus vaatia korvausta vahingosta ja jotta samalla turvattaisiin rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusvarmuus, asetuksessa määritellään niiden vastuut. Jokainen käsittelyyn osallistunut rekisterinpitäjä on vastuussa aiheuttamastaan vahingosta. Henkilötietojen käsittelijä on vastuussa vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti. Rekisterinpitäjä tai henkilötietojen käsittelijä vapautetaan kuitenkin vastuusta, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

Jos samaan tietojenkäsittelyyn osallistuu useampi kuin yksi rekisterinpitäjä tai henkilötietojen käsittelijä taikka rekisterinpitäjä ja henkilötietojen käsittelijä ja jos ne ovat vastuussa käsittelystä aiheutuneesta mahdollisesta vahingosta, kukin rekisterinpitäjä tai henkilötietojen käsittelijä on vastuussa koko vahingosta, jotta voidaan varmistaa, että rekisteröity saa tosiasiallisen korvauksen. Jos kuitenkin rekisterinpitäjä tai henkilötietojen käsittelijä on maksanut täyden korvauksen aiheutuneesta vahingosta, rekisterinpitäjällä tai henkilötietojen käsittelijällä on oikeus periä muilta samaan tietojenkäsittelyyn osallistuneilta rekisterinpitäjiltä tai henkilötietojen käsittelijöiltä se osuus korvauksesta, joka vastaa niiden vastuuta aiheutuneesta vahingosta.

9.5.   Seuraamukset

Asetuksen noudattamisen varmistamiseksi neuvoston ensimmäisen käsittelyn kannassa esitetään, että valvontaviranomaiset voivat määrätä hallinnollisia sakkoja. Näiden sakkojen on oltava tehokkaita, oikeasuhteisia ja varoittavia. Jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin. Sakkojen määräämisen lisäksi valvontaviranomaiset voivat käyttää myös muita korjaavia toimivaltuuksia, kuten varoituksia tai huomautuksia. Yhdenmukaisuuden lisäämiseksi Euroopan tietosuojaneuvoston on laadittava valvontaviranomaisille suuntaviivoja, jotka koskevat valvontaviranomaisen korjaavien toimivaltuuksien soveltamista ja hallinnollisten sakkojen määräämistä.

Neuvoston ensimmäisen käsittelyn kanta sisältää luettelon perusteista, joita valvontaviranomainen käyttää päättäessään siitä, määrätäänkö hallinnollinen sakko vai ei, ja jos näin tehdään, minkä suuruinen sakon olisi oltava. Nämä perusteet koskevat muun muassa asetuksen rikkomisen luonnetta, vakavuutta ja kestoa tai sen tahallisuutta tai tuottamuksellisuutta. Asetuksessa luetellaan sekä rikkomistapaukset että niitä vastaavat hallinnolliset enimmäissakot. Näiden enimmäissakkojen puitteissa valvontaviranomaisen on määritettävä asianmukainen määrä kunkin yksittäisen rikkomistapauksen olosuhteista riippuen. Jotta rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusvarmuus turvattaisiin ja edistettäisiin hallinnollisten sakkojen yhdenmukaistamista unionissa samalla kun säilytetään valvontaviranomaisten harkintavalta, nämä rikkomiset jaetaan kolmeen luokkaan. Ensimmäiseen luokkaan kuuluvissa rikkomisissa, jotka liittyvät rekisterinpitäjien ja henkilötietojen käsittelijöiden velvoitteisiin, voidaan määrätä sakko, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, enintään kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Toisen luokan rikkomisissa, jotka koskevat rekisteröityjen oikeuksien ja yleisten oikeusperiaatteiden loukkaamista, enimmäismäärä on 20 000 000 euroa tai neljä prosenttia liikevaihdosta. Kolmannen luokan rikkomiset koskevat valvontaviranomaisen määräyksen noudattamatta jättämistä, ja myös niissä sakon enimmäismäärä on 20 000 000 euroa tai neljä prosenttia liikevaihdosta.

10.    Tietojenkäsittelyyn liittyvät erityistilanteet

10.1.   Henkilötietojen käsittely ja sananvapaus ja tiedonvälityksen vapaus

Jäsenvaltioiden on lainsäädännöllä sovitettava yhteen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien henkilötietojen käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Avoimuuden varmistamiseksi näiden oikeuksien yhteen sovittamisessa kunkin jäsenvaltion on ilmoitettava komissiolle lainsäädäntönsä asianomaiset säännökset ja kyseisten säännösten muutokset sekä uudet asiaa koskevat säännökset.

10.2.   Käsittely työsuhteen yhteydessä

Jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksilla yksityiskohtaisempia sääntöjä sen varmistamiseksi, että oikeudet ja vapaudet on suojattu työntekijöiden henkilötietojen käsittelyssä työsuhteen yhteydessä.

Näihin sääntöihin on sisällytettävä asianmukaisia ja erityisiä toimenpiteitä rekisteröidyn ihmisarvon, oikeutettujen etujen ja perusoikeuksien suojaamiseksi. Kunkin jäsenvaltion on ilmoitettava komissiolle lainsäädäntönsä asianomaiset säännökset ja kyseisten säännösten muutokset sekä uudet asiaa koskevat säännökset.

10.3.   Yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat suojatoimet ja poikkeukset

Neuvoston ensimmäisen käsittelyn kannassa määritellään erityiset säännöt henkilötietojen käsittelylle yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Näillä säännöillä pyritään sovittamaan yhteen toisaalta henkilötietojen saatavuutta koskeva etu arkistojen ylläpitämistä, tilastojen tuottamista ja tutkimustyötä varten ja toisaalta tietosuojaoikeudet.

Henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten on sovellettava tämän asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Jäsenvaltioille annetaan valtuudet vahvistaa erityisin edellytyksin, joihin sovelletaan rekisteröityjä koskevia asianmukaisia suojatoimia, yksityiskohtaisia vaatimuksia ja poikkeuksia, jotka koskevat tietovaatimuksia, oikeuksia oikaista tai poistaa henkilötiedot sekä tulla unohdetuksi, rajoittaa käsittelyä ja siirtää tiedot järjestelmästä toiseen sekä vastustaa tietojenkäsittelyä, kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten.

Neuvoston ensimmäisen käsittelyn kannassa sallitaan myös poikkeus kieltoon käsitellä arkaluonteisia henkilötietoja, jos on kyse tietojen käsittelystä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Tällainen poikkeus sallitaan, jos kyseinen käsittely perustuu unionin tai jäsenvaltion lainsäädäntöön, edellyttäen että se on oikeasuhtainen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

11.    Aiemmin tehdyt sopimukset

Neuvoston ensimmäisen käsittelyn kannassa täsmennetään, että henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille edellyttävät kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen tämän asetuksen voimaantuloa ja jotka ovat ennen tämän asetuksen voimaantuloa voimassa olleen unionin oikeuden mukaisia, ovat edelleen voimassa, kunnes ne muutetaan, korvataan tai kumotaan. Tämä takaa rekisterinpitäjien oikeusvarmuuden ja ehkäisee jäsenvaltioille aiheutuvaa tarpeetonta hallinnollista rasitusta. Siinä otetaan myös huomioon, että jäsenvaltiot ovat riippuvaisia kolmannen maan tai kansainvälisen järjestön yhteistyöstä voimassa olevien sopimusten muuttamiseksi.

IV   PÄÄTELMÄ

Neuvoston ensimmäisen käsittelyn kannassa on otettu huomioon neuvoston ja Euroopan parlamentin välillä käydyissä epävirallisissa neuvotteluissa komission avustuksella aikaansaatu kompromissi. Neuvosto kehottaa Euroopan parlamenttia hyväksymään virallisesti neuvoston ensimmäisen käsittelyn kannan ilman tarkistuksia, niin että voidaan luoda uusi tietosuojaa koskeva EU:n lainsäädäntökehys, joka vahvistaa tietosuojaoikeuksia ja helpottaa samalla henkilötietojen liikkuvuutta digitaalisilla markkinoilla.