Les Considérants

Kaalutlused

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Me ei saanud jätta mainimata põhjendusi, vähemalt mitte peamisi, mis GDPR-i ajendasid. Need moodustavad lõplikus määruses ja direktiivis taastatud filosoofia, dešifreerivad ja ühtlustavad ühes prismas kõigi liikmesriikide õigusaktide kaalutlusi andmekaitseõiguse osas. Need kehastavad Euroopa mitmekesisust, moodustades ühtse terviku. Need valgustavad meie arusaamist ja annavad tähenduse, need tunnistavad tõsiasjast, et midagi sügavat toimub, kindlasti ja esmapilgul vastusena GAFA-dele, Google'ile, Apple'ile, Facebookile, Amazonile, Deezerile, Instagramile, Snapchatile ja teistele, kes on rüüstanud meie käitumist, soove ja tahtmisi... Tegijad, kelle ainus mure meie jaoks on meie rahakott!

Mulle tundus hädavajalik esitada teile peamised kaalutlused ja/või kõige olulisemad lõigud. Kui soovite edasi minna, siis taas kord on CNILi veebisait eriti põhjalik ja kutsun teid seda külastama...

(Põhjendus 1) Üksikisikute kaitse isikuandmete töötlemisel on põhiõigus. ... sätestavad, et igaühel on õigus teda puudutavate isikuandmete kaitsele.

(Põhjendus 2) Füüsiliste isikute kaitset nende isikuandmete töötlemisel reguleerivad põhimõtted ja eeskirjad peaksid, olenemata nende füüsiliste isikute kodakondsusest või elukohast, austama nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. … aidata kaasa vabadusel, turvalisusel ja õigusel rajaneva ala ning majandusliidu loomisele, majanduslikule ja sotsiaalsele arengule, majanduste konsolideerimisele ja lähenemisele siseturul ning füüsiliste isikute heaolule.

(Põhjendus 3) ... nõukogu eesmärk on ühtlustada füüsiliste isikute põhiõiguste ja -vabaduste kaitset seoses töötlemistoimingutega ning tagada isikuandmete vaba liikumine liikmesriikide vahel.

(Põhjendus 4) Isikuandmete töötlemine peaks olema inimkonna teenistuses. Õigus isikuandmete kaitsele ei ole absoluutne õigus; seda tuleb kaaluda seoses selle funktsiooniga ühiskonnas ja tasakaalustada teiste põhiõigustega vastavalt proportsionaalsuse põhimõttele. ...õigus era- ja perekonnaelule, kodule ja edastatavate sõnumite saladusele, isikuandmete kaitse, mõtte-, südametunnistuse- ja usuvabadus, sõna- ja teabevabadus, ettevõtlusvabadus, õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele ning kultuuriline, usuline ja keeleline mitmekesisus.

(Põhjendus 6) Kiire tehnoloogia areng ja globaliseerumine on tekitanud isikuandmete kaitse valdkonnas uusi väljakutseid. Isikuandmete kogumise ja jagamise ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab nii eraettevõtetel kui ka avaliku sektori asutustel kasutada isikuandmeid oma tegevuses enneolematul viisil. Üksikisikud teevad enda kohta käiva teabe üha enam avalikult ja ülemaailmselt kättesaadavaks. Tehnoloogia on muutnud nii majanduslikke kui ka sotsiaalseid suhteid ning peaks veelgi hõlbustama isikuandmete vaba liikumist liidus ja nende edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, tagades samal ajal isikuandmete kaitse kõrge taseme.

(Põhjendus 7) ...on oluline luua usaldus, mis võimaldab digitaalmajandusel kogu siseturul edeneda. Üksikisikutel peaks olema kontroll oma isikuandmete üle. ...

(Põhjendus 9) ... andmekaitse rakendamise killustatus liidus, õiguslik ebakindlus või laialt levinud avalik arusaam, et üksikisikute kaitsele on endiselt märkimisväärsed riskid, eelkõige seoses veebikeskkonnaga. Füüsiliste isikute õiguste ja vabaduste, eelkõige isikuandmete kaitse õiguse kaitse taseme erinevused seoses isikuandmete töötlemisega liikmesriikides võivad takistada selliste andmete vaba liikumist kogu liidus. Sellised erinevused võivad seega takistada majandustegevuse harrastamist liidu tasandil, moonutada konkurentsi ja takistada ametiasutustel täita oma kohustusi liidu õiguse kohaselt. ...

(Põhjendus 10) Füüsiliste isikute järjepideva ja kõrgetasemelise kaitse tagamiseks ning isikuandmete liikumise takistuste kõrvaldamiseks liidus peaks füüsiliste isikute õiguste ja vabaduste kaitse tase selliste andmete töötlemisel olema kõigis liikmesriikides samaväärne. Seetõttu on asjakohane tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjepidev ja ühetaoline kohaldamine seoses isikuandmete töötlemisega kogu liidus. …

(Põhjendus 11) Isikuandmete tõhus kaitse kogu liidus eeldab andmesubjektide õiguste ja isikuandmete töötlejate ja nende kohustuste tugevdamist ja selgitamist, samuti liikmesriikides isikuandmete kaitse eeskirjade järgimise järelevalve ja kontrolli samaväärsete volituste ja rikkumiste eest samaväärsete karistuste sätestamist.

(Põhjendus 13)

Selleks et tagada füüsiliste isikute ühtne kaitsetase kogu liidus ja vältida isikuandmete vaba liikumist siseturul takistavaid erinevusi, on vaja määrust, mis tagaks õiguskindluse ja läbipaistvuse majandustegevuses osalejatele, sealhulgas mikro-, väikestele ja keskmise suurusega ettevõtetele, et anda füüsilistele isikutele kõigis liikmesriikides samad kohtulikult kaitstavad õigused ja kohustused ning vastutus vastutavatele ja volitatud töötlejatele ning et tagada isikuandmete töötlemise järjepidev järelevalve ja samaväärsed karistused kõigis liikmesriikides, samuti eri liikmesriikide järelevalveasutuste vaheline tõhus koostöö. Siseturu nõuetekohaseks toimimiseks on vaja, et isikuandmete vaba liikumist liidus ei piirataks ega keelataks füüsiliste isikute kaitsega seotud põhjustel seoses isikuandmete töötlemisega. …

(Põhjendus 14) Käesoleva määrusega pakutavat kaitset tuleks kohaldada füüsiliste isikute isikuandmete töötlemisel, olenemata nende kodakondsusest või elukohast. Käesolev määrus ei hõlma juriidiliste isikute isikuandmete töötlemist, …

 (Põhjendus 17) Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 45/2001 kohaldatakse isikuandmete töötlemisele liidu institutsioonide, organite ja asutuste poolt. …

(Põhjendus 19) Füüsiliste isikute kaitse seoses isikuandmete töötlemisega pädevate asutuste poolt kuritegude ennetamiseks, uurimiseks, avastamiseks või nende eest vastutusele võtmiseks või kriminaalkaristuste täideviimiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ohtude ennetamiseks, ning selliste andmete vaba liikumine on reguleeritud eraldi liidu õigusaktiga. …

(Põhjendus 22) Isikuandmete töötlemine, mis toimub vastutava töötleja või volitatud töötleja liidu territooriumil asuva tegevuskoha tegevuse raames, peaks toimuma kooskõlas käesoleva määrusega, olenemata sellest, kas töötlemine ise toimub liidus või mitte. Asukoht eeldab tegevuse tulemuslikku ja tegelikku teostamist stabiilse asukoha kaudu. …

(Põhjendus 23) Selleks et tagada füüsilise isiku õigus käesoleva määruse kohasele kaitsele, peaks liidus asuvate vastutavate töötlejate või volitatud töötlejate poolt liidus asuvate andmesubjektide isikuandmete töötlemine olema käesoleva määruse reguleerimisalasse kuuluv juhul, kui töötlemistoimingud on seotud kaupade või teenuste pakkumisega nimetatud andmesubjektidele, olenemata sellest, kas tasu on nõutav või mitte. Selleks et teha kindlaks, kas selline vastutav töötleja või volitatud töötleja pakub kaupu või teenuseid liidus asuvatele andmesubjektidele, tuleks kindlaks teha, kas on selge, et vastutav töötleja või volitatud töötleja kavatseb pakkuda teenuseid andmesubjektidele ühes või mitmes liidu liikmesriigis. …

(Põhjendus 24) Liidus viibivate andmesubjektide isikuandmete töötlemine liiduvälise vastutava töötleja või volitatud töötleja poolt peaks samuti kuuluma käesoleva määruse reguleerimisalasse, kui selline töötlemine on seotud kõnealuste andmesubjektide käitumise jälgimisega ulatuses, milles see puudutab nende käitumist liidus. Selleks et teha kindlaks, kas töötlemistegevust saab pidada andmesubjektide käitumise jälgimiseks, tuleks kindlaks teha, kas füüsilisi isikuid jälgitakse internetis, mis hõlmab isikuandmete töötlemise tehnikate võimalikku hilisemat kasutamist, mis seisnevad füüsilise isiku profiilianalüüsis, eelkõige tema kohta otsuste tegemiseks või tema eelistuste, käitumise ja hoiakute analüüsimiseks või ennustamiseks.

(Põhjendus 25) Kui rahvusvahelise avaliku õiguse alusel kohaldatakse liikmesriigi õigust, peaks käesolev määrus olema kohaldatav ka vastutava töötleja suhtes, kes ei ole asutatud liidus, …

(Põhjendus 26) Andmekaitse põhimõtteid tuleks kohaldada igasuguse teabe suhtes, mis on seotud tuvastatud või tuvastatava füüsilise isikuga. Pseudonüümitud isikuandmeid, mida saab täiendava teabe abil seostada füüsilise isikuga, tuleks käsitleda teabena, mis on seotud tuvastatava füüsilise isikuga. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja mõistliku tõenäosusega kasutab …

(Põhjendus 27) Käesolevat määrust ei kohaldata surnud isikute isikuandmete suhtes. Liikmesriigid võivad kehtestada surnud isikute isikuandmete töötlemise eeskirjad.

(Põhjendus 28) Isikuandmete pseudonüümiseerimine võib vähendada andmesubjektide riske ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi. Pseudonüümiseerimise selgesõnaline kehtestamine käesolevas määruses ei ole mõeldud muude andmekaitsemeetmete välistamiseks.

(Põhjendus 29) Isikuandmete töötlemisel pseudonümiseerimise soodustamiseks peaksid sama vastutava töötleja piires olema võimalikud pseudonümiseerimismeetmed, võimaldades samal ajal üldist analüüsi, kui vastutav töötleja on võtnud vajalikud tehnilised ja korralduslikud meetmed, et tagada kõnealuse töötlemise puhul käesoleva määruse rakendamine ning et isikuandmete seostamist konkreetse andmesubjektiga võimaldavat lisateavet hoitakse eraldi. Isikuandmeid töötlev vastutav töötleja peaks märkima isikud, kellel on selleks õigus sama vastutava töötleja piires.

(Põhjendus 30) Üksikisikud võivad olla oma seadmete, rakenduste, tööriistade ja protokollide kaudu seotud võrguidentifikaatoritega, näiteks IP-aadresside ja küpsistega või muude identifikaatoritega, näiteks raadiosagedustuvastuse siltidega. Need identifikaatorid võivad jätta jälgi, mida, eriti koos unikaalsete identifikaatorite ja serverite poolt vastuvõetud muu teabega, saab kasutada isikute profiilide loomiseks ja nende isikute tuvastamiseks.

(Põhjendus 31) Avaliku sektori asutusi, kellele avaldatakse isikuandmeid vastavalt seadusjärgsele kohustusele oma ametlike ülesannete täitmiseks, näiteks maksu- ja tolliametid, finantsuurimisüksused, sõltumatud haldusasutused või väärtpaberiturgude reguleerimise ja järelevalve eest vastutavad finantsturuasutused, ei tohiks pidada vastuvõtjateks, kui nad saavad isikuandmeid, mis on vajalikud avalikus huvis konkreetse uurimise läbiviimiseks, …

(Põhjendus 32) Nõusolek tuleks anda selge jaatava tegevusega, millega andmesubjekt vabatahtlikult, konkreetsel, teadlikul ja ühemõttelisel viisil annab nõusoleku teda puudutavate isikuandmete töötlemiseks, näiteks kirjaliku avalduse, sealhulgas elektrooniliselt, või suulise avalduse abil. See võib olla näiteks veebisaidi külastamisel kastikese märkimine, infoühiskonna teenuste jaoks teatud tehniliste sätete valimine või täiendav avaldus või tegevus, mis selles kontekstis selgelt näitab, et andmesubjekt nõustub oma isikuandmete kavandatava töötlemisega. Seega ei saa eeldada, et nõusolek põhineb vaikimisel, vaikimisi linnukestel või tegevusetusel. …

(Põhjendus 36) Liidus asuva vastutava töötleja peamine tegevuskoht peaks olema tema juhatuse asukoht liidus, välja arvatud juhul, kui isikuandmete töötlemise eesmärkide ja vahenditega seotud otsused tehakse vastutava töötleja teises liidus asuvas tegevuskohas, sellisel juhul tuleks seda teist tegevuskohta pidada peamiseks tegevuskohaks. Liidus asuva vastutava töötleja peamine tegevuskoht tuleks kindlaks määrata objektiivsete kriteeriumide alusel ning see peaks hõlmama stabiilse asukoha piires töötlemise eesmärkide ja vahenditega seotud peamiste otsuste langetamist juhtimistegevuse tulemuslikku ja tegelikku teostamist. …

(Põhjendus 37) Ettevõtjate grupp peaks hõlmama kontrollivat ettevõtjat ja tema kontrollitavaid ettevõtjaid, kusjuures esimene on see, kellel on teiste ettevõtjate üle valitsev mõju näiteks oma kapitaliomandi, finantsosaluse või seda reguleerivate eeskirjade või isikuandmete kaitse eeskirjade jõustamise õiguse tõttu. Ettevõtjat, kes kontrollib isikuandmete töötlemist temaga seotud ettevõtetes, tuleks pidada koos nende ettevõtjatega kontserni moodustavaks.

(Põhjendus 38) Lapsed väärivad oma isikuandmete osas erilist kaitset, kuna nad võivad olla vähem teadlikud isikuandmete töötlemisega seotud riskidest, tagajärgedest ja kaitsemeetmetest ning oma õigustest. See konkreetne kaitse peaks eelkõige kehtima lastega seotud isikuandmete kasutamise kohta turunduslikel eesmärkidel või isiksuse- või kasutajaprofiilide loomiseks ning lastega seotud isikuandmete kogumise kohta lapsele otse pakutavate teenuste kasutamisel. Vanemliku vastutuse kandja nõusolekut ei tohiks nõuda lapsele otse pakutavate ennetus- või nõustamisteenuste kontekstis.

(Põhjendus 39) Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Asjaolu, et füüsiliste isikute isikuandmeid kogutakse, kasutatakse, neile juurde pääsetakse või neid muul viisil töödeldakse, ning ulatus, milles neid andmeid töödeldakse või hakatakse töötlema, peaks olema asjaomastele füüsilistele isikutele läbipaistev. Läbipaistvuse põhimõte nõuab, et kogu selliste isikuandmete töötlemisega seotud teave ja suhtlus oleks kergesti kättesaadav, arusaadav ning selges ja lihtsas keeles. See põhimõte kehtib eelkõige andmesubjektidele antava teabe kohta vastutava töötleja isiku ja töötlemise eesmärkide kohta, samuti muu teabe kohta, mille eesmärk on tagada õiglane ja läbipaistev töötlemine asjaomaste füüsiliste isikute suhtes ning nende õigus saada kinnitus ja teavitus selle kohta, kas nende isikuandmeid töödeldakse. Füüsilisi isikuid tuleks teavitada isikuandmete töötlemisega seotud riskidest, eeskirjadest, kaitsemeetmetest ja õigustest ning nende õiguste teostamise viisidest seoses sellise töötlemisega. …

(Põhjendus 40) Isikuandmete töötlemise seaduslikkuseks on vaja andmesubjekti nõusolekut või muud seaduses sätestatud õiguspärast alust, …

(Põhjendus 42) Kui töötlemine põhineb andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõendada, et andmesubjekt on töötlemistoiminguga nõustunud. …

(Põhjendus 43) Selleks et tagada nõusoleku vabatahtlikkus, ei tohiks see olla isikuandmete töötlemise kehtiv õiguslik alus konkreetsel juhul, kui andmesubjekti ja vastutava töötleja vahel on ilmne ebavõrdsus, eelkõige juhul, kui vastutav töötleja on avaliku sektori asutus ja on ebatõenäoline, et nõusolek anti kõiki selle konkreetse olukorra asjaolusid arvestades vabatahtlikult. Nõusolek loetakse mittevabatahtlikuks, kui isikuandmete erinevate töötlemistoimingute jaoks ei saa anda eraldi nõusolekut, isegi kui see oleks konkreetsel juhul asjakohane, või kui lepingu täitmine, sealhulgas teenuse osutamine, on seatud tingimuslikuks nõusolekust, isegi kui nõusolek ei ole selliseks täitmiseks vajalik.

(Põhjendus 44) Töötlemist tuleks pidada seaduslikuks, kui see on vajalik lepingu täitmiseks või lepingu sõlmimise kavatsuseks.

(Põhjendus 45) Kui töötlemine toimub vastutava töötleja seadusjärgse kohustuse täitmiseks või kui see on vajalik avalikes huvides oleva ülesande täitmiseks või avaliku võimu teostamiseks, peaks töötlemisel olema alus liidu või liikmesriigi õiguses. …

(Põhjendus 46) Isikuandmete töötlemist tuleks pidada seaduslikuks ka siis, kui see on vajalik andmesubjekti või teise füüsilise isiku elulise huvi kaitsmiseks. Isikuandmete töötlemine teise füüsilise isiku elulise huvi alusel peaks põhimõtteliselt toimuma ainult siis, kui töötlemine ilmselgelt ei saa põhineda muul õiguslikul alusel. …

(Põhjendus 47) Vastutava töötleja, sealhulgas isikuandmeid saava vastutava töötleja või kolmanda isiku õigustatud huvid võivad olla töötlemise õiguslikuks aluseks, välja arvatud juhul, kui andmesubjekti huvid või põhiõigused ja -vabadused on ülimuslikud, võttes arvesse andmesubjektide mõistlikke ootusi, mis põhinevad nende suhtel vastutava töötlejaga. …

(Põhjendus 48) Keskse asutusega seotud ettevõtete või asutuste gruppi kuuluvatel vastutavatel töötlejatel võib olla õigustatud huvi edastada isikuandmeid kontserni sisemistel halduslikel eesmärkidel, sealhulgas klientide või töötajatega seotud isikuandmete töötlemiseks. …

(Põhjendus 49) Isikuandmete töötlemine ulatuses, mis on rangelt vajalik ja proportsionaalne võrgu- ja infoturbe tagamiseks, st võrgu- või infosüsteemi võime taluda teatud usaldustasemel juhuslikke sündmusi või ebaseaduslikke või pahatahtlikke tegevusi, mis ohustavad salvestatud või edastatud isikuandmete kättesaadavust, autentsust, terviklikkust ja konfidentsiaalsust, samuti selliste võrkude ja süsteemide kaudu pakutavate või kättesaadavaks tehtud seotud teenuste turvalisust, avaliku sektori asutuste, arvutiintsidentidele reageerimise rühmade (CERT), arvutiturbeintsidentidele reageerimise rühmade (CSIRT), elektroonilise side võrkude ja teenuste pakkujate ning turvatehnoloogiate ja -teenuste pakkujate poolt, kujutab endast asjaomase vastutava töötleja õigustatud huvi. See võib hõlmata näiteks elektroonilistele sidevõrkudele loata juurdepääsu ja pahatahtliku koodi levitamise tõkestamist ning teenusetõkestamise rünnakute ja arvutite ning elektroonilise side süsteemide kahjustamise peatamist.

(Põhjendus 50) Isikuandmete töötlemine muul eesmärgil kui see, milleks isikuandmeid algselt koguti, peaks olema lubatud ainult siis, kui see on kooskõlas eesmärkidega, milleks isikuandmeid algselt koguti. …

Kui andmesubjekt on andnud nõusoleku või töötlemine põhineb liidu või liikmesriigi õigusel, mis on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede eelkõige avaliku huvi oluliste eesmärkide saavutamiseks, peaks vastutaval töötlejal olema lubatud isikuandmeid edasi töödelda olenemata eesmärkide kooskõlast. …

(Põhjendus 51) Isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, kuna kontekst, milles neid töödeldakse, võib kujutada endast märkimisväärset ohtu nimetatud õigustele ja vabadustele. Sellised isikuandmed peaksid hõlmama ka isikuandmeid, mis paljastavad rassilise või etnilise päritolu, kusjuures mõiste „rassiline päritolu” kasutamine käesolevas määruses ei tähenda, et liit toetab teooriaid erinevate inimrasside olemasolust. …

(Põhjendus 52) Samuti peaks erandeid isikuandmete eriliikide töötlemise keelust olema lubatud juhul, kui see on sätestatud liidu või liikmesriigi õiguses ning kui on ette nähtud asjakohased kaitsemeetmed isikuandmete ja muude põhiõiguste kaitsmiseks, kui avalik huvi seda nõuab, sealhulgas isikuandmete töötlemine tööõiguse ja sotsiaalkaitseõiguse valdkonnas, sealhulgas pensionide puhul, ning turvalisuse, tervise jälgimise ja hoiatamise, nakkushaiguste ja muude tõsiste terviseohtude ennetamise või tõrje eesmärgil. …

(Põhjendus 53) Spetsiifiliste isikuandmete kategooriate töötlemine, mis väärivad kõrgemat kaitset, peaks toimuma üksnes tervishoiuga seotud eesmärkidel, kui see on vajalik nende eesmärkide saavutamiseks üksikisikute ja kogu ühiskonna huvides, eelkõige tervishoiu- või sotsiaalhoolekande teenuste ja süsteemide haldamise kontekstis, sealhulgas selliste andmete töötlemine riiklike juhtimisasutuste ja kesksete tervishoiuasutuste poolt kvaliteedikontrolli, juhtide teavitamise ja tervishoiu- või sotsiaalhoolekandesüsteemi üldise järelevalve eesmärgil riiklikul ja kohalikul tasandil ning tervishoiu- või sotsiaalhoolekande ja piiriülese tervishoiu järjepidevuse tagamiseks või terviseohutuse, seire ja häire eesmärgil või avalikes huvides arhiveerimise eesmärgil, teadus- või ajaloouuringute eesmärgil või statistilisel eesmärgil liidu või liikmesriigi õiguse alusel, mis peab vastama avaliku huvi eesmärgile, samuti avalikes huvides rahvatervise valdkonnas läbiviidavate uuringute jaoks. …

(Põhjendus 54) Isikuandmete eriliikide töötlemine võib olla vajalik avaliku huvi tõttu rahvatervise valdkonnas ilma andmesubjekti nõusolekuta. … Selline terviseandmete töötlemine avaliku huvi tõttu ei tohiks kaasa tuua isikuandmete töötlemist muudel eesmärkidel kolmandate isikute, näiteks tööandjate või kindlustusseltside ja pankade poolt.

(Põhjendus 56) Kui valimistega seotud tegevuste kontekstis nõuab liikmesriigi demokraatliku süsteemi toimimine erakondadelt isikute poliitiliste vaadetega seotud isikuandmete kogumist, võib selliste andmete töötlemine olla lubatud avaliku huvi alusel, tingimusel et on tagatud asjakohased kaitsemeetmed.

(Põhjendus 57) Kui töödeldavad isikuandmed ei võimalda tal füüsilist isikut tuvastada, ei tohiks vastutavalt töötlejalt nõuda andmesubjekti tuvastamiseks lisateabe hankimist üksnes käesoleva määruse sätte järgimise eesmärgil. Vastutav töötleja ei tohiks aga keelduda andmesubjekti esitatud lisateabest, mis on vajalik tema õiguste teostamise hõlbustamiseks. Identifitseerimine peaks hõlmama andmesubjekti digitaalset tuvastamist, näiteks autentimismehhanismi abil, näiteks samade volituste abil, mida andmesubjekt kasutab vastutava töötleja pakutavasse veebiteenusesse sisselogimiseks.

(Põhjendus 58) Läbipaistvuse põhimõte nõuab, et avalikkusele või andmesubjektile suunatud teave oleks kokkuvõtlik, kergesti kättesaadav ja arusaadav ning selgelt ja lihtsalt sõnastatud ja lisaks vajadusel visuaalsete elementidega illustreeritud. Sellist teavet võiks esitada elektroonilisel kujul, näiteks avalikkusele suunatud veebisaidi kaudu. … Kuna lapsed väärivad erilist kaitset, peaks kogu teave ja suhtlus, kui töötlemine neid puudutab, olema koostatud selgelt ja lihtsalt, et laps saaks sellest kergesti aru.

(Põhjendus 59) Tuleks ette näha kord, mis hõlbustaks andmesubjekti käesoleva määruse kohaste õiguste teostamist, sealhulgas vahendid isikuandmetele tasuta juurdepääsu taotlemiseks ja vajaduse korral nende andmete parandamise või kustutamise saamiseks ning vastuväidete esitamise õiguse teostamiseks. Vastutav töötleja peaks pakkuma ka vahendeid taotluste esitamiseks elektrooniliselt, eelkõige juhul, kui isikuandmeid töödeldakse elektrooniliselt. Vastutav töötleja peaks olema kohustatud andmesubjekti taotlustele vastama põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul ning esitama oma vastuse põhjendused, kui ta ei kavatse taotlusi täita.

(Põhjendus 60) Õiglase ja läbipaistva töötlemise põhimõte nõuab, et andmesubjekti teavitataks töötlemistoimingu toimumisest ja selle eesmärkidest. Vastutav töötleja peaks andma andmesubjektile muu teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. Lisaks tuleks andmesubjekti teavitada profiilianalüüsi toimumisest ja selle tagajärgedest. Kui isikuandmeid kogutakse andmesubjektilt, on oluline, et andmesubjekt teaks ka seda, kas ta on kohustatud isikuandmeid esitama ja millised on nende esitamata jätmise tagajärjed. …

(Põhjendus 61) Teave andmesubjekti isikuandmete töötlemise kohta tuleks talle esitada isikuandmete kogumise ajal või kui isikuandmed saadakse muust allikast, mõistliku aja jooksul, olenevalt iga juhtumi asjaoludest. Kui isikuandmeid võib seaduslikult avaldada teisele vastuvõtjale, tuleks andmesubjekti teavitada ajast, mil isikuandmed esmakordselt sellele vastuvõtjale avaldatakse. …

(Põhjendus 62) Siiski ei ole vaja kehtestada teabe esitamise kohustust, kui andmesubjektil on see teave juba olemas, kui isikuandmete salvestamine või avalikustamine on seadusega sõnaselgelt ette nähtud või kui teabe andmine andmesubjektile osutub võimatuks või nõuaks ebaproportsionaalselt suuri pingutusi. …

(Põhjendus 63) Andmesubjektil peaks olema õigus tutvuda tema kohta kogutud isikuandmetega ning seda õigust hõlpsalt ja mõistlike ajavahemike tagant teostada, et olla töötlemisest teadlik ja kontrollida selle seaduslikkust. See hõlmab andmesubjekti õigust tutvuda oma tervist puudutavate andmetega, näiteks oma haigusloo andmetega, mis sisaldavad teavet diagnooside, uuringute tulemuste, raviarstide arvamuste ja mis tahes manustatud ravi või sekkumise kohta. Seega peaks igal andmesubjektil olema õigus teada ja olla teavitatud eelkõige isikuandmete töötlemise eesmärkidest, võimaluse korral nende isikuandmete töötlemise kestusest, nende isikuandmete saajate isikusamasusest, automatiseeritud töötlemise loogikast ja sellise töötlemise võimalikest tagajärgedest, vähemalt profiilianalüüsi korral. …

(Põhjendus 64) Vastutav töötleja peaks võtma kõik mõistlikud meetmed andmetele juurdepääsu taotleva andmesubjekti isikusamasuse kontrollimiseks, eelkõige veebiteenuste ja identifikaatorite kontekstis. Vastutav töötleja ei tohiks isikuandmeid säilitada ainult selleks, et vastata potentsiaalsetele taotlustele.

(Põhjendus 65) Andmesubjektidel peaks olema õigus lasta oma isikuandmeid parandada ja õigus olla unustatud, kui nende andmete säilitamine rikub käesolevat määrust või vastutava töötleja suhtes kohaldatavat liidu või liikmesriigi õigust. Eelkõige peaks andmesubjektidel olema õigus lasta oma isikuandmed kustutada ja lõpetada nende töötlemine, kui need isikuandmed ei ole enam vajalikud eesmärkidel, milleks need koguti või muul viisil töödeldi, kui andmesubjektid on oma isikuandmete töötlemiseks antud nõusoleku tagasi võtnud või on oma isikuandmete töötlemise vastu või kui nende isikuandmete töötlemine on muul viisil käesoleva määrusega vastuolus. See õigus on asjakohane eelkõige juhul, kui andmesubjekt andis nõusoleku lapsena, kes ei olnud täielikult teadlik töötlemisega kaasnevatest riskidest, ning soovib seejärel oma isikuandmete kustutamist, eelkõige internetist. …

(Põhjendus 66) Digitaalse „õiguse olla unustatud” tugevdamiseks tuleks laiendada ka kustutamisõigust nii, et isikuandmed avalikustanud vastutav töötleja oleks kohustatud neid isikuandmeid töötlevaid vastutavaid töötlejaid teavitama sellest, et kõik lingid nendele andmetele või nende andmete koopiad või reproduktsioonid tuleks kustutada. …

(Põhjendus 67) Isikuandmete töötlemise piiramise meetodid võivad muu hulgas hõlmata valitud andmete ajutist üleviimist teise töötlussüsteemi, valitud isikuandmete kasutajatele kättesaamatuks muutmist või avaldatud andmete ajutist eemaldamist veebisaidilt. Automatiseeritud esitamissüsteemides peaks töötlemise piiramine olema põhimõtteliselt tagatud tehniliste vahenditega nii, et isikuandmeid ei töödeldaks edasi ja neid ei saaks muuta. Asjaolu, et isikuandmete töötlemine on piiratud, peaks olema esitamissüsteemis selgelt märgitud.

(Põhjendus 68) Oma andmete üle kontrolli täiendavaks tugevdamiseks peaks andmesubjektidel olema ka õigus saada neid puudutavaid isikuandmeid, mille nad on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas, masinloetavas ja koostalitlusvõimelises vormingus ning edastada need andmed teisele vastutavale töötlejale. Vastutavaid töötlejaid tuleks julgustada välja töötama koostalitlusvõimelisi vorminguid, mis võimaldavad andmete ülekandmist. …

(Põhjendus 69) Kui isikuandmeid võib seaduslikult töödelda seetõttu, et töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks või vastutava töötleja või kolmanda isiku õigustatud huvide tõttu, peaks andmesubjektidel siiski olema õigus esitada vastuväiteid mis tahes oma konkreetse olukorraga seotud isikuandmete töötlemise suhtes. Vastutaval töötlejal peaks lasuma tõendamiskohustus, et tema mõjuvad õigustatud huvid kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused.

(Põhjendus 70) Kui isikuandmeid töödeldakse otseturunduse eesmärgil, peaks andmesubjektil olema õigus igal ajal ja tasuta sellisele töötlemisele, sealhulgas profiilianalüüsile, kui see on seotud sellise otseturundusega, vastuväiteid esitada nii esialgse kui ka edasise töötlemise puhul. …

(Põhjendus 71) Andmesubjektil peaks olema õigus mitte alluda otsusele, mis võib hõlmata ka meedet, mis hõlmab temaga seotud teatud isiklike aspektide hindamist, mis põhineb üksnes automatiseeritud töötlusel ja millel on tema suhtes õiguslikke tagajärgi või mis mõjutab teda sarnasel viisil oluliselt, näiteks veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhised värbamistavad ilma igasuguse inimsekkumiseta. Selline töötlemine hõlmab „profiilianalüüsi“, mis seisneb isikuandmete mis tahes vormis automatiseeritud töötlemises, et hinnata füüsilise isiku isiklikke aspekte, eelkõige analüüsida või prognoosida aspekte, mis on seotud andmesubjekti töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise või asukoha ja liikumisega, kui see tekitab andmesubjekti suhtes õiguslikke tagajärgi või mõjutab teda sarnasel viisil oluliselt. …

(Põhjendus 73) Liidu või liikmesriigi õigusega võidakse kehtestada piiranguid teatud konkreetsetele põhimõtetele, samuti õigusele teabele, õigusele tutvuda isikuandmetega, õigusele neid andmeid parandada või kustutada, õigusele andmete ülekandmisele, õigusele esitada vastuväiteid, profiilianalüüsil põhinevatele otsustele, samuti andmesubjekti teavitamisele isikuandmetega seotud rikkumisest ja vastutavate töötlejate teatud seotud kohustustele, …

(Põhjendus 74) On asjakohane kehtestada vastutava töötleja vastutus isikuandmete töötlemise eest, mida teostab vastutav töötleja ise või tema nimel. Eelkõige on oluline, et vastutav töötleja oleks kohustatud rakendama asjakohaseid ja tõhusaid meetmeid ning suudaks tõendada töötlemistoimingute vastavust käesolevale määrusele, sealhulgas meetmete tõhusust. …

(Põhjendus 75) Füüsiliste isikute õigustele ja vabadustele võivad tekkida ohud, mille tõenäosus ja raskusaste on erinevad ning mis võivad tuleneda isikuandmete töötlemisest, mis võib põhjustada füüsilist, materiaalset või mittevaralist kahju, eelkõige juhul, kui töötlemine võib põhjustada diskrimineerimist, identiteedivargust või pettust, rahalist kahju, mainekahju, ametisaladusega kaitstud andmete konfidentsiaalsuse kadu, pseudonümiseerimisprotsessi loata tühistamist või muud olulist majanduslikku või sotsiaalset kahju; kui andmesubjektidelt võidakse ära võtta nende õigused ja vabadused või kui neil võidakse takistada kontrolli oma isikuandmete üle; kui töödeldakse isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usutunnistuse või filosoofilised veendumused, ametiühingu liikmelisuse, samuti geneetilisi andmeid, tervist või seksuaalelu puudutavaid andmeid või andmeid süüdimõistvate kohtuotsuste ja süütegude või nendega seotud turvameetmete kohta; kui hinnatakse isikuomadusi, eelkõige töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste või huvide, usaldusväärsuse või käitumise, asukoha või liikumisega seotud elementide analüüsimise või prognoosimise kontekstis individuaalsete profiilide loomiseks või kasutamiseks; kui töödeldakse haavatavate füüsiliste isikute, eelkõige laste isikuandmeid; või kui töötlemine hõlmab suurt hulka isikuandmeid ja mõjutab suurt hulka andmesubjekte.

(Põhjendus 76) Andmesubjekti õigustele ja vabadustele avalduva ohu tõenäosus ja tõsidus tuleks kindlaks määrata töötlemise laadi, ulatust, konteksti ja eesmärke arvestades. …

(Põhjendus 78) Füüsiliste isikute õiguste ja vabaduste kaitsmine isikuandmete töötlemisel eeldab asjakohaste tehniliste ja korralduslike meetmete võtmist, et tagada käesoleva määruse nõuete järgimine. Käesoleva määruse järgimise tõendamiseks peaks vastutav töötleja vastu võtma sise-eeskirjad ja rakendama meetmeid, mis austavad eelkõige lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid. Sellised meetmed võivad muu hulgas hõlmata isikuandmete töötlemise minimeerimist, isikuandmete võimaluse korral pseudonümiseerimist, isikuandmete funktsioonide ja töötlemise läbipaistvuse tagamist, andmesubjekti andmete töötlemise kontrollimise võimaldamist ning vastutava töötleja turvaelementide rakendamise või täiustamise võimaldamist. Selliste rakenduste, teenuste ja toodete arendamisel, kavandamisel, valimisel ja kasutamisel, mis tuginevad isikuandmete töötlemisele või töötlevad oma ülesannete täitmiseks isikuandmeid, tuleks tootetootjaid, teenusepakkujaid ja rakenduste tootjaid julgustada arvestama andmekaitseõigusega selliste toodete, teenuste ja rakenduste väljatöötamisel ja kavandamisel ning tagama tehnika taset arvestades, et vastutavad töötlejad ja volitatud töötlejad suudavad täita oma andmekaitsekohustusi. Lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtteid tuleks arvesse võtta ka riigihangetes.

(Põhjendus 79) Andmesubjektide õiguste ja vabaduste kaitse ning vastutavate töötlejate ja volitatud töötlejate vastutus, sealhulgas järelevalveasutuste järelevalve ja nende võetavate meetmete kontekstis, eeldab käesoleva määruse kohast selget vastutuse jaotust, …

(Põhjendus 80) Kui liiduväline vastutav töötleja või volitatud töötleja töötleb liidus asuvate andmesubjektide isikuandmeid ja tema töötlemistoimingud on seotud kaupade või teenuste pakkumisega neile andmesubjektidele liidus, olenemata sellest, kas selle eest nõutakse tasu või mitte, või nende käitumise jälgimisega ulatuses, milles see toimub liidus, peaks vastutav töötleja või volitatud töötleja määrama esindaja, välja arvatud juhul, kui töötlemine on juhuslik, ei hõlma isikuandmete eriliikide ulatuslikku töötlemist ega süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete töötlemist ning tõenäoliselt ei kujuta see endast ohtu füüsiliste isikute õigustele ja vabadustele, võttes arvesse töötlemise laadi, konteksti, ulatust ja eesmärke, või kui vastutav töötleja on avaliku sektori asutus või organ. Esindaja peaks tegutsema vastutava töötleja või volitatud töötleja nimel ning iga järelevalveasutus võib temaga ühendust võtta. Esindaja peaks olema vastutava töötleja või volitatud töötleja kirjaliku volitusega sõnaselgelt määratud tegutsema tema nimel seoses käesoleva määruse kohaste kohustustega. Kõnealuse esindaja määramine ei piira vastutava töötleja või volitatud töötleja kohustusi käesoleva määruse alusel. …

(Põhjendus 81) Selleks et tagada käesoleva määruse nõuete täitmine volitatud töötleja poolt vastutava töötleja nimel teostatava töötlemise kontekstis, kui viimane usaldab töötlemistoimingud volitatud töötlejale, peaks vastutav töötleja kasutama ainult selliseid volitatud töötlejaid, kes pakuvad piisavaid tagatisi, eelkõige eksperditeadmiste, usaldusväärsuse ja ressursside osas, selliste tehniliste ja korralduslike meetmete rakendamiseks, mis vastavad käesoleva määruse nõuetele, sealhulgas töötlemise turvalisusele. …

(Põhjendus 82) Käesoleva määruse järgimise tõendamiseks peaks vastutav töötleja või volitatud töötleja pidama arvestust oma vastutusalasse kuuluvate töötlemistoimingute üle. …

(Põhjendus 83) Turvalisuse tagamiseks ja käesoleva määrusega vastuolus oleva töötlemise vältimiseks on oluline, et vastutav töötleja või volitatud töötleja hindaks töötlemisega kaasnevaid riske ja rakendaks nende leevendamiseks meetmeid, näiteks krüpteerimist. Need meetmed peaksid tagama asjakohase turvalisuse taseme, sealhulgas konfidentsiaalsuse, võttes arvesse tehnika taset ja rakenduskulusid seoses riskide ja kaitstavate isikuandmete laadiga. …

(Põhjendus 84) Selleks et tagada käesoleva määruse järgimine paremini juhtudel, kus töötlemistoimingud võivad kujutada endast suurt ohtu füüsiliste isikute õigustele ja vabadustele, peaks vastutav töötleja vastutama andmekaitsealase mõjuhinnangu läbiviimise eest, et hinnata eelkõige nimetatud riski päritolu, olemust, spetsiifilisust ja tõsidust. Selle hindamise tulemust tuleks arvesse võtta isikuandmete töötlemise käesoleva määrusega vastavuse tõendamiseks vajalike meetmete kindlaksmääramisel. Kui andmekaitsealane mõjuhinnang näitab, et andmetöötlustoimingud kujutavad endast suurt ohtu, mida vastutav töötleja ei saa leevendada asjakohaste meetmete võtmisega, võttes arvesse olemasolevaid tehnikaid ja nende rakendamisega seotud kulusid, tuleks enne töötlemise toimumist konsulteerida järelevalveasutusega.

(Põhjendus 85) Isikuandmetega seotud rikkumine võib õigeaegsete ja asjakohaste meetmete võtmata jätmise korral põhjustada asjaomastele füüsilistele isikutele füüsilist, materiaalset või moraalset kahju, näiteks kontrolli kaotamine oma isikuandmete üle või õiguste piiramine, diskrimineerimine, identiteedivargus või -pettus, rahaline kahju, pseudonümiseerimisprotseduuri loata tühistamine, maine kahjustamine, ametisaladusega kaitstud isikuandmete konfidentsiaalsuse kadu või muu oluline majanduslik või sotsiaalne kahju. Seega, niipea kui vastutav töötleja saab isikuandmetega seotud rikkumisest teada, peaks ta sellest järelevalveasutusele põhjendamatu viivituseta teatama ja võimaluse korral hiljemalt 72 tunni jooksul pärast rikkumisest teadasaamist, välja arvatud juhul, kui ta suudab vastutuspõhimõtte kohaselt tõendada, et kõnealune rikkumine tõenäoliselt ei kujuta endast ohtu füüsiliste isikute õigustele ja vabadustele. Kui sellist teadet ei ole võimalik 72 tunni jooksul esitada, tuleks teatele lisada viivituse põhjused ning teavet võib esitada etappide kaupa ilma edasise põhjendamatu viivituseta.

(Põhjendus 86) Vastutav töötleja peaks andmesubjekti isikuandmetega seotud rikkumisest põhjendamatu viivituseta teavitama, kui rikkumine kujutab tõenäoliselt endast suurt ohtu füüsilise isiku õigustele ja vabadustele, et andmesubjekt saaks võtta asjakohaseid ettevaatusabinõusid. …

(Põhjendus 87) Tuleks kontrollida, kas on rakendatud kõik asjakohased tehnilised ja korralduslikud kaitsemeetmed, et viivitamatult kindlaks teha, kas on toimunud isikuandmetega seotud rikkumine, ning teavitada sellest viivitamatult järelevalveasutust ja andmesubjekti. …

(Põhjendus 91) See peaks eelkõige kehtima ulatuslike töötlemistoimingute kohta, mille eesmärk on töödelda märkimisväärsel hulgal isikuandmeid piirkondlikul, riiklikul või rahvusvahelisel tasandil, mis võivad mõjutada märkimisväärset hulka andmesubjekte ja mis tõenäoliselt kujutavad endast suurt ohtu näiteks oma tundlikkuse tõttu, kui vastavalt tipptasemele rakendatakse ulatuslikult uut tehnikat, samuti muude töötlemistoimingute kohta, mis kujutavad endast suurt ohtu andmesubjektide õigustele ja vabadustele, eelkõige juhul, kui selliste toimingute tulemusel on andmesubjektidel raskem oma õigusi teostada. Andmekaitsealane mõjuhinnang tuleks läbi viia ka juhul, kui isikuandmeid töödeldakse konkreetsete füüsiliste isikutega seotud otsuste tegemiseks pärast füüsiliste isikute isikuomaduste süstemaatilist ja põhjalikku hindamist, mis põhineb nende andmete profiilianalüüsil või pärast isikuandmete eriliikide, biomeetriliste andmete või süüdimõistvate kohtuotsuste ja süütegudega seotud andmete või nendega seotud turvameetmete töötlemist. …

(Põhjendus 92) On juhtumeid, kus andmekaitsealase mõjuhinnangu ulatuse laiendamine ühest projektist kaugemale võib olla mõistlik ja kulutõhus, näiteks kui avaliku sektori asutused või avaliku sektori organid kavatsevad rakendada ühist rakendust või töötlemisplatvormi või kui mitu vastutavat töötlejat kavatsevad luua ühise rakenduse või töötlemiskeskkonna kogu sektoris või kutsealal või laialdaselt kasutatava valdkondadevahelise tegevuse jaoks.

(Põhjendus 94) Kui andmekaitsealane mõjuhinnang näitab, et kaitsemeetmete, turvameetmete ja riskide maandamise mehhanismide puudumisel kujutaks töötlemine endast füüsiliste isikute õigustele ja vabadustele suurt ohtu ning vastutav töötleja on seisukohal, et riski ei saa olemasolevat tehnoloogiat ja rakenduskulusid arvestades mõistlike meetmetega leevendada, tuleks enne töötlemistoimingute alustamist konsulteerida järelevalveasutusega. …

(Põhjendus 97) Kui töötlemist teostab avaliku sektori asutus, välja arvatud kohtud või sõltumatud õigusasutused, kes tegutsevad oma õigusemõistmise ülesannete täitmisel, kui erasektoris teostab töötlemist vastutav töötleja, kelle põhitegevuseks on töötlemistoimingud, mis nõuavad andmesubjektide regulaarset ja süstemaatilist jälgimist ulatuslikus ulatuses, või kui vastutava töötleja või volitatud töötleja põhitegevuseks on isikuandmete eriliikide ja süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, peaks vastutavat töötlejat või volitatud töötlejat käesoleva määruse sisemise järgimise kontrollimisel abistama isik, kellel on andmekaitseõiguse ja -praktika eksperditeadmised. …

(Põhjendus 98) Vastutavate töötlejate või volitatud töötlejate kategooriaid esindavaid ühendusi või muid organeid tuleks julgustada koostama käesoleva määruse piires käitumisjuhendeid, et hõlbustada selle nõuetekohast kohaldamist, võttes arvesse teatud sektorites toimuva töötlemise eripärasid ning mikro-, väikeste ja keskmise suurusega ettevõtete erivajadusi. …

(Põhjendus 101) Isikuandmete voog liiduväliste riikide ja rahvusvaheliste organisatsioonidega on vajalik rahvusvahelise kaubanduse ja rahvusvahelise koostöö arendamiseks. Selliste voogude suurenemine on tekitanud uusi väljakutseid ja muresid seoses isikuandmete kaitsega. Siiski on oluline, et kui isikuandmeid edastatakse liidust vastutavatele töötlejatele, volitatud töötlejatele või teistele vastuvõtjatele kolmandates riikides või rahvusvahelistele organisatsioonidele, ei kahjustataks käesoleva määrusega liidus tagatud füüsiliste isikute kaitse taset, sealhulgas isikuandmete edasisaatmise korral kolmandast riigist või rahvusvahelisest organisatsioonist vastutavatele töötlejatele või volitatud töötlejatele samas või teises kolmandas riigis või teisele rahvusvahelisele organisatsioonile. Igal juhul võib edastamine kolmandatesse riikidesse ja rahvusvahelistele organisatsioonidele toimuda ainult täielikus kooskõlas käesoleva määrusega. …

(Põhjendus 103) Komisjon võib otsustada kogu liidus kehtiva otsusega, et kolmas riik, territoorium või kolmanda riigi konkreetne sektor või rahvusvaheline organisatsioon pakub piisavat andmekaitse taset, tagades seeläbi õiguskindluse ja ühtsuse kogu liidus seoses kolmanda riigi või rahvusvahelise organisatsiooniga, keda peetakse sellise kaitsetaseme pakkujaks. Sellisel juhul võib isikuandmeid edastada sellele kolmandale riigile või rahvusvahelisele organisatsioonile ilma täiendava loata. …

(Põhjendus 104) Võttes arvesse liidu aluseks olevaid põhiväärtusi, eelkõige inimõiguste kaitset, peaks komisjon kolmanda riigi, territooriumi või kolmanda riigi konkreetse sektori hindamisel võtma arvesse seda, kuidas konkreetne kolmas riik austab õigusriigi põhimõtet, tagab õiguskaitse kättesaadavuse ning järgib rahvusvahelisi inimõiguste valdkonna norme ja standardeid, samuti oma üldisi ja valdkondlikke õigusakte, sealhulgas avalikku julgeolekut, kaitset ja riigi julgeolekut, samuti avalikku korda ja kriminaalõigust käsitlevaid õigusakte. …

(Põhjendus 105) Lisaks kolmanda riigi või rahvusvahelise organisatsiooni võetud rahvusvahelistele kohustustele peaks komisjon arvestama kohustustega, mis tulenevad kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega, ja nende kohustuste rakendamisega. Eelkõige tuleks arvesse võtta kolmanda riigi ühinemist Euroopa Nõukogu 28. jaanuari 1981. aasta konventsiooniga üksikisikute kaitse kohta isikuandmete automatiseeritud töötlemisel ja selle lisaprotokolliga. …

(Põhjendus 108) Piisavuse otsuse puudumisel peaks vastutav töötleja või volitatud töötleja võtma meetmeid, et kompenseerida kolmanda riigi andmekaitse ebapiisavust andmesubjekti jaoks sobivate kaitsemeetmetega. …

(Põhjendus 109) Võimalus, et vastutavad töötlejad ja volitatud töötlejad saavad kasutada komisjoni või järelevalveasutuse vastuvõetud standardseid andmekaitseklausleid, ei tohiks takistada neil lisamast neid klausleid laiemasse lepingusse, näiteks volitatud töötleja ja teise volitatud töötleja vahelisse lepingusse, või lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei ole otseselt ega kaudselt vastuolus komisjoni või järelevalveasutuse vastuvõetud standardsete lepinguklauslitega ega kahjusta andmesubjektide põhiõigusi ja -vabadusi. …

(Põhjendus 110) Ettevõtjate rühm või ühise majandustegevusega tegelev ettevõtjate rühm peaks saama kasutada heakskiidetud siduvaid kontserni eeskirju rahvusvaheliseks andmeedastuseks liidust sama kontserni või sama ühise majandustegevusega tegeleva ettevõtjate rühma üksustele, tingimusel et need kontserni eeskirjad sisaldavad kõiki olulisi põhimõtteid ja kohtulikult kaitstavaid õigusi, et tagada isikuandmete edastamise või edastamise kategooriate asjakohased kaitsemeetmed.

(Põhjendus 114) Igal juhul, kui komisjon ei ole kolmanda riigi andmekaitse taseme piisavuse kohta seisukohta võtnud, peaks vastutav töötleja või volitatud töötleja võtma vastu lahendused, mis tagavad andmesubjektidele pärast andmete edastamist nende andmete töötlemisel liidus kohtulikult kaitstavad ja tõhusad õigused, et need andmesubjektid saaksid jätkuvalt kasu põhiõigustest ja tagatistest.

(Põhjendus 116) Kui isikuandmed ületavad liidu välispiire, võib see suurendada ohtu, et üksikisikud ei saa teostada oma andmekaitseõigusi, eelkõige kaitsta end selle teabe ebaseadusliku kasutamise või avalikustamise eest. … Seetõttu on vaja edendada tihedamat koostööd andmekaitse järelevalveasutuste vahel, et aidata neil vahetada teavet ja viia läbi uurimisi oma rahvusvaheliste partneritega. …

(Põhjendus 121) Järelevalveasutuse liikme(te) suhtes kohaldatavad üldtingimused tuleks igas liikmesriigis sätestada seadusega ning eelkõige tuleks ette näha, et need liikmed nimetab ametisse läbipaistva menetluse kohaselt selle liikmesriigi parlament, valitsus või riigipea valitsuse või valitsusliikme või parlamendi või parlamendikoja ettepanekul või sõltumatu organi poolt, kellele see ülesanne on usaldatud liikmesriigi õiguse alusel. …

(Põhjendus 122) Igal järelevalveasutusel peaks olema oma liikmesriigi territooriumil pädev täitma talle käesoleva määrusega antud ülesandeid ja volitusi. …

(Põhjendus 124) Kui isikuandmete töötlemine toimub liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis ja see vastutav töötleja või volitatud töötleja asub rohkem kui ühes liikmesriigis või kui töötlemine, mis toimub liidus asuva vastutava töötleja või volitatud töötleja ühe tegevuskoha tegevuse kontekstis, mõjutab oluliselt või tõenäoliselt mõjutab oluliselt andmesubjekte rohkem kui ühes liikmesriigis, peaks juhtiva asutusena tegutsema järelevalveasutus, kelle jurisdiktsiooni alla kuulub vastutava töötleja või volitatud töötleja peamine või ainus tegevuskoht. …

(Põhjendus 125) Juhtiv asutus peaks olema pädev vastu võtma siduvaid otsuseid meetmete kohta, millega rakendatakse talle käesoleva määruse kohaselt antud volitusi. Juhtiva asutusena peaks järelevalveasutus kaasama asjaomaseid järelevalveasutusi tihedalt otsustusprotsessi ja tagama selles kontekstis tiheda koostöö. …

(Põhjendus 129) Käesoleva määruse järjepideva jõustamise ja järelevalve tagamiseks kogu liidus peaksid järelevalveasutustel igas liikmesriigis olema samad ülesanded ja volitused, sealhulgas uurimisvolitused, parandusmeetmete võtmise ja karistuste määramise volitused, samuti volitused anda nõuandvaid arvamusi ja neid anda, eelkõige füüsiliste isikute esitatud kaebuste korral, ning, ilma et see piiraks liikmesriigi õiguses prokuratuuri volitusi, volitused juhtida käesoleva määruse rikkumiste tähelepanu kohtuasutustele ja võtta õiguslikke meetmeid. Need volitused peaksid hõlmama ka volitust kehtestada töötlemisele ajutine või alaline piirang, sealhulgas keeld. …

(Põhjendus 130) Kui järelevalveasutus, kellele kaebus on esitatud, ei ole juhtiv järelevalveasutus, peaks juhtiv järelevalveasutus tegema tihedat koostööd järelevalveasutusega, kellele kaebus on esitatud, vastavalt käesolevas määruses sätestatud koostöö ja järjepidevuse sätetele. …

(Põhjendus 137) Andmesubjektide õiguste ja vabaduste kaitsmiseks võib olla vajalik kiireloomuline tegutsemine, eelkõige juhul, kui on oht, et andmesubjekti õiguste teostamine võib olla oluliselt takistatud. Seetõttu peaks järelevalveasutusel olema õigus oma territooriumil võtta nõuetekohaselt põhjendatud ajutisi meetmeid, millel on kindlaksmääratud kehtivusaeg, mis ei tohiks ületada kolme kuud.

(Põhjendus 138) Sellise mehhanismi kohaldamine peaks tingimuseks seadma järelevalveasutuse poolt võetud õiguslike tagajärgede tekitamiseks mõeldud meetme seaduslikkuse juhtudel, kus selline kohaldamine on kohustuslik. …

(Põhjendus 141) Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, ning õigus tõhusale õiguskaitsevahendile vastavalt harta artiklile 47, kui ta leiab, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei tegele tema kaebusega, lükkab selle täielikult või osaliselt tagasi või ei võta meetmeid, kui on vaja meetmeid andmesubjekti õiguste kaitsmiseks. Kaebusele järgnev uurimine tuleks läbi viia kohtu järelevalve all ja üksikjuhtumi puhul vajalikus ulatuses.

(Põhjendus 142) Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada liikmesriigi õiguse kohaselt asutatud mittetulundusühingut, organisatsiooni või ühingut, mille põhikirjalised eesmärgid on avalikus huvis ja mis tegutseb isikuandmete kaitse valdkonnas, esitama tema nimel kaebuse järelevalveasutusele, teostama andmesubjektide nimel õigust õiguskaitsevahendile või, kui liikmesriigi õigus seda ette näeb, teostama andmesubjektide nimel õigust saada hüvitist. …

(Põhjendus 143) Igal füüsilisel või juriidilisel isikul on õigus esitada komitee otsuste tühistamiseks hagi Euroopa Kohtule Euroopa Liidu toimimise lepingu artiklis 263 sätestatud tingimustel. Pärast selliste otsuste kättesaamist peavad asjaomased järelevalveasutused, kes soovivad neid vaidlustada, tegema seda kahe kuu jooksul alates nende teatavakstegemisest vastavalt Euroopa Liidu toimimise lepingu artiklile 263. …

Kui järelevalveasutus on kaebuse tagasi lükanud või selle menetlemisest keeldunud, võib kaebuse esitaja esitada hagi sama liikmesriigi kohtutele. …

(Põhjendus 144) Kui kohtul, kellele on esitatud hagi järelevalveasutuse otsuse peale, on alust arvata, et teise liikmesriigi pädevas kohtus esitatakse hagisid, mis puudutavad sama töötlemist, näiteks sama eset, mida teostab sama vastutav töötleja või volitatud töötleja, või sama hagi alust, peaks ta võtma ühendust selle teise kohtuga, et kinnitada selliste seotud hagide olemasolu. …

(Põhjendus 145) Vastutava töötleja või volitatud töötleja vastu esitatud hagide puhul peaks taotlejal olema võimalik valida, kas esitada hagi selle liikmesriigi kohtule, kus vastutaval töötlejal või volitatud töötlejal on tegevuskoht, või selle liikmesriigi kohtule, kus andmesubjekt elab, välja arvatud juhul, kui vastutav töötleja on liikmesriigi avaliku sektori asutus, kes tegutseb oma avaliku võimu teostamisel.

(Põhjendus 146) Vastutav töötleja või volitatud töötleja peaks hüvitama kõik kahjud, mida andmesubjekt võib kanda käesoleva määruse rikkumisega teostatud töötlemise tagajärjel. Vastutav töötleja või volitatud töötleja peaks olema vastutusest vabastatud, kui ta tõendab, et kahju ei ole mingil viisil temale omistatav. … Kui aga vastutavad töötlejad ja volitatud töötlejad on seotud sama kohtumenetlusega, võib liikmesriigi õiguse kohaselt hüvitist jagada vastavalt iga vastutava töötleja või volitatud töötleja vastutuse osale töötlemisest tingitud kahju eest, tingimusel et andmesubjekti kantud kahju hüvitatakse täielikult ja tõhusalt. …

(Põhjendus 148) Käesoleva määruse eeskirjade jõustamise tugevdamiseks tuleks käesoleva määruse rikkumise korral määrata karistusi, sealhulgas haldustrahve, lisaks järelevalveasutuse poolt käesoleva määruse kohaselt kehtestatud asjakohastele meetmetele või nende asemel. Väiksema rikkumise korral või kui määratav trahv tekitaks füüsilisele isikule ebaproportsionaalset koormust, võib trahvi asemel teha hoiatuse. Siiski tuleks nõuetekohaselt arvesse võtta rikkumise laadi, raskusastet ja kestust, rikkumise tahtlikkust ja kahju leevendamiseks võetud meetmeid, vastutuse astet või varasemaid asjakohaseid rikkumisi, seda, kuidas järelevalveasutus rikkumisest teada sai, vastutava töötleja või volitatud töötleja suhtes võetud meetmete järgimist, käitumisjuhendi kohaldamist ning muid raskendavaid või leevendavaid asjaolusid. Karistuste, sealhulgas haldustrahvide kohaldamise suhtes tuleks kohaldada asjakohaseid menetluslikke tagatisi kooskõlas liidu õiguse üldpõhimõtete ja hartaga, sealhulgas õigust tõhusale õiguskaitsele ja õiglasele menetlusele.

(Põhjendus 150) Käesoleva määruse rikkumiste korral kohaldatavate halduskaristuste tugevdamiseks ja ühtlustamiseks peaks igal järelevalveasutusel olema õigus määrata haldustrahve. Käesolevas määruses tuleks määratleda rikkumised, nende maksimaalne summa ja nende suhtes kohaldatavate haldustrahvide määramise kriteeriumid, mille peaks kehtestama pädev järelevalveasutus igal üksikul juhul eraldi, võttes arvesse iga juhtumi kõiki eripärasid ning pöörates nõuetekohast tähelepanu eelkõige rikkumise laadile, raskusastmele ja kestusele ning selle tagajärgedele, samuti meetmetele, mis on võetud määrusest tulenevate kohustuste täitmise tagamiseks ja rikkumise tagajärgede ärahoidmiseks või leevendamiseks. …

(Põhjendus 152) Kui käesolev määrus ei ühtlusta halduskaristusi või kui see on vajalik muudel asjaoludel, näiteks käesoleva määruse raskete rikkumiste korral, peaksid liikmesriigid rakendama süsteemi, mis näeb ette tõhusad, proportsionaalsed ja hoiatavad karistused. Nende karistuste laad, olgu need kriminaal- või halduskaristused, tuleks kindlaks määrata liikmesriikide õigusega.

(Põhjendus 153) Liikmesriikide õigus peaks ühildama sõna- ja teabevabadust, sealhulgas ajakirjanduslikku, akadeemilist, kunstilist või kirjanduslikku eneseväljendust reguleerivad eeskirjad käesoleva määruse kohase isikuandmete kaitse õigusega. Isikuandmete töötlemise kontekstis üksnes ajakirjanduslikel eesmärkidel või akadeemilise, kunstilise või kirjandusliku eneseväljenduse eesmärgil tuleks ette näha erandid või vabastused käesoleva määruse teatud sätetest, kui see on vajalik isikuandmete kaitse õiguse ja sõna- ja teabevabaduse õiguse ühitamiseks, nagu on sätestatud harta artiklis 11. …

(Põhjendus 154) Käesolev määrus võimaldab selle kohaldamisel arvesse võtta ametlike dokumentide avaliku kättesaadavuse põhimõtet. Avalikku juurdepääsu ametlikele dokumentidele võib pidada avalikes huvides olevaks. …

(Põhjendus 155) Liikmesriigi õigus või kollektiivlepingud, sealhulgas „ettevõtte lepingud“, võivad sätestada töötajate isikuandmete töötlemise erieeskirjad töösuhete kontekstis, sealhulgas tingimused, mille kohaselt võib töösuhete kontekstis isikuandmeid töödelda töötaja nõusoleku alusel töölevõtmise, töölepingu täitmise, sealhulgas seaduses või kollektiivlepingutes sätestatud kohustuste täitmise, töö juhtimise, planeerimise ja korraldamise, töökohal võrdõiguslikkuse ja mitmekesisuse, töötervishoiu ja tööohutuse ning tööõiguste ja -hüvitiste individuaalse või kollektiivse teostamise ja nautimise eesmärgil, samuti töösuhte lõpetamise eesmärgil.

(Põhjendus 162) Kui isikuandmeid töödeldakse statistilistel eesmärkidel, tuleks käesolevat määrust kohaldada sellise töötlemise suhtes. Liidu või liikmesriigi õigus peaks käesoleva määruse piires kindlaks määrama statistilise sisu, määratlema andmetele juurdepääsu kontrolli ning kehtestama erisätted isikuandmete töötlemiseks statistilistel eesmärkidel ja asjakohased meetmed andmesubjekti õiguste ja vabaduste kaitsmiseks ning statistilise konfidentsiaalsuse säilitamiseks. …

(Põhjendus 163) Liidu ja liikmesriikide statistikaasutuste poolt ametliku Euroopa ja riikliku statistika koostamiseks kogutud konfidentsiaalset teavet tuleks kaitsta. …

(Põhjendus 164) Seoses järelevalveasutuste volitustega saada vastutavalt töötlejalt või volitatud töötlejalt juurdepääs isikuandmetele ja juurdepääs oma ruumidele, võivad liikmesriigid käesoleva määruse piires seadusega vastu võtta erinormid, et tagada ametisaladuse hoidmise kohustus või muu samaväärne saladuse hoidmise kohustus, niivõrd kui see on vajalik isikuandmete kaitse õiguse ja ametisaladuse hoidmise kohustuse ühitamiseks. …

 (Põhjendus 166) Käesoleva määruse eesmärkide saavutamiseks, nimelt füüsiliste isikute põhiõiguste ja -vabaduste, eelkõige nende õiguse isikuandmete kaitsele kaitsmiseks ja selliste andmete vaba liikumise tagamiseks liidus, peaks komisjonil olema õigus võtta vastu delegeeritud õigusakte kooskõlas Euroopa Liidu toimimise lepingu artikliga 290. Eelkõige tuleks vastu võtta delegeeritud õigusakte sertifitseerimismehhanismide kriteeriumide ja nõuete, standardsete ikoonide kujul esitatava teabe ja selliste ikoonide pakkumise korra kohta. …

(Põhjendus 168) Arvestades asjaomaste õigusaktide üldist ulatust, tuleks rakendusaktide vastuvõtmiseks kasutada kontrollimenetlust seoses vastutavate ja volitatud töötlejate vaheliste ning volitatud töötlejate vaheliste tüüptingimustega; käitumisjuhendite; tehniliste standardite ja sertifitseerimismehhanismidega; …

(Põhjendus 170) Kuna käesoleva määruse eesmärki, nimelt füüsiliste isikute samaväärse kaitsetaseme ja isikuandmete vaba liikumise tagamist kogu liidus, ei suuda liikmesriigid piisavalt saavutada, küll aga saab seda meetme ulatuse või mõju tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid, …

Avastage Viqtor®
etET
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT fiFI lvLV lt_LTLT sk_SKSK sl_SISL etET