Les Considérants

Huomioitavaa

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Emme voineet jättää huomiotta johdantokappaleita, ainakaan niitä tärkeimpiä, jotka olivat GDPR:n taustalla. Ne muodostavat lopullisessa asetuksessa ja direktiivissä palautetun filosofian, ne tulkitsevat ja yhdenmukaistavat yhdessä prismassa kaikkien jäsenvaltioiden lainsäädännössä omaksutut tietosuojalainsäädännön näkökohdat. Ne ilmentävät eurooppalaista monimuotoisuutta ja muodostavat samalla kokonaisuuden. Ne valaisevat ymmärrystämme ja antavat merkitystä, ne todistavat, että jotain syvällistä on tapahtumassa, varmasti ja ensi silmäyksellä, vastauksena GAFA:n, Googlen, Applen, Facebookin, Amazonin, Deezerin, Instagramin, Snapchatin ja muiden toimijoiden toimille, jotka ovat ryöstäneet käyttäytymistämme, halujamme ja toiveitamme... Toimijoita, joiden ainoa huolenaihe meille on lompakkomme!

Minusta tuntui välttämättömältä esittää teille tärkeimmät huomiot ja/tai tärkeimmät kohdat. Jos haluatte mennä pidemmälle, CNIL:n verkkosivusto on jälleen kerran erityisen kattava, ja kehotan teitä käymään siellä...

(Johdanto-osan 1 kappale) Yksilöiden suojelu henkilötietojen käsittelyssä on perusoikeus. … määrätään, että jokaisella on oikeus häntä itseään koskevien henkilötietojen suojaan.

(Johdanto-osan 2 kappale) Luonnollisten henkilöiden suojelua heitä koskevien henkilötietojen käsittelyssä koskevien periaatteiden ja sääntöjen olisi, riippumatta kyseisten luonnollisten henkilöiden kansalaisuudesta tai asuinpaikasta, kunnioitettava heidän perusoikeuksiaan ja -vapauksiaan, erityisesti heidän oikeuttaan henkilötietojen suojaan. … edistää vapauden, turvallisuuden ja oikeuden alueen sekä talousliiton luomista, taloudellista ja sosiaalista kehitystä, talouksien vakiinnuttamista ja lähentymistä sisämarkkinoilla sekä luonnollisten henkilöiden hyvinvointia.

(Johdanto-osan 3 kappale) ... Neuvosto pyrkii yhdenmukaistamaan luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelun käsittelytoimien yhteydessä ja varmistamaan henkilötietojen vapaan liikkuvuuden jäsenvaltioiden välillä.

(Johdanto-osan 4 kappale) Henkilötietojen käsittelyn tulisi palvella ihmiskuntaa. Oikeus henkilötietojen suojaan ei ole absoluuttinen oikeus; sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja punnittava muiden perusoikeuksien kanssa suhteellisuusperiaatteen mukaisesti. ...yksityis- ja perhe-elämän, kodin ja viestinnän kunnioittaminen, henkilötietojen suoja, ajatuksen, omantunnon ja uskonnon vapaus, sananvapaus ja tiedonvälityksen vapaus, elinkeinovapaus, oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan oikeudenkäyntiin sekä kulttuurinen, uskonnollinen ja kielellinen monimuotoisuus.

(Johdanto-osan 6 kappale) Nopea teknologinen kehitys ja globalisaatio ovat luoneet uusia haasteita henkilötietojen suojalle. Henkilötietojen keräämisen ja jakamisen laajuus on kasvanut merkittävästi. Teknologia mahdollistaa sekä yksityisten yritysten että viranomaisten käyttää henkilötietoja toiminnassaan ennennäkemättömällä tavalla. Yksilöt asettavat yhä useammin tietoja itsestään julkisesti ja maailmanlaajuisesti saataville. Teknologia on mullistanut sekä taloudellisia että yhteiskunnallisia suhteita, ja sen tulisi entisestään helpottaa henkilötietojen vapaata liikkuvuutta unionin sisällä ja niiden siirtämistä kolmansiin maihin ja kansainvälisille järjestöille samalla varmistaen korkeatasoisen henkilötietojen suojan.

(Johdanto-osan 7 kappale) ...on tärkeää rakentaa luottamusta, joka mahdollistaa digitaalisen talouden kukoistamisen koko sisämarkkinoilla. Yksilöillä tulisi olla määräysvalta omiin henkilötietoihinsa. ...

(Johdanto-osan 9 kappale) ... tietosuojan täytäntöönpanon hajanaisuus unionissa, oikeudellinen epävarmuus tai laajalle levinnyt yleinen käsitys siitä, että yksilöiden suojeluun kohdistuu edelleen merkittäviä riskejä, erityisesti verkkoympäristössä. Luonnollisten henkilöiden oikeuksien ja vapauksien, erityisesti henkilötietojen suojaa koskevan oikeuden, suojan tason erot jäsenvaltioissa henkilötietojen käsittelyssä voivat estää tällaisten tietojen vapaan liikkuvuuden koko unionissa. Tällaiset erot voivat siksi muodostaa esteen taloudellisen toiminnan harjoittamiselle unionin tasolla, vääristää kilpailua ja estää viranomaisia täyttämästä unionin oikeuden mukaisia velvoitteitaan. ...

(Johdanto-osan 10 kappale) Jotta voidaan varmistaa luonnollisten henkilöiden suojelun johdonmukainen ja korkeatasoinen taso ja poistaa henkilötietojen liikkumisen esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojan tason tällaisten tietojen käsittelyssä olisi oltava sama kaikissa jäsenvaltioissa. Siksi on asianmukaista varmistaa luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaa koskevien sääntöjen johdonmukainen ja yhdenmukainen soveltaminen henkilötietojen käsittelyssä koko unionissa. …

(Johdanto-osan 11 kappale) Henkilötietojen tehokas suoja kaikkialla unionissa edellyttää rekisteröityjen oikeuksien ja henkilötietojen käsittelyä suorittavien ja siitä päättävien velvollisuuksien vahvistamista ja selkeyttämistä sekä sitä, että jäsenvaltioissa säädetään vastaavista valtuuksista valvoa ja tarkentaa henkilötietojen suojaa koskevien sääntöjen noudattamista sekä vastaavista seuraamuksista rikkomuksista.

(Johdanto-osan 13 kappale)

Jotta voidaan varmistaa luonnollisten henkilöiden suojelun yhdenmukainen taso kaikkialla unionissa ja välttää eroavaisuudet, jotka estävät henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla tarjotaan oikeusvarmuutta ja läpinäkyvyyttä talouden toimijoille, mukaan lukien mikroyritykset sekä pienet ja keskisuuret yritykset, jotta luonnollisilla henkilöillä kaikissa jäsenvaltioissa on samat täytäntöönpanokelpoiset oikeudet ja velvollisuudet ja vastuut rekisterinpitäjille ja henkilötietojen käsittelijöille sekä jotta varmistetaan henkilötietojen käsittelyn johdonmukainen valvonta ja vastaavat seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. Jotta sisämarkkinat toimisivat moitteettomasti, on välttämätöntä, että henkilötietojen vapaata liikkuvuutta unionissa ei rajoiteta eikä kielletä luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä liittyvillä perusteilla. …

(Johdanto-osan 14 kappale) Tämän asetuksen tarjoaman suojan olisi koskettava luonnollisia henkilöitä heidän kansalaisuudestaan tai asuinpaikastaan riippumatta heidän henkilötietojensa käsittelyssä. Tämä asetus ei kata oikeushenkilöitä koskevien henkilötietojen käsittelyä, …

 (Johdanto-osan 17 kappale) Euroopan parlamentin ja neuvoston asetusta (EY) N:o 45/2001 sovelletaan unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn. …

(Johdanto-osan 19 kappale) Luonnollisten henkilöiden suojelua toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ehkäisemiseksi, tutkimiseksi, paljastamiseksi tai syytteeseenpanoa varten tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhilta suojelu ja näiden uhkien ehkäiseminen sekä tällaisten tietojen vapaa liikkuvuus, säännellään erityisellä unionin säädöksellä. …

(Johdanto-osan 22 kappale) Kaikki henkilötietojen käsittely, joka tapahtuu rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikan toiminnan yhteydessä unionin alueella, olisi suoritettava tämän asetuksen mukaisesti riippumatta siitä, tapahtuuko itse käsittely unionissa vai ei. Toimipaikan edellytyksenä on toiminnan tehokas ja tosiasiallinen harjoittaminen kiinteän toimipaikan avulla. …

(Johdanto-osan 23 kappale) Jotta varmistetaan, että luonnollinen henkilö ei jää tämän asetuksen mukaisen suojan ulkopuolelle, unionissa olevien rekisteröityjen henkilötietojen käsittelyyn, jota suorittaa unioniin sijoittautumaton rekisterinpitäjä tai henkilötietojen käsittelijä, olisi sovellettava tätä asetusta, jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen kyseisille rekisteröidyille riippumatta siitä, peritäänkö maksua. Sen määrittämiseksi, tarjoaako tällainen rekisterinpitäjä tai henkilötietojen käsittelijä tavaroita tai palveluita unionissa oleville rekisteröidyille, olisi selvitettävä, onko selvää, että rekisterinpitäjä tai henkilötietojen käsittelijä aikoo tarjota palveluja rekisteröidyille yhdessä tai useammassa unionin jäsenvaltiossa. …

(Johdanto-osan 24 kappale) Unionissa olevien rekisteröityjen henkilötietojen käsittelyyn, jota suorittaa unioniin sijoittautumaton rekisterinpitäjä tai henkilötietojen käsittelijä, olisi myös sovellettava tätä asetusta, jos tällainen käsittely liittyy kyseisten rekisteröityjen käyttäytymisen seurantaan siltä osin kuin se koskee heidän käyttäytymistään unionissa. Sen määrittämiseksi, voidaanko käsittelytoimintaa pitää rekisteröityjen käyttäytymisen seurantana, olisi selvitettävä, seurataanko luonnollisia henkilöitä internetissä, mihin sisältyy mahdollinen myöhempi henkilötietojen käsittelytekniikoiden käyttö, joihin kuuluu luonnollisen henkilön profilointi, erityisesti häntä koskevien päätösten tekemistä tai hänen mieltymystensä, käyttäytymisensä ja asenteidensa analysointia tai ennustamista varten.

(Johdanto-osan 25 kappale) Jos jäsenvaltion lakia sovelletaan kansainvälisen julkisoikeuden nojalla, tätä asetusta olisi sovellettava myös unioniin sijoittautumattomaan rekisterinpitäjään …

(Johdanto-osan 26 kappale) Tietosuojan periaatteita olisi sovellettava kaikkiin tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviin tietoihin. Pseudonymisoituja henkilötietoja, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietojen avulla, olisi pidettävä tunnistettavissa olevaan luonnolliseen henkilöön liittyvinä tietoina. Määritettäessä, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita rekisterinpitäjä kohtuudella todennäköisesti käyttää …

(Johdanto-osan 27 kappale) Tätä asetusta ei sovelleta kuolleiden henkilöiden henkilötietoihin. Jäsenvaltiot voivat säätää säännöistä kuolleiden henkilöiden henkilötietojen käsittelystä.

(Johdanto-osan 28 kappale) Henkilötietojen pseudonymisointi voi vähentää rekisteröityihin kohdistuvia riskejä ja auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä täyttämään tietosuojavelvoitteensa. Pseudonymisoinnin nimenomainen käyttöönotto tässä asetuksessa ei ole tarkoitettu sulkemaan pois muita tietosuojatoimenpiteitä.

(Johdanto-osan 29 kappale) Jotta henkilötietojen käsittelyssä voitaisiin edistää pseudonymisointia, saman rekisterinpitäjän tulisi voida tehdä pseudonymisointitoimenpiteitä yleisen analyysin mahdollistamiseksi, jos rekisterinpitäjä on toteuttanut tarvittavat tekniset ja organisatoriset toimenpiteet sen varmistamiseksi, että kyseistä käsittelyä varten tätä asetusta noudatetaan ja että lisätiedot, joiden avulla voidaan yhdistää henkilötiedot tiettyyn rekisteröityyn, säilytetään erikseen. Henkilötietoja käsittelevän rekisterinpitäjän olisi ilmoitettava tähän tarkoitukseen valtuutetut henkilöt saman rekisterinpitäjän sisällä.

(Johdanto-osan 30 kappale) Yksilöt voidaan yhdistää käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien kautta verkkotunnisteisiin, kuten IP-osoitteisiin ja evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnistimiin. Nämä tunnisteet voivat jättää jälkiä, joita voidaan erityisesti yhdistettynä yksilöllisiin tunnisteisiin ja muihin palvelimien vastaanottamiin tietoihin käyttää yksilöiden profiilien luomiseen ja näiden henkilöiden tunnistamiseen.

(Johdanto-osan 31 kappale) Viranomaisia, joille henkilötietoja luovutetaan lakisääteisen velvoitteen nojalla niiden virallisten tehtävien hoitamiseksi, kuten vero- ja tulliviranomaisia, rahoitusalan tutkintayksiköitä, riippumattomia hallintoviranomaisia tai arvopaperimarkkinoiden sääntelystä ja valvonnasta vastaavia finanssimarkkinaviranomaisia, ei pitäisi pitää vastaanottajina, jos ne saavat henkilötietoja, jotka ovat tarpeen yleisen edun mukaisen tietyn tutkimuksen suorittamiseksi, …

(Johdanto-osan 32 kappale) Suostumus olisi annettava selkeällä suostumusta ilmaisevalla toimella, jolla rekisteröity vapaasti, täsmällisesti, tietoisesti ja yksiselitteisesti hyväksyy häntä koskevien henkilötietojen käsittelyn, esimerkiksi kirjallisella lausunnolla, myös sähköisesti, tai suullisella lausunnolla. Tämä voi olla esimerkiksi verkkosivustolla vieraillessa rastittamalla ruutu, valitsemalla tiettyjä teknisiä asetuksia tietoyhteiskunnan palveluissa tai lisälausumalla tai toiminnalla, joka selvästi osoittaa tässä yhteydessä, että rekisteröity suostuu henkilötietojensa käsittelyyn. Suostumuksen ei siksi voida olettaa perustuvan hiljaisuuteen, oletusarvoisiin rastituksiin tai passiivisuuteen. …

(Johdanto-osan 36 kappale) Rekisterinpitäjän päätoimipaikan unionissa olisi oltava sen keskushallinnon sijaintipaikka unionissa, paitsi jos henkilötietojen käsittelyn tarkoituksia ja keinoja koskevat päätökset tehdään rekisterinpitäjän toisessa toimipaikassa unionissa, jolloin tätä toista toimipaikkaa olisi pidettävä päätoimipaikkana. Rekisterinpitäjän päätoimipaikka unionissa olisi määritettävä objektiivisten kriteerien perusteella, ja sen olisi sisällettävä tehokasta ja tosiasiallista hallinnollista toimintaa, jossa määritetään käsittelyn tarkoituksia ja keinoja koskevat keskeiset päätökset vakaassa toimipaikassa. …

(Johdanto-osan 37 kappale) Yritysryhmän tulisi kattaa määräysvaltaa käyttävä yritys ja sen määräysvallassa olevat yritykset, joista ensin mainitulla on se, joka voi käyttää määräysvaltaa muihin yrityksiin esimerkiksi pääomaomistuksensa, taloudellisen osallistumisensa tai sitä koskevien sääntöjensä tai henkilötietojen suojaa koskevien sääntöjen täytäntöönpanovallan perusteella. Yritystä, joka valvoo henkilötietojen käsittelyä siihen sidoksissa olevissa yrityksissä, olisi pidettävä yritysryhmänä näiden yritysten kanssa.

(Johdanto-osan 38 kappale) Lapset ansaitsevat erityistä suojaa henkilötietojensa osalta, koska he saattavat olla vähemmän tietoisia henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista ja suojatoimista sekä oikeuksistaan. Tämän erityissuojan olisi erityisesti koskettava lasten henkilötietojen käyttöä markkinointitarkoituksiin tai persoonallisuus- tai käyttäjäprofiilien luomiseen sekä lasten henkilötietojen keräämistä käytettäessä suoraan lapselle tarjottavia palveluja. Vanhempainvastuunkantajan suostumusta ei pitäisi vaatia lapselle suoraan tarjottavien ennaltaehkäisevien tai neuvontapalveluiden yhteydessä.

(Johdanto-osan 39 kappale) Kaiken henkilötietojen käsittelyn tulee olla laillista ja asianmukaista. Tietojen siitä, että luonnollisia henkilöitä koskevia henkilötietoja kerätään, käytetään, niihin päästään käsiksi tai niitä muutoin käsitellään, sekä siitä, missä määrin näitä tietoja käsitellään tai tullaan käsittelemään, tulee olla läpinäkyviä kyseisille luonnollisille henkilöille. Läpinäkyvyyden periaate edellyttää, että kaikki tällaisten henkilötietojen käsittelyyn liittyvät tiedot ja viestintä ovat helposti saatavilla, helposti ymmärrettäviä ja selkeällä ja yksinkertaisella kielellä muotoiltuja. Tätä periaatetta sovelletaan erityisesti rekisteröidyille annettaviin tietoihin rekisterinpitäjän henkilöllisyydestä ja käsittelyn tarkoituksista sekä muihin tietoihin, joiden tarkoituksena on varmistaa asianmukainen ja läpinäkyvä käsittely kyseisten luonnollisten henkilöiden osalta ja heidän oikeutensa saada vahvistus ja tieto siitä, käsitelläänkö heidän henkilötietojaan. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää oikeuksiaan tällaiseen käsittelyyn liittyen. …

(Johdanto-osan 40 kappale) Jotta henkilötietojen käsittely olisi laillista, sen on perustuttava rekisteröidyn suostumukseen tai muuhun laissa säädettyyn oikeutettuun perusteeseen, …

(Johdanto-osan 42 kappale) Jos käsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän on voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimeen. …

(Johdanto-osan 43 kappale) Jotta voidaan varmistaa, että suostumus on vapaaehtoinen, sen ei pitäisi olla pätevä oikeusperuste henkilötietojen käsittelylle yksittäistapauksessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on ilmeinen epätasapaino, erityisesti jos rekisterinpitäjä on viranomainen ja on epätodennäköistä, että suostumus olisi annettu vapaasta tahdosta kaikissa kyseisen tilanteen olosuhteissa. Suostumuksen katsotaan olevan antamatta vapaasta tahdosta, jos erillistä suostumusta ei voida antaa henkilötietojen eri käsittelytoimiin, vaikka se olisi asianmukaista kyseisessä tapauksessa, tai jos sopimuksen, mukaan lukien palvelun tarjoamisen, täytäntöönpano on ehdollinen suostumuksesta, vaikka suostumus ei ole välttämätön tällaisen täytäntöönpanon kannalta.

(Johdanto-osan 44 kappale) Käsittelyä olisi pidettävä laillisena, kun se on tarpeen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistarkoituksen toteuttamiseksi.

(Johdanto-osan 45 kappale) Jos käsittely suoritetaan rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai jos se on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi, käsittelyllä olisi oltava unionin tai jäsenvaltion lainsäädännön mukainen oikeusperuste. …

(Johdanto-osan 46 kappale) Henkilötietojen käsittelyä olisi pidettävä laillisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeän edun suojaamiseksi. Henkilötietojen käsittely toisen luonnollisen henkilön elintärkeän edun perusteella olisi periaatteessa suoritettava vain, jos käsittelylle ei selvästikään ole muuta oikeusperustetta. …

(Johdanto-osan 47 kappale) Rekisterinpitäjän, mukaan lukien sen rekisterinpitäjän, jolle henkilötietoja voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa oikeusperusteen käsittelylle, paitsi jos rekisteröidyn edut tai perusoikeudet ja -vapaudet ovat etusijalla, ottaen huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän suhteeseensa rekisterinpitäjään. …

(Johdanto-osan 48 kappale) Rekisterinpitäjillä, jotka ovat osa yritysten konsernia tai keskusyksikköön sidoksissa olevia toimipaikkoja, voi olla oikeutettu etu siirtää henkilötietoja yritysten konsernin sisällä sisäisiä hallinnollisia tarkoituksia varten, mukaan lukien asiakkaisiin tai työntekijöihin liittyvien henkilötietojen käsittely. …

(Johdanto-osan 49 kappale) Henkilötietojen käsittely siinä laajuudessa kuin se on ehdottoman välttämätöntä ja oikeasuhteista verkko- ja tietoturvallisuuden varmistamiseksi – eli verkon tai tietojärjestelmän kyvyn kestää tietyllä luottamustasolla vahingossa tapahtuvia tapahtumia tai laittomia tai ilkivaltaisia toimia, jotka vaarantavat tallennettujen tai siirrettyjen henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden sekä tällaisten verkkojen ja järjestelmien kautta tarjottavien tai saataville asetettujen niihin liittyvien palvelujen turvallisuuden – viranomaisten, tietoturvahäiriöihin reagoivien ryhmien (CERT), tietoturvahäiriöihin reagoivien ryhmien (CSIRT), sähköisten viestintäverkkojen ja -palvelujen tarjoajien sekä turvallisuusteknologioiden ja -palvelujen tarjoajien toimesta, on asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Tähän voi sisältyä esimerkiksi luvattoman pääsyn sähköisiin viestintäverkkoihin ja haittakoodin levittämisen estäminen sekä palvelunestohyökkäysten ja tietokone- ja sähköisten viestintäjärjestelmien vahingoittumisen pysäyttäminen.

(Johdanto-osan 50 kappale) Henkilötietojen käsittely muihin kuin niihin tarkoituksiin, joita varten henkilötiedot alun perin kerättiin, olisi sallittua vain, jos se on yhteensopivaa niiden tarkoitusten kanssa, joita varten henkilötiedot alun perin kerättiin. …

Jos rekisteröity on antanut suostumuksensa tai käsittely perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide erityisesti yleisen edun mukaisten tärkeiden tavoitteiden turvaamiseksi, rekisterinpitäjän olisi voitava käsitellä henkilötietoja edelleen riippumatta siitä, ovatko nämä tarkoitukset yhteensopivia. …

(Johdanto-osan 51 kappale) Henkilötiedot, jotka ovat luonteeltaan erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, ansaitsevat erityistä suojaa, koska niiden käsittelyn asiayhteys voi aiheuttaa merkittäviä riskejä näille oikeuksille ja vapauksille. Tällaisiin henkilötietoihin olisi sisällytettävä henkilötiedot, jotka paljastavat rodullisen tai etnisen alkuperän, ja tässä asetuksessa "rodullisen alkuperän" termin käyttö ei tarkoita, että unioni tukisi teorioita erillisten ihmisrotujen olemassaolosta. …

(Johdanto-osan 52 kappale) Erityisten henkilötietoryhmien käsittelykiellosta olisi myös sallittava poikkeuksia, jos unionin tai jäsenvaltion lainsäädännössä niin säädetään ja edellyttäen, että sovelletaan asianmukaisia suojatoimia henkilötietojen ja muiden perusoikeuksien suojaamiseksi, jos yleinen etu sitä vaatii, mukaan lukien henkilötietojen käsittely työoikeuden ja sosiaaliturvalainsäädännön, mukaan lukien eläkkeiden, alalla sekä turvallisuuden, terveyden seurannan ja hälytystoiminnan, tartuntatautien ja muiden vakavien terveysuhkien ehkäisemisen tai torjunnan tarkoituksia varten. …

(Johdanto-osan 53 kappale) Erityisryhmiin kuuluvia henkilötietoja, jotka ansaitsevat korkeampaa suojaa, olisi käsiteltävä ainoastaan terveyteen liittyvissä tarkoituksiin, jos se on tarpeen näiden tarkoitusten saavuttamiseksi yksilöiden ja koko yhteiskunnan edun mukaisesti, erityisesti terveys- tai sosiaalihuoltopalvelujen ja -järjestelmien hallinnoinnin yhteydessä, mukaan lukien kansallisten hallintoviranomaisten ja keskusterveysviranomaisten suorittama tällaisten tietojen käsittely, laadunvalvontaa, johtajien tiedottamista ja yleistä valvontaa varten kansallisella ja paikallisella tasolla terveys- tai sosiaalihuoltojärjestelmässä sekä terveydenhuollon tai sosiaalihuollon ja rajat ylittävän terveydenhuollon jatkuvuuden varmistamiseksi tai terveysturvallisuuden, valvonnan ja hälytystoiminnan vuoksi tai yleisen edun mukaisia arkistointitarkoituksia varten, tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisia tarkoituksia varten unionin tai jäsenvaltion lainsäädännön nojalla, jonka on täytettävä yleisen edun tavoite, sekä yleisen edun mukaisia tutkimuksia varten kansanterveyden alalla. …

(Johdanto-osan 54 kappale) Erityisten henkilötietoryhmien käsittely voi olla tarpeen yleisen edun vuoksi kansanterveyden alalla ilman rekisteröidyn suostumusta. … Tällainen terveyttä koskevien tietojen käsittely yleisen edun vuoksi ei saisi johtaa siihen, että kolmannet osapuolet, kuten työnantajat tai vakuutusyhtiöt ja pankit, käsittelevät henkilötietoja muihin tarkoituksiin.

(Johdanto-osan 56 kappale) Jos vaaleihin liittyvän toiminnan yhteydessä jäsenvaltion demokraattisen järjestelmän toiminta edellyttää poliittisilta puolueilta henkilötietojen keräämistä yksilöiden poliittisista mielipiteistä, tällaisten tietojen käsittely voidaan sallia yleisen edun perusteella edellyttäen, että asianmukaisia suojatoimia on toteutettu.

(Johdanto-osan 57 kappale) Jos rekisterinpitäjän käsittelemät henkilötiedot eivät mahdollista luonnollisen henkilön tunnistamista, rekisterinpitäjän ei pitäisi olla velvollinen hankkimaan lisätietoja rekisteröidyn tunnistamiseksi ainoastaan tämän asetuksen säännöksen noudattamiseksi. Rekisterinpitäjän ei kuitenkaan pitäisi kieltäytyä rekisteröidyn toimittamista lisätiedoista, jotka on tarkoitettu hänen oikeuksiensa käyttämisen helpottamiseksi. Tunnistamiseen olisi sisällyttävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todennusmekanismin avulla, kuten samoilla tunnistetiedoilla, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamaan verkkopalveluun.

(Johdanto-osan 58 kappale) Läpinäkyvyysperiaate edellyttää, että yleisölle tai rekisteröidylle osoitetut tiedot ovat ytimekkäitä, helposti saatavilla olevia ja ymmärrettäviä, ja että ne on muotoiltu selkeästi ja yksinkertaisesti ja tarvittaessa havainnollistettu visuaalisilla elementeillä. Tällaiset tiedot voitaisiin toimittaa sähköisessä muodossa, esimerkiksi verkkosivuston kautta, kun ne on suunnattu yleisölle. … Koska lapset ansaitsevat erityistä suojelua, kaikki tiedot ja viestintä, kun käsittely koskee heitä, olisi laadittava selkeästi ja yksinkertaisesti, jotta lapsi voi helposti ymmärtää ne.

(Johdanto-osan 59 kappale) Olisi tarjottava järjestelyjä, joilla helpotetaan rekisteröidyn oikeuksien käyttöä tämän asetuksen nojalla, mukaan lukien keinot pyytää ja tarvittaessa saada maksutta erityisesti oikeus tutustua henkilötietoihinsa sekä oikaista tai poistaa niitä ja käyttää oikeutta vastustaa tietojen käsittelyä. Rekisterinpitäjän olisi myös tarjottava keinot pyyntöjen esittämiseen sähköisesti, erityisesti silloin, kun henkilötietoja käsitellään sähköisesti. Rekisterinpitäjän olisi vastattava rekisteröidyn pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa sekä perusteltava vastauksensa, jos se ei aio noudattaa pyyntöjä.

(Johdanto-osan 60 kappale) Oikeudenmukaisen ja läpinäkyvän käsittelyn periaate edellyttää, että rekisteröityä informoidaan käsittelytoiminnasta ja sen tarkoituksista. Rekisterinpitäjän on annettava rekisteröidylle kaikki muut tiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteyden. Lisäksi rekisteröidylle olisi ilmoitettava profiloinnin olemassaolosta ja sen seurauksista. Kun henkilötietoja kerätään rekisteröidyltä itseltään, on tärkeää, että rekisteröity tietää myös, onko hän velvollinen antamaan henkilötiedot ja mitkä ovat niiden antamatta jättämisen seuraukset. …

(Johdanto-osan 61 kappale) Rekisteröidylle on annettava tiedot häntä koskevien henkilötietojen käsittelystä silloin, kun henkilötiedot kerätään häneltä, tai, jos henkilötiedot on saatu muusta lähteestä, kohtuullisessa ajassa kunkin tapauksen olosuhteista riippuen. Jos henkilötietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle on ilmoitettava, milloin henkilötiedot luovutetaan ensimmäisen kerran kyseiselle vastaanottajalle. …

(Johdanto-osan 62 kappale) Tietojen antamisvelvollisuutta ei kuitenkaan ole tarpeen asettaa, jos rekisteröidyllä on jo nämä tiedot, jos henkilötietojen tallentamisesta tai luovuttamisesta on nimenomaisesti säädetty laissa tai jos tietojen toimittaminen rekisteröidylle osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa. …

(Johdanto-osan 63 kappale) Rekisteröidyllä tulisi olla oikeus tutustua hänestä kerättyihin henkilötietoihin ja käyttää tätä oikeutta helposti ja kohtuullisin väliajoin ollakseen tietoinen käsittelystä ja tarkistaakseen sen lainmukaisuuden. Tähän sisältyy rekisteröityjen oikeus tutustua terveyttään koskeviin tietoihin, esimerkiksi potilaskertomuksistaan löytyviin tietoihin, jotka sisältävät tietoja kuten diagnooseja, tutkimustuloksia, hoitavien lääkäreiden lausuntoja sekä annettuja hoitoja tai toimenpiteitä. Näin ollen jokaisella rekisteröidyllä tulisi olla oikeus tietää ja saada tietoa erityisesti henkilötietojen käsittelyn tarkoituksista, mahdollisuuksien mukaan näiden henkilötietojen käsittelyn kestosta, näiden henkilötietojen vastaanottajien henkilöllisyydestä, automatisoidun käsittelyn logiikasta ja tällaisen käsittelyn mahdollisista seurauksista, ainakin profiloinnin tapauksessa. …

(Johdanto-osan 64 kappale) Rekisterinpitäjän tulisi ryhtyä kaikkiin kohtuullisiin toimiin tietoihin pääsyä pyytävän rekisteröidyn henkilöllisyyden varmentamiseksi, erityisesti verkkopalveluiden ja tunnisteiden yhteydessä. Rekisterinpitäjän ei tulisi säilyttää henkilötietoja ainoastaan voidakseen vastata mahdollisiin pyyntöihin.

(Johdanto-osan 65 kappale) Rekisteröidyillä olisi oltava oikeus saada itseään koskevat henkilötiedot oikaistua, ja heillä olisi oltava oikeus tulla unohdetuksi, jos kyseisten tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta tai jäsenvaltion oikeutta. Erityisesti rekisteröidyillä olisi oltava oikeus saada henkilötietonsa poistetuiksi ja lopetetuksi, jos kyseisiä henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai niitä muutoin käsiteltiin, jos rekisteröidyt ovat peruuttaneet suostumuksensa henkilötietojen käsittelyyn tai vastustavat itseään koskevien henkilötietojen käsittelyä tai jos heidän henkilötietojensa käsittely on muutoin ristiriidassa tämän asetuksen kanssa. Tämä oikeus on erityisen merkityksellinen silloin, kun rekisteröity on antanut suostumuksensa lapsena eikä ollut täysin tietoinen käsittelyyn liittyvistä riskeistä ja haluaa myöhemmin kyseisten henkilötietojensa poistettavan, erityisesti internetistä. …

(Johdanto-osan 66 kappale) Digitaalisen ”oikeuden tulla unohdetuksi” vahvistamiseksi myös oikeutta tietojen poistamiseen olisi laajennettava siten, että henkilötietoja julkistaneen rekisterinpitäjän on ilmoitettava näitä henkilötietoja käsitteleville rekisterinpitäjille, että kaikki linkit näihin tietoihin tai niiden kopiot tai jäljennökset olisi poistettava. …

(Johdanto-osan 67 kappale) Henkilötietojen käsittelyn rajoittamismenetelmiin voisivat kuulua muun muassa valittujen tietojen väliaikainen siirtäminen toiseen käsittelyjärjestelmään, valittujen henkilötietojen tekeminen käyttäjien ulottumattomiin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automatisoiduissa arkistointijärjestelmissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin siten, että henkilötietoja ei käsitellä edelleen eikä niitä voida muuttaa. Se, että henkilötietojen käsittelyä rajoitetaan, olisi ilmoitettava selvästi arkistointijärjestelmässä.

(Johdanto-osan 68 kappale) Omien tietojensa hallintaoikeuden vahvistamiseksi rekisteröidyillä tulisi myös olla oikeus, jos henkilötietoja käsitellään automaattisesti, saada rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä, koneellisesti luettavassa ja yhteentoimivassa muodossa ja siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Rekisterinpitäjiä olisi kannustettava kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen siirrettävyyden. …

(Johdanto-osan 69 kappale) Jos henkilötietoja voitaisiin laillisesti käsitellä, koska käsittely on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi taikka rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen vuoksi, rekisteröidyillä olisi kuitenkin oltava oikeus vastustaa heidän erityiseen tilanteeseensa liittyvien henkilötietojensa käsittelyä. Rekisterinpitäjän on näytettävä toteen, että sen huomattavan tärkeät oikeutetut edut syrjäyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet.

(Johdanto-osan 70 kappale) Jos henkilötietoja käsitellään suoramarkkinointitarkoituksiin, rekisteröidyllä olisi oltava oikeus milloin tahansa ja maksutta vastustaa tällaista käsittelyä, mukaan lukien profilointia siltä osin kuin se liittyy tällaiseen suoramarkkinointiin, riippumatta siitä, onko kyseessä alkuperäinen käsittely vai jatkokäsittely. …

(Johdanto-osan 71 kappale) Rekisteröidyllä tulisi olla oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka voi sisältää toimenpiteen, jossa arvioidaan tiettyjä häneen liittyviä henkilökohtaisia ominaisuuksia, ja joka perustuu yksinomaan automaattiseen käsittelyyn ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla, kuten verkkopohjaisen luottohakemuksen automaattinen hylkääminen tai verkkopohjaiset rekrytointikäytännöt ilman ihmisen puuttumista asiaan. Tämän tyyppiseen käsittelyyn kuuluu "profilointi", joka koostuu kaikenlaisesta henkilötietojen automaattisesta käsittelystä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin tai kiinnostuksen kohteisiin, luotettavuuteen tai käyttäytymiseen tai sijaintiin ja liikkeisiin liittyvien näkökohtien analysoimiseksi tai ennustamiseksi, kunhan sillä on rekisteröityyn liittyviä oikeusvaikutuksia tai se vaikuttaa häneen vastaavalla merkittävällä tavalla. …

(Johdanto-osan 73 kappale) Unionin lainsäädännössä tai jäsenvaltion lainsäädännössä voidaan asettaa rajoituksia tiettyihin erityisperiaatteisiin sekä oikeuteen saada tietoa, oikeuteen tutustua henkilötietoihin, oikeuteen oikaista tai poistaa tällaisia tietoja, oikeuteen siirtää tiedot järjestelmästä toiseen, oikeuteen vastustaa, profilointiin perustuviin päätöksiin sekä henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteröidylle ja tiettyihin rekisterinpitäjien velvoitteisiin, …

(Johdanto-osan 74 kappale) On asianmukaista määrittää rekisterinpitäjän vastuu kaikesta rekisterinpitäjän itse tai sen lukuun suoritetusta henkilötietojen käsittelystä. Erityisesti on tärkeää, että rekisterinpitäjän on toteutettava asianmukaiset ja tehokkaat toimenpiteet ja että se pystyy osoittamaan käsittelytoimien olevan tämän asetuksen mukaisia, mukaan lukien toimenpiteiden tehokkuus. …

(Johdanto-osan 75 kappale) Luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä, joiden todennäköisyys ja vakavuus vaihtelevat, voi aiheutua henkilötietojen käsittelystä, joka todennäköisesti aiheuttaa fyysistä, aineellista tai aineetonta vahinkoa, erityisesti: jos käsittely voi aiheuttaa syrjintää, identiteettivarkautta tai -petosta, taloudellista menetystä, maineen vahingoittumista, salassapitovelvollisuudella suojattujen tietojen luottamuksellisuuden menetystä, pseudonymisointiprosessin luvatonta peruuttamista tai muuta merkittävää taloudellista tai sosiaalista vahinkoa; jos rekisteröidyiltä voidaan riistää heidän oikeutensa ja vapautensa tai heiltä voidaan estää henkilötietojensa hallinta; jos käsittely koskee henkilötietoja, jotka paljastavat rodullisen tai etnisen alkuperän, poliittisia mielipiteitä, uskonnollisen tai filosofisen vakaumuksen, ammattiliiton jäsenyyden, sekä geneettisiä tietoja, terveyttä koskevia tietoja tai seksuaalielämää koskevia tietoja tai tietoja rikostuomioista ja rikkomuksista tai niihin liittyvistä turvatoimenpiteistä; kun arvioidaan henkilökohtaisia ominaisuuksia, erityisesti työsuoritusta, taloudellista tilannetta, terveyttä, henkilökohtaisia mieltymyksiä tai kiinnostuksen kohteita, luotettavuutta tai käyttäytymistä, sijaintia tai liikkeitä koskevien tekijöiden analysoinnin tai ennustamisen yhteydessä yksilöllisten profiilien luomiseksi tai käyttämiseksi; kun käsittely koskee haavoittuvassa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilökohtaisia tietoja; tai kun käsittely koskee suurta määrää henkilötietoja ja vaikuttaa suureen määrään rekisteröityjä.

(Johdanto-osan 76 kappale) Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus olisi määritettävä ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. …

(Johdanto-osan 78 kappale) Luonnollisten henkilöiden oikeuksien ja vapauksien suojaaminen henkilötietojen käsittelyssä edellyttää asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamista sen varmistamiseksi, että tämän asetuksen vaatimuksia noudatetaan. Jotta rekisterinpitäjä voi osoittaa tämän asetuksen noudattamisen, hänen olisi hyväksyttävä sisäisiä sääntöjä ja pantava täytäntöön toimenpiteitä, jotka kunnioittavat erityisesti sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteita. Tällaisia toimenpiteitä voivat olla muun muassa henkilötietojen käsittelyn minimointi, henkilötietojen pseudonymisointi mahdollisuuksien mukaan, henkilötietojen toimintojen ja käsittelyn läpinäkyvyyden varmistaminen, rekisteröidyn mahdollisuus hallita tietojen käsittelyä sekä rekisterinpitäjän mahdollisuus toteuttaa tai parantaa turvaominaisuuksia. Kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä sovelluksia, palveluita ja tuotteita, jotka ovat riippuvaisia henkilötietojen käsittelystä tai käsittelevät henkilötietoja tehtäviensä suorittamiseksi, tuotevalmistajia, palveluntarjoajia ja sovellusten tuottajia olisi kannustettava ottamaan huomioon oikeus tietosuojaan kehittäessään ja suunnitellessaan tällaisia tuotteita, palveluita ja sovelluksia ja varmistamaan, että rekisterinpitäjät ja henkilötietojen käsittelijät pystyvät täyttämään tietosuojavelvoitteensa ottaen asianmukaisesti huomioon uusimman tekniikan. Sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteet olisi otettava huomioon myös julkisissa hankinnoissa.

(Johdanto-osan 79 kappale) Rekisteröityjen oikeuksien ja vapauksien suoja sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuu, myös valvontaviranomaisten suorittaman valvonnan ja niiden toteuttamien toimenpiteiden yhteydessä, edellyttävät selkeää vastuunjakoa tämän asetuksen nojalla, …

(Johdanto-osan 80 kappale) Jos unioniin sijoittautumaton rekisterinpitäjä tai henkilötietojen käsittelijä käsittelee unionissa olevien rekisteröityjen henkilötietoja ja sen käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen kyseisille rekisteröidyille unionissa, riippumatta siitä, peritäänkö maksua, tai heidän käyttäytymisensä seurantaan siltä osin kuin se tapahtuu unionissa, rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimettävä edustaja, paitsi jos käsittely on satunnaista, siihen ei liity laajamittaista erityisten henkilötietoryhmien käsittelyä tai rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelyä eikä se todennäköisesti aiheuta riskiä luonnollisten henkilöiden oikeuksille ja vapauksille, ottaen huomioon käsittelyn luonteen, asiayhteyden, laajuuden ja tarkoitukset, tai jos rekisterinpitäjä on viranomainen tai julkinen elin. Edustajan olisi toimittava rekisterinpitäjän tai henkilötietojen käsittelijän puolesta, ja mikä tahansa valvontaviranomainen voi ottaa häneen yhteyttä. Rekisterinpitäjän tai henkilötietojen käsittelijän olisi nimenomaisesti nimettävä edustaja kirjallisella valtuutuksella toimimaan sen puolestaan tämän asetuksen mukaisten velvoitteidensa osalta. Edustajan nimeäminen ei rajoita rekisterinpitäjän tai henkilötietojen käsittelijän tämän asetuksen mukaisia vastuita. …

(Johdanto-osan 81 kappale) Jotta voidaan varmistaa, että tämän asetuksen vaatimukset täyttyvät rekisterinpitäjän lukuun suorittaman henkilötietojen käsittelijän suorittaman käsittelyn yhteydessä, kun jälkimmäinen antaa käsittelytoimet käsittelijälle, rekisterinpitäjän olisi käytettävä ainoastaan sellaisia käsittelijöitä, jotka tarjoavat riittävät takeet, erityisesti asiantuntemuksen, luotettavuuden ja resurssien osalta, sellaisten teknisten ja organisatoristen toimenpiteiden toteuttamiseksi, jotka täyttävät tämän asetuksen vaatimukset, mukaan lukien käsittelyn turvallisuus. …

(Johdanto-osan 82 kappale) Osoittaakseen tämän asetuksen noudattamisen rekisterinpitäjän tai käsittelijän olisi pidettävä kirjaa vastuullaan olevista käsittelytoimista. …

(Johdanto-osan 83 kappale) Turvallisuuden varmistamiseksi ja tämän asetuksen vastaisen käsittelyn estämiseksi on tärkeää, että rekisterinpitäjä tai henkilötietojen käsittelijä arvioi käsittelyyn liittyvät riskit ja toteuttaa toimenpiteitä niiden lieventämiseksi, kuten salauksen. Näillä toimenpiteillä olisi varmistettava asianmukainen turvallisuustaso, mukaan lukien luottamuksellisuus, ottaen huomioon uusimman tekniikan ja toteutuskustannukset suhteessa riskeihin ja suojattavien henkilötietojen luonteeseen. …

(Johdanto-osan 84 kappale) Jotta voidaan paremmin varmistaa tämän asetuksen noudattaminen silloin, kun käsittelytoimet todennäköisesti aiheuttavat korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän olisi oltava vastuussa tietosuojaa koskevan vaikutustenarvioinnin suorittamisesta, jossa arvioidaan erityisesti kyseisen riskin alkuperää, luonnetta, erityisyyttä ja vakavuutta. Arvioinnin tulos olisi otettava huomioon määritettäessä asianmukaisia toimenpiteitä sen osoittamiseksi, että henkilötietojen käsittely on tämän asetuksen mukaista. Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että tietojenkäsittelytoimiin liittyy korkea riski, jota rekisterinpitäjä ei voi lieventää asianmukaisilla toimenpiteillä ottaen huomioon käytettävissä olevat tekniikat ja niiden toteuttamiseen liittyvät kustannukset, valvontaviranomaista olisi kuultava ennen käsittelyn suorittamista.

(Johdanto-osan 85 kappale) Henkilötietojen tietoturvaloukkaus voi, jos oikea-aikaisia ja asianmukaisia toimia ei toteuteta, aiheuttaa kyseisille luonnollisille henkilöille fyysistä, aineellista tai henkistä vahinkoa, kuten henkilötietojen hallinnan menetyksen tai oikeuksien rajoittamisen, syrjinnän, identiteettivarkauden tai -petoksen, taloudellisia menetyksiä, pseudonymisointimenettelyn luvattoman peruuttamisen, maineen vahingoittumisen, salassapitovelvollisuudella suojattujen henkilötietojen luottamuksellisuuden menetyksen tai muita merkittäviä taloudellisia tai sosiaalisia vahinkoja. Näin ollen heti, kun rekisterinpitäjä tulee tietoiseksi henkilötietojen tietoturvaloukkauksesta, sen on ilmoitettava siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan viimeistään 72 tunnin kuluessa siitä, kun se on tullut siitä tietoiseksi, ellei se voi vastuuvelvollisuusperiaatteen mukaisesti osoittaa, että kyseinen tietoturvaloukkaus ei todennäköisesti aiheuta riskiä luonnollisten henkilöiden oikeuksille ja vapauksille. Jos tällaista ilmoitusta ei voida antaa 72 tunnin kuluessa, ilmoitukseen on liitettävä viivästyksen syyt, ja tiedot voidaan antaa vaiheittain ilman lisäaiheetonta viivytystä.

(Johdanto-osan 86 kappale) Rekisterinpitäjän on ilmoitettava rekisteröidylle henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisen henkilön oikeuksille ja vapauksille, jotta rekisteröity voi ryhtyä asianmukaisiin varotoimiin. …

(Johdanto-osan 87 kappale) On tarkistettava, onko kaikki asianmukaiset tekniset ja organisatoriset suojatoimet toteutettu, jotta voidaan välittömästi selvittää, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja siitä voidaan viipymättä ilmoittaa valvontaviranomaiselle ja rekisteröidylle. …

(Johdanto-osan 91 kappale) Tämän olisi sovellettava erityisesti laajamittaisiin käsittelytoimiin, joiden tarkoituksena on käsitellä huomattava määrä henkilötietoja alueellisella, kansallisella tai ylikansallisella tasolla, jotka voivat vaikuttaa merkittävään määrään rekisteröityjä ja jotka todennäköisesti aiheuttavat suuren riskin esimerkiksi arkaluonteisuutensa vuoksi, kun uusimman tekniikan mukaisesti sovelletaan laajamittaisesti uutta tekniikkaa, sekä muihin käsittelytoimiin, jotka aiheuttavat suuren riskin rekisteröityjen oikeuksille ja vapauksille, erityisesti silloin, kun tällaisten toimien seurauksena rekisteröityjen on vaikeampi käyttää oikeuksiaan. Tietosuojaa koskeva vaikutustenarviointi olisi tehtävä myös silloin, kun henkilötietoja käsitellään tiettyjä luonnollisia henkilöitä koskevien päätösten tekemiseksi sen jälkeen, kun luonnollisten henkilöiden erityisiä henkilökohtaisia ominaisuuksia on arvioitu järjestelmällisesti ja perusteellisesti näiden tietojen profiloinnin perusteella tai kun on käsitelty erityisiä henkilötietoryhmiä, biometrisiä tietoja tai rikostuomioihin ja rikkomuksiin liittyviä tietoja tai niihin liittyviä turvatoimenpiteitä. …

(Johdanto-osan 92 kappale) On tapauksia, joissa voi olla kohtuullista ja kustannustehokasta laajentaa tietosuojaa koskevan vaikutustenarvioinnin soveltamisalaa yhden hankkeen ulkopuolelle, esimerkiksi silloin, kun viranomaiset tai julkiset elimet aikovat ottaa käyttöön yhteisen sovelluksen tai käsittelyalustan tai kun useat rekisterinpitäjät aikovat luoda yhteisen sovellus- tai käsittelyympäristön koko toimialalle tai ammattisegmentille tai laajalti käytetylle monialaiselle toiminnalle.

(Johdanto-osan 94 kappale) Jos tietosuojaa koskeva vaikutustenarviointi osoittaa, että ilman suojatoimia, turvatoimenpiteitä ja riskienlieventämismekanismeja käsittely aiheuttaisi korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, ja rekisterinpitäjä katsoo, että riskiä ei voida lieventää kohtuullisin keinoin ottaen huomioon käytettävissä oleva teknologia ja toteutuskustannukset, valvontaviranomaista on kuultava ennen käsittelytoimien aloittamista. …

(Johdanto-osan 97 kappale) Jos käsittelyn suorittaa viranomainen, lukuun ottamatta tuomioistuimia tai riippumattomia oikeusviranomaisia lainkäyttötehtävissään, ja jos yksityisellä sektorilla käsittelyn suorittaa rekisterinpitäjä, jonka ydintoimintaan kuuluvat rekisteröityjen säännöllistä ja järjestelmällistä seurantaa edellyttävät käsittelytoimet laajamittaisesti, tai jos rekisterinpitäjän tai henkilötietojen käsittelijän ydintoimintaan kuuluu erityisten henkilötietoryhmien ja rikostuomioihin ja rikkomuksiin liittyvien tietojen laajamittainen käsittely, henkilön, jolla on asiantuntemusta tietosuojalainsäädännöstä ja -käytännöistä, olisi avustettava rekisterinpitäjää tai henkilötietojen käsittelijää tämän asetuksen sisäisen noudattamisen varmistamisessa. …

(Johdanto-osan 98 kappale) Rekisterinpitäjien tai henkilötietojen käsittelijöiden luokkia edustavia yhdistyksiä tai muita elimiä olisi kannustettava laatimaan käytännesääntöjä tämän asetuksen rajoissa sen asianmukaisen soveltamisen helpottamiseksi ottaen huomioon tietyillä aloilla suoritettavan käsittelyn erityispiirteet sekä mikroyritysten, pienten ja keskisuurten yritysten erityistarpeet. …

(Johdanto-osan 101 kappale) Henkilötietojen virrat unionin ulkopuolisiin maihin ja kansainvälisiin järjestöihin ja niistä pois ovat välttämättömiä kansainvälisen kaupan ja yhteistyön kehittymisen kannalta. Tällaisten virtojen lisääntyminen on luonut uusia haasteita ja huolenaiheita henkilötietojen suojan osalta. On kuitenkin tärkeää, että kun henkilötietoja siirretään unionista rekisterinpitäjille, käsittelijöille tai muille vastaanottajille kolmansissa maissa tai kansainvälisille järjestöille, tässä asetuksessa unionissa taattua luonnollisten henkilöiden suojan tasoa ei heikennetä, mukaan lukien henkilötietojen siirrot edelleen kolmannesta maasta tai kansainvälisestä järjestöstä samassa tai eri kolmannessa maassa oleville rekisterinpitäjille tai käsittelijöille tai toiselle kansainväliselle järjestölle. Joka tapauksessa siirrot kolmansiin maihin ja kansainvälisille järjestöille saavat tapahtua vain noudattaen täysimääräisesti tätä asetusta. …

(Johdanto-osan 103 kappale) Komissio voi päättää koko unionissa, että kolmas maa, kolmannen maan alue tai tietty sektori tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason, mikä varmistaa oikeusvarmuuden ja yhdenmukaisuuden kaikkialla unionissa sen kolmannen maan tai kansainvälisen järjestön osalta, jonka katsotaan tarjoavan tällaisen suojan tason. Tässä tapauksessa henkilötietojen siirrot kyseiseen kolmanteen maahan tai kansainväliseen järjestöön voidaan suorittaa ilman erillistä lupaa. …

(Johdanto-osan 104 kappale) Ottaen huomioon unionin perustana olevat perusarvot, erityisesti ihmisoikeuksien suojelun, komission olisi kolmatta maata, aluetta tai kolmannen maan tiettyä sektoria arvioidessaan otettava huomioon tapa, jolla kyseinen kolmas maa kunnioittaa oikeusvaltioperiaatetta, varmistaa oikeussuojan saatavuuden ja noudattaa kansainvälisiä ihmisoikeussääntöjä ja -normeja, sekä yleistä ja alakohtaista lainsäädäntöään, mukaan lukien yleistä turvallisuutta, puolustusta ja kansallista turvallisuutta sekä yleistä järjestystä ja rikosoikeutta koskeva lainsäädäntö. …

(Johdanto-osan 105 kappale) Kolmannen maan tai kansainvälisen järjestön tekemien kansainvälisten sitoumusten lisäksi komission olisi otettava huomioon kolmannen maan tai kansainvälisen järjestön monenvälisiin tai alueellisiin järjestelmiin osallistumisesta johtuvat velvoitteet, erityisesti henkilötietojen suojan osalta, ja näiden velvoitteiden täytäntöönpano. Erityisesti olisi otettava huomioon kolmannen maan liittyminen 28 päivänä tammikuuta 1981 tehtyyn Euroopan neuvoston yleissopimukseen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä ja sen lisäpöytäkirjaan. …

(Johdanto-osan 108 kappale) Jos tietosuojan riittävyyttä koskevaa päätöstä ei ole tehty, rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava toimenpiteitä kolmannen maan tietosuojan riittämättömyyden kompensoimiseksi asianmukaisilla suojatoimilla rekisteröidyn hyväksi. …

(Johdanto-osan 109 kappale) Rekisterinpitäjien ja henkilötietojen käsittelijöiden mahdollisuus käyttää komission tai valvontaviranomaisen hyväksymiä vakiomuotoisia tietosuojalausekkeita ei saisi estää heitä sisällyttämästä näitä lausekkeita laajempaan sopimukseen, kuten henkilötietojen käsittelijän ja toisen käsittelijän väliseen sopimukseen, tai lisäämästä muita lausekkeita tai lisäsuojatoimia, edellyttäen, että ne eivät ole suoraan tai epäsuorasti ristiriidassa komission tai valvontaviranomaisen hyväksymien vakiomuotoisten sopimuslausekkeiden kanssa eivätkä vaikuta kielteisesti rekisteröityjen perusoikeuksiin ja -vapauksiin. …

(Johdanto-osan 110 kappale) Yritysryhmän tai yhteistä taloudellista toimintaa harjoittavan yritysryhmän olisi voitava käyttää hyväksyttyjä sitovia yrityssääntöjä kansainvälisiin tiedonsiirtoihinsa unionista saman yritysryhmän tai saman yhteistä taloudellista toimintaa harjoittavan yritysryhmän yksiköille edellyttäen, että kyseiset yrityssäännöt sisältävät kaikki olennaiset periaatteet ja täytäntöönpanokelpoiset oikeudet asianmukaisten suojatoimien varmistamiseksi henkilötietojen siirroissa tai siirtojen ryhmissä.

(Johdanto-osan 114 kappale) Joka tapauksessa, jos komissio ei ole ottanut kantaa kolmannen maan tietosuojan tason riittävyyteen, rekisterinpitäjän tai henkilötietojen käsittelijän olisi otettava käyttöön ratkaisuja, jotka takaavat rekisteröidyille täytäntöönpanokelpoiset ja tehokkaat oikeudet heidän tietojensa käsittelyyn unionissa sen jälkeen, kun tiedot on siirretty, jotta kyseiset rekisteröidyt voivat edelleen hyötyä perusoikeuksista ja -takeista.

(Johdanto-osan 116 kappale) Kun henkilötiedot ylittävät unionin ulkorajat, tämä voi lisätä riskiä, että yksilöt eivät pysty käyttämään tietosuojaoikeuksiaan, etenkään suojaamaan itseään kyseisten tietojen laittomalta käytöltä tai paljastamiselta. … Näin ollen on tarpeen edistää tiiviimpää yhteistyötä tietosuojaviranomaisten välillä, jotta ne voivat vaihtaa tietoja ja suorittaa tutkimuksia kansainvälisten kumppaniensa kanssa. …

(Johdanto-osan 121 kappale) Valvontaviranomaisen jäseneen/jäseniin sovellettavat yleiset ehdot olisi säädettävä kunkin jäsenvaltion laissa, ja niissä olisi erityisesti määrättävä, että jäsenet nimittää avoimen menettelyn mukaisesti kyseisen jäsenvaltion parlamentti, hallitus tai valtionpäämies hallituksen tai hallituksen jäsenen ehdotuksesta, parlamentti tai parlamentin kamari taikka riippumaton elin, jolle tämä tehtävä on uskottu jonkin jäsenvaltion lain nojalla. …

(Johdanto-osan 122 kappale) Jokaisella valvontaviranomaisella olisi oltava toimivalta jäsenvaltionsa alueella hoitaa sille tässä asetuksessa annettuja tehtäviä ja valtuuksia. …

(Johdanto-osan 124 kappale) Jos henkilötietojen käsittely tapahtuu unionissa sijaitsevan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikan toiminnan yhteydessä ja kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon tai jos rekisterinpitäjän tai henkilötietojen käsittelijän yhden toimipaikan toiminnan yhteydessä unionissa tapahtuva käsittely vaikuttaa merkittävästi tai todennäköisesti vaikuttaa merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa, rekisterinpitäjän tai henkilötietojen käsittelijän pää- tai ainoan toimipaikan suhteen toimivaltaisen valvontaviranomaisen olisi toimittava johtavana viranomaisena. …

(Johdanto-osan 125 kappale) Johtavan viranomaisen olisi oltava toimivaltainen tekemään sitovia päätöksiä toimenpiteistä, joilla sille tässä asetuksessa annettuja valtuuksia pannaan täytäntöön. Johtavan viranomaisen ominaisuudessa valvontaviranomaisen olisi otettava asiaankuuluvat valvontaviranomaiset tiiviisti mukaan päätöksentekoprosessiin ja varmistettava tiivis koordinointi tässä yhteydessä. …

(Johdanto-osan 129 kappale) Jotta voidaan varmistaa tämän asetuksen johdonmukainen täytäntöönpano ja seuranta kaikkialla unionissa, valvontaviranomaisilla olisi oltava kussakin jäsenvaltiossa samat tehtävät ja tehokkaat valtuudet, mukaan lukien tutkintavaltuudet, valtuudet toteuttaa korjaavia toimenpiteitä ja määrätä seuraamuksia sekä valtuudet hyväksyä ja antaa neuvoa-antavia lausuntoja, erityisesti luonnollisten henkilöiden tekemien valitusten tapauksessa, ja, rajoittamatta jäsenvaltioiden lainsäädännön mukaisia syyttäjäviranomaisten valtuuksia, valtuudet saattaa tämän asetuksen rikkomiset oikeusviranomaisten tietoon ja ryhtyä oikeustoimiin. Näihin valtuuksiin olisi kuuluttava myös valtuudet asettaa käsittelylle väliaikainen tai pysyvä rajoitus, mukaan lukien kielto. …

(Johdanto-osan 130 kappale) Jos valvontaviranomainen, jolle valitus on tehty, ei ole johtava valvontaviranomainen, johtavan valvontaviranomaisen olisi tehtävä tiivistä yhteistyötä sen valvontaviranomaisen kanssa, jolle valitus on tehty, tässä asetuksessa säädettyjen yhteistyötä ja johdonmukaisuutta koskevien säännösten mukaisesti. …

(Johdanto-osan 137 kappale) Rekisteröityjen oikeuksien ja vapauksien suojelemiseksi voidaan tarvita kiireellisiä toimia erityisesti silloin, kun on olemassa vaara, että rekisteröidyn oikeuden käyttäminen voi merkittävästi estyä. Näin ollen valvontaviranomaisen olisi voitava toteuttaa alueellaan väliaikaisia toimenpiteitä, jotka ovat asianmukaisesti perusteltuja ja joilla on määräaikainen voimassaoloaika, joka ei saisi ylittää kolmea kuukautta.

(Johdanto-osan 138 kappale) Tällaisen mekanismin soveltamisen olisi oltava ehtona valvontaviranomaisen sellaisen toimenpiteen laillisuudelle, jolla on tarkoitus tuottaa oikeusvaikutuksia, tapauksissa, joissa tällainen soveltaminen on pakollista. …

(Johdanto-osan 141 kappale) Jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa on, ja oikeus tehokkaisiin oikeussuojakeinoihin perusoikeuskirjan 47 artiklan mukaisesti, jos hän katsoo, että hänen tämän asetuksen mukaisia oikeuksiaan on loukattu tai jos valvontaviranomainen ei ryhdy toimiin hänen valituksensa johdosta, hylkää sen kokonaan tai osittain tai laiminlyö toimet, kun toimet ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Valituksen jälkeinen tutkinta olisi suoritettava oikeudellisen valvonnan alaisena siinä laajuudessa kuin yksittäistapaus sitä edellyttää.

(Johdanto-osan 142 kappale) Jos rekisteröity katsoo, että hänen tämän asetuksen mukaisia oikeuksiaan loukataan, hänellä olisi oltava oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu jäsenvaltion lainsäädännön mukaisesti ja jonka lakisääteiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojan alalla, tekemään hänen puolestaan valitus valvontaviranomaiselle, käyttämään oikeutta oikeussuojakeinoihin rekisteröityjen puolesta tai, jos jäsenvaltion lainsäädännössä niin säädetään, käyttämään oikeutta korvaukseen rekisteröityjen puolesta. …

(Johdanto-osan 143 kappale) Luonnollisella henkilöllä tai oikeushenkilöllä on oikeus nostaa Euroopan unionin tuomioistuimessa kanne komitean päätösten kumoamiseksi Euroopan unionin toiminnasta tehdyn sopimuksen 263 artiklassa määrättyjen edellytysten mukaisesti. Saatuaan tällaiset päätökset asianomaisten valvontaviranomaisten, jotka haluavat riitauttaa ne, on tehtävä se kahden kuukauden kuluessa niiden tiedoksi antamisesta Euroopan unionin toiminnasta tehdyn sopimuksen 263 artiklan mukaisesti. …

Jos valvontaviranomainen on hylännyt valituksen, valittaja voi nostaa kanteen saman jäsenvaltion tuomioistuimissa. …

(Johdanto-osan 144 kappale) Jos tuomioistuimella, jossa on nostettu kanne valvontaviranomaisen tekemää päätöstä vastaan, on syytä uskoa, että toisen jäsenvaltion toimivaltaisessa tuomioistuimessa nostetaan kanteita, jotka koskevat samaa käsittelyä, esimerkiksi samaa kohdetta, jota suorittaa sama rekisterinpitäjä tai henkilötietojen käsittelijä, tai samaa kanneperustetta, sen olisi otettava yhteyttä kyseiseen toiseen tuomioistuimeen varmistaakseen, että kyseiset toisiinsa liittyvät kanteet ovat olemassa. …

(Johdanto-osan 145 kappale) Rekisterinpitäjää tai henkilötietojen käsittelijää vastaan nostettujen kanteiden osalta hakijan olisi voitava valita, nostaako kanne sen jäsenvaltion tuomioistuimessa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka, vai sen jäsenvaltion tuomioistuimessa, jossa rekisteröity asuu, paitsi jos rekisterinpitäjä on jäsenvaltion viranomainen, joka toimii julkista valtaansa käyttäessään.

(Johdanto-osan 146 kappale) Rekisterinpitäjän tai henkilötietojen käsittelijän olisi korvattava kaikki vahingot, joita rekisteröidylle voi aiheutua tämän asetuksen vastaisesta käsittelystä. Rekisterinpitäjän tai henkilötietojen käsittelijän olisi oltava vapautettu vastuusta, jos se osoittaa, ettei vahinko ole millään tavalla sen aiheuttama. … Jos rekisterinpitäjät ja henkilötietojen käsittelijät ovat kuitenkin osallisina samassa oikeudenkäynnissä, korvaus voidaan jäsenvaltion lainsäädännön mukaisesti jakaa sen mukaan, mikä on kunkin rekisterinpitäjän tai henkilötietojen käsittelijän vastuun osuus käsittelystä aiheutuneesta vahingosta, edellyttäen, että rekisteröidyn kärsimä vahinko korvataan täysimääräisesti ja tehokkaasti. …

(Johdanto-osan 148 kappale) Tämän asetuksen sääntöjen täytäntöönpanon tehostamiseksi tämän asetuksen rikkomisesta olisi määrättävä seuraamuksia, mukaan lukien hallinnollisia sakkoja, valvontaviranomaisen tämän asetuksen nojalla määräämien asianmukaisten toimenpiteiden lisäksi tai sijasta. Jos rikkominen on vähäinen tai jos määrättävä sakko aiheuttaisi luonnolliselle henkilölle kohtuuttoman taakan, sakon sijasta voidaan antaa varoitus. Olisi kuitenkin otettava asianmukaisesti huomioon rikkomisen luonne, vakavuus ja kesto, rikkomisen tahallisuus ja vahingon lieventämiseksi toteutetut toimenpiteet, vastuun aste tai mahdolliset aiemmat merkitykselliset rikkomukset, se, miten valvontaviranomainen sai tiedon rikkomisesta, rekisterinpitäjää tai henkilötietojen käsittelijää vastaan määrättyjen toimenpiteiden noudattaminen, käytännesääntöjen soveltaminen sekä muut raskauttavat tai lieventävät olosuhteet. Seuraamusten, mukaan lukien hallinnollisten sakkojen, soveltamiseen olisi sovellettava asianmukaisia menettelyllisiä takeita unionin oikeuden yleisten periaatteiden ja perusoikeuskirjan mukaisesti, mukaan lukien oikeus tehokkaaseen oikeussuojaan ja oikeudenmukaiseen oikeudenkäyntiin.

(Johdanto-osan 150 kappale) Tämän asetuksen rikkomiseen sovellettavien hallinnollisten seuraamusten vahvistamiseksi ja yhdenmukaistamiseksi jokaisella valvontaviranomaisella olisi oltava valtuudet määrätä hallinnollisia sakkoja. Tässä asetuksessa olisi määriteltävä rikkomukset, niiden enimmäismäärä ja niihin sovellettavien hallinnollisten sakkojen määräämisperusteet, jotka toimivaltaisen valvontaviranomaisen olisi vahvistettava kussakin yksittäistapauksessa ottaen huomioon kunkin tapauksen kaikki erityispiirteet ja erityisesti rikkomuksen luonne, vakavuus ja kesto sekä sen seuraukset sekä toimenpiteet, jotka on toteutettu asetuksesta johtuvien velvoitteiden noudattamisen varmistamiseksi ja rikkomuksen seurausten estämiseksi tai lieventämiseksi. …

(Johdanto-osan 152 kappale) Jos tällä asetuksella ei yhdenmukaisteta hallinnollisia seuraamuksia tai tarvittaessa muissa olosuhteissa, esimerkiksi tämän asetuksen vakavien rikkomusten yhteydessä, jäsenvaltioiden olisi otettava käyttöön järjestelmä, joka tarjoaa tehokkaita, oikeasuhteisia ja varoittavia seuraamuksia. Näiden seuraamusten luonne, olivatpa ne rikosoikeudellisia tai hallinnollisia, olisi määriteltävä jäsenvaltioiden lainsäädännössä.

(Johdanto-osan 153 kappale) Jäsenvaltioiden lainsäädännön olisi sovitettava yhteen sananvapautta ja tiedonvälityksen vapautta, mukaan lukien journalistista, akateemista, taiteellista tai kirjallista ilmaisua, koskevat säännöt tämän asetuksen mukaisen henkilötietojen suojaa koskevan oikeuden kanssa. Kun henkilötietoja käsitellään yksinomaan journalistisiin tarkoituksiin tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksiin, olisi säädettävä poikkeuksista tai vapautuksista tietyistä tämän asetuksen säännöksistä, jos se on tarpeen henkilötietojen suojaa koskevan oikeuden ja sananvapauden ja tiedonvälityksen vapauden yhteensovittamiseksi, sellaisina kuin ne on vahvistettu perusoikeuskirjan 11 artiklassa. …

(Johdanto-osan 154 kappale) Tämä asetus mahdollistaa virallisten asiakirjojen julkisen saatavuuden periaatteen huomioon ottamisen sitä sovellettaessa. Virallisten asiakirjojen julkista saatavuutta voidaan pitää yleisen edun mukaisena. …

(Johdanto-osan 155 kappale) Jäsenvaltioiden lainsäädännössä tai työehtosopimuksissa, mukaan lukien ’yrityssopimuksissa’, voidaan säätää erityisistä säännöistä työntekijöiden henkilötietojen käsittelystä työsuhteiden yhteydessä, mukaan lukien edellytykset, joiden mukaisesti henkilötietoja voidaan työsuhteiden yhteydessä käsitellä työntekijän suostumuksen perusteella rekrytointia, työsopimuksen täytäntöönpanoa, mukaan lukien laissa tai työehtosopimuksissa säädettyjen velvoitteiden noudattamista, työn johtamista, suunnittelua ja organisointia, työpaikan tasa-arvoa ja monimuotoisuutta, työterveyttä ja -turvallisuutta sekä työsuhteeseen liittyvien oikeuksien ja etuuksien käyttämistä ja nauttimista varten, yksilöllisesti tai kollektiivisesti, sekä työsuhteen päättämistä varten.

(Johdanto-osan 162 kappale) Kun henkilötietoja käsitellään tilastollisiin tarkoituksiin, tätä asetusta olisi sovellettava kyseiseen käsittelyyn. Unionin tai jäsenvaltion lainsäädännössä olisi tämän asetuksen rajoissa määriteltävä tilastollinen sisältö, määriteltävä tietoihin pääsyn valvonta ja säädettävä erityissäännökset henkilötietojen käsittelystä tilastollisiin tarkoituksiin sekä asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien suojaamiseksi ja tilastosalaisuuden ylläpitämiseksi. …

(Johdanto-osan 163 kappale) Unionin ja jäsenvaltioiden tilastoviranomaisten virallisten eurooppalaisten ja kansallisten tilastojen tuottamiseksi keräämät luottamukselliset tiedot olisi suojattava. …

(Johdanto-osan 164 kappale) Valvontaviranomaisten valtuuksien osalta saada rekisterinpitäjältä tai henkilötietojen käsittelijältä pääsy henkilötietoihin ja pääsy näiden toimitiloihin jäsenvaltiot voivat tämän asetuksen rajoissa antaa lailla erityisiä sääntöjä salassapitovelvollisuuden tai muun vastaavan salassapitovelvollisuuden varmistamiseksi siltä osin kuin se on tarpeen henkilötietojen suojaa koskevan oikeuden ja salassapitovelvollisuuden yhteensovittamiseksi. …

 (Johdanto-osan 166 kappale) Jotta saavutettaisiin tämän asetuksen tavoitteet, jotka ovat luonnollisten henkilöiden perusoikeuksien ja -vapauksien, erityisesti heidän oikeuden henkilötietojen suojaan, suojeleminen ja tällaisten tietojen vapaan liikkuvuuden varmistaminen unionissa, komissiolle olisi siirrettävä valta hyväksyä säädöksiä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti. Erityisesti olisi annettava delegoituja säädöksiä sertifiointimekanismeja koskevista kriteereistä ja vaatimuksista, standardoitujen kuvakkeiden muodossa esitettävistä tiedoista ja tällaisten kuvakkeiden tarjoamista koskevista menettelyistä. …

(Johdanto-osan 168 kappale) Ottaen huomioon kyseisten säädösten yleisen soveltamisalan, tarkastelumenettelyä olisi käytettävä hyväksyttäessä täytäntöönpanosäädöksiä, jotka koskevat rekisterinpitäjien ja henkilötietojen käsittelijöiden välisiä sekä käsittelijöiden välisiä mallisopimuslausekkeita; käytännesääntöjä; teknisiä standardeja ja sertifiointimekanismeja; …

(Johdanto-osan 170 kappale) Koska tämän asetuksen tavoitetta, joka on luonnollisten henkilöiden suojan vastaavan tason ja henkilötietojen vapaan liikkuvuuden varmistaminen koko unionissa, ei voida riittävällä tavalla saavuttaa jäsenvaltioiden toimin, vaan se voidaan toiminnan laajuuden tai vaikutusten vuoksi saavuttaa paremmin unionin tasolla, unioni voi toteuttaa toimenpiteitä …

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI