1.   Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle unionin toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta näiden välillä tai muille unioniin sijoittautuneille vastaanottajille.

2.   Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

3.   Euroopan tietosuojavaltuutettu valvoo tämän asetuksen säännösten soveltamista kaikkiin unionin toimielimen tai elimen suorittamiin käsittelytoimiin.

1.   Tätä asetusta sovelletaan kaikkien unionin toimielinten ja elinten suorittamaan henkilötietojen käsittelyyn.

2.   Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaan operatiivisten henkilötietojen käsittelyyn sovelletaan ainoastaan tämän asetuksen 3 artiklaa ja IX lukua.

3.   Tätä asetusta ei sovelleta Europolin eikä Euroopan syyttäjänviraston suorittamaan operatiivisten henkilötietojen käsittelyyn, ennen kuin Euroopan parlamentin ja neuvoston asetusta (EU) 2016/794 (15) ja neuvoston asetusta (EU) 2017/1939 (16) mukautetaan tämän asetuksen 98 artiklan mukaisesti.

4.   Tätä asetusta ei sovelleta henkilötietojen käsittelyyn Euroopan unionista tehdyn sopimuksen 42 artiklan 1 kohdassa ja 43 ja 44 artiklassa tarkoitetuissa tehtävissä.

5.   Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

1.   Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

2.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).

1.   Käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

2.   Edellä 1 kohdan a ja b alakohdassa tarkoitetun käsittelyn perustasta on säädettävä unionin oikeudessa.

1.   Jos tietojenkäsittely perustuu suostumukseen, rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn.

2.   Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tämän asetuksen vastainen osa sellaisesta ilmoituksesta ei ole sitova.

3.   Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen.

4.   Arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

1.   Jos 5 artiklan 1 kohdan d alakohtaa sovelletaan, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Jos lapsi on alle 13-vuotias, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin, kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

2.   Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia huomioon ottaen.

3.   Edellä oleva 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen, kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.

1.   Rajoittamatta 4–6 ja 10 artiklan soveltamista henkilötietoja voidaan siirtää muille unioniin sijoittautuneille vastaanottajille kuin unionin toimielimille ja elimille vain, jos

2.   Jos rekisterinpitäjä aloittaa tietojen siirtämisen tämän artiklan nojalla, sen on osoitettava, että henkilötietojen siirtäminen on tarpeen ja oikeassa suhteessa siirron tarkoituksiin nähden, soveltamalla 1 kohdan a tai b alakohdassa vahvistettuja kriteerejä.

3.   Unionin toimielimet ja elimet sovittavat yhteen henkilötietojen suojaa koskevan oikeuden ja oikeuden saada tutustua asiakirjoihin unionin oikeuden mukaisesti.

1.   Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely luonnollisen henkilön yksiselitteistä tunnistamista varten tai terveystietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien tietojen käsittely on kiellettyä.

2.   Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:

3.   Edellä 1 kohdassa tarkoitettuja henkilötietoja voidaan käsitellä 2 kohdan h alakohdassa esitettyihin tarkoituksiin, kun kyseisiä tietoja käsittelee tai niiden käsittelystä vastaa ammattilainen, jolla on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella, taikka muu henkilö, jolla niin ikään on lakisääteinen salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön tai kansallisten toimivaltaisten elinten vahvistamien sääntöjen perusteella.

1.   Jos tarkoitukset, joihin rekisterinpitäjä käsittelee henkilötietoja, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi.

2.   Jos tämän artiklan 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä pystyy osoittamaan, ettei se pysty tunnistamaan rekisteröityä, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle, jos tämä on mahdollista. Tällaisissa tapauksissa 17–22 artiklaa ei sovelleta, paitsi jos rekisteröity näiden artikloiden mukaisia oikeuksiaan käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa.

1.   Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 ja 16 artiklan mukaiset tiedot ja 17–24 artiklan ja 35 artiklan mukaiset kaikki käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

2.   Rekisterinpitäjän on helpotettava 17–24 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edellä 12 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 17–24 artiklan mukaisten oikeuksien käyttämiseksi, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

3.   Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 17–24 artiklan nojalla tehdyn pyynnön johdosta, ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

4.   Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja.

5.   Jäljempänä olevan 15 ja 16 artiklan nojalla toimitetut tiedot ja kaikki 17–24 ja 35 artiklaan perustuvat ilmoitukset ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

6.   Jos rekisterinpitäjällä on perusteltua syytä epäillä 17–23 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 12 artiklan soveltamista.

7.   Jäljempänä 15 ja 16 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

8.   Jos komissio antaa asetuksen (EU) 2016/679 12 artiklan 8 kohdan mukaisesti delegoituja säädöksiä, joissa määritetään kuvakkeilla annettavat tiedot ja menettelyt, joilla vakiomuotoisia kuvakkeita tarjotaan käyttöön, unionin toimielimet ja elimet antavat tarvittaessa tämän asetuksen 15 ja 16 artiklassa tarkoitetut tiedot yhdistettynä tällaisiin vakiomuotoisiin kuvakkeisiin.

1.   Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

3.   Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

4.   Edellä olevaa 1, 2 ja 3 kohtaa ei sovelleta, jos ja siltä osin kuin rekisteröity on jo saanut tiedot.

1.   Kun henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot:

2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:

3.   Rekisterinpitäjän on toimitettava 1 ja 2 kohdassa tarkoitetut tiedot

4.   Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä myöhempää käsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot 2 kohdan mukaisesti.

5.   Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin

6.   Edellä 5 kohdan b alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien, vapauksien ja oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville.

1.   Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

2.   Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, rekisteröidyllä on oikeus saada ilmoitus 48 artiklassa tarkoitetuista siirtoa koskevista asianmukaisista suojatoimista.

3.   Rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.

4.   Oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

1.   Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy:

2.   Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille tai muille rekisterinpitäjille kuin unionin toimielimille ja elimille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

3.   Edellä olevaa 1 ja 2 kohtaa ei sovelleta, jos käsittely on tarpeen

1.   Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:

2.   Jos käsittelyä on rajoitettu 1 kohdan nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tahi toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

3.   Jos rekisteröity on saanut käsittelyn rajoitetuksi 1 kohdan nojalla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.

4.   Automaattisissa rekistereissä henkilötietojen käsittelyn rajoittaminen on lähtökohtaisesti varmistettava teknisin keinoin. Henkilötietojen käsittelyn rajoittaminen on ilmaistava rekisterissä siten, että käy selvästi ilmi, ettei henkilötietoja voi käyttää.

1.   Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

2.   Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle tai muille rekisterinpitäjille kuin unionin toimielimille tai elimille, jos se on teknisesti mahdollista.

3.   Tämän artiklan 1 kohdassa tarkoitetun oikeuden käyttäminen ei saa rajoittaa 19 artiklan soveltamista. Tätä oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

4.   Edellä 1 kohdassa tarkoitettu oikeus ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

1.   Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 5 artiklan 1 kohdan a alakohtaan, kuten kyseiseen säännökseen perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

2.   Viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

3.   Tietoyhteiskunnan palvelujen käyttämisen yhteydessä rekisteröity voi käyttää vastustamisoikeuttaan automaattisesti teknisiä ominaisuuksia hyödyntäen, sanotun kuitenkaan rajoittamatta 36 ja 37 artiklan soveltamista.

4.   Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

1.   Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

2.   Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

3.   Edellä 2 kohdan a ja c alakohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö, sekä oikeutta esittää kantansa ja riitauttaa päätös.

4.   Tämän artiklan 2 kohdassa tarkoitetut päätökset eivät saa perustua 10 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 10 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

1.   Perussopimusten perusteella annetuissa säädöksissä tai unionin toimielinten ja elinten toimintaan liittyvissä asioissa näiden vahvistamissa sisäisissä säännöissä voidaan rajoittaa 14–22, 35 ja 36 artiklan soveltamista sekä 4 artiklan soveltamista, siltä osin kuin sen säännökset vastaavat 14–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata

2.   Edellä 1 kohdassa tarkoitettujen säädösten tai sisäisten sääntöjen on sisällettävä tarpeen mukaan erityisiä säännöksiä tai määräyksiä, jotka koskevat

3.   Kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

4.   Kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten, unionin oikeudessa, johon voi sisältyä unionin toimielinten ja elinten toimintaansa liittyvissä asioissa hyväksymiä sisäisiä sääntöjä, voidaan säätää poikkeuksista 17, 18, 20, 21, 22 ja 23 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 13 artiklassa tarkoitettuja edellytyksiä ja suojatoimia, siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi.

5.   Edellä 1, 3 ja 4 kohdassa tarkoitettujen sisäisten sääntöjen on oltava selkeitä ja täsmällisiä, soveltamisalaltaan yleisiä säädöksiä, joiden tarkoituksena on tuottaa rekisteröityihin kohdistuvia oikeusvaikutuksia, jotka hyväksytään unionin toimielinten ja elinten ylimmän johdon tasolla ja jotka on julkaistava Euroopan unionin virallisessa lehdessä.

6.   Jos asetetaan rajoitus 1 kohdan nojalla, rekisteröidylle on ilmoitettava unionin oikeuden mukaisesti pääasialliset syyt rajoituksen soveltamiseen sekä se, että hänellä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle.

7.   Jos 1 kohdan nojalla asetettuun rajoitukseen vedotaan tietoihin pääsyä koskevan oikeuden epäämiseksi rekisteröidyltä, Euroopan tietosuojavaltuutettu ilmoittaa hänelle kantelua tutkiessaan ainoastaan, onko tiedot käsitelty asianmukaisesti ja, jos näin ei ole, onko tarpeelliset oikaisut tehty.

8.   Tämän artiklan 6 ja 7 kohdassa sekä 45 artiklan 2 kohdassa tarkoitettua ilmoittamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi tämän artiklan 1 kohdan nojalla asetetun rajoituksen vaikutuksen.

1.   Ottaen huomioon käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.

2.   Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

3.   Asetuksen (EU) 2016/679 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että rekisterinpitäjälle asetettuja velvollisuuksia noudatetaan.

1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelyn keinojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa ja tarvittavien suojatoimien käsittelyn osaksi sisällyttämistä varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2.   Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

3.   Asetuksen (EU) 2016/679 42 artiklan mukaista hyväksyttyä sertifiointimekanismia voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 2 kohdassa asetettuja vaatimuksia noudatetaan.

1.   Jos vähintään kaksi rekisterinpitäjää tai yksi tai useampi rekisterinpitäjä yhdessä yhden tai useamman muun rekisterinpitäjän kuin unionin toimielinten tai elinten kanssa määrittävät yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuojavelvoitteidensa noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 15 ja 16 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin yhteisrekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään yhteisrekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

2.   Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

3.   Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

1.   Jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.   Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on kirjallisesta ennakkoluvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3.   Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on määrättävä erityisesti, että henkilötietojen käsittelijä

Ensimmäisen alakohdan h alakohdan osalta henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos hän katsoo, että ohjeistus rikkoo tätä asetusta tai muita unionin tai jäsenvaltion tietosuojasäännöksiä.

4.   Kun henkilötietojen käsittelijä käyttää toisen henkilötietojen käsittelijän palveluksia erityisten käsittelytoimien suorittamiseksi rekisterinpitäjän lukuun, kyseiseen toiseen henkilötietojen käsittelijään sovelletaan sopimuksen tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisen muun oikeudellisen asiakirjan mukaisesti samoja tietosuojavelvoitteita kuin ne, jotka on vahvistettu 3 kohdassa tarkoitetussa rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tai muussa oikeudellisessa asiakirjassa, erityisesti antaen riittävät takeet siitä, että asianmukaiset tekniset ja organisatoriset toimenpiteet toteutetaan niin, että käsittely täyttää tämän asetuksen vaatimukset. Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.

5.   Kun henkilötietojen käsittelijä ei ole unionin toimielin tai elin, sitä, että se noudattaa asetuksen (EU) 2016/679 40 artiklan 5 kohdassa tarkoitettuja hyväksyttyjä käytännesääntöjä tai asetuksen (EU) 2016/679 42 artiklassa tarkoitettua hyväksyttyä sertifiointimekanismia, voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 ja 4 kohdassa tarkoitetut riittävät takeet on annettu.

6.   Sanotun rajoittamatta rekisterinpitäjän ja henkilötietojen käsittelijän mahdollista yksittäistä sopimusta, tämän artiklan 3 ja 4 kohdassa tarkoitettu sopimus tai muu oikeudellinen asiakirja voi perustua kokonaan tai osittain tämän artiklan 7 ja 8 kohdassa tarkoitettuihin vakiosopimuslausekkeisiin; tämä koskee myös tilannetta, jossa ne ovat osa muulle henkilötietojen käsittelijälle kuin unionin toimielimelle tai elimelle asetuksen (EU) 2016/679 42 artiklan mukaisesti myönnettyä sertifiointia.

7.   Komissio voi laatia vakiosopimuslausekkeita tämän artiklan 3 ja 4 kohdassa tarkoitettuja seikkoja varten ja 96 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

8.   Euroopan tietosuojavaltuutettu voi hyväksyä vakiosopimuslausekkeita 3 ja 4 kohdassa tarkoitettuja seikkoja varten.

9.   Edellä 3 ja 4 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

10.   Jos henkilötietojen käsittelijä rikkoo tätä asetusta määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä, sanotun kuitenkaan rajoittamatta 65 ja 66 artiklan soveltamista.

1.   Kunkin rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:

2.   Kunkin henkilötietojen käsittelijän on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista niin että seloste käsittää seuraavat tiedot:

3.   Edellä 1 ja 2 kohdassa tarkoitetun selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

4.   Unionin toimielimet ja elimet saattavat pyydettäessä selosteen Euroopan tietosuojavaltuutetun saataville.

5.   Unionin toimielimet ja elimet säilyttävät käsittelytoimista laatimansa selosteet keskusrekisterissä, paitsi jos se unionin toimielimen tai elimen koko huomioon ottaen ei ole tarkoituksenmukaista. Ne asettavat rekisterin julkisesti saataville.

1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

2.   Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

3.   Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa toisin vaadita.

4.   Asetuksen (EU) 2016/679 42 artiklassa tarkoitetun hyväksytyn sertifiointimekanismin noudattamista voidaan käyttää yhtenä tekijänä sen osoittamiseksi, että tämän artiklan 1 kohdassa asetettuja vaatimuksia noudatetaan.

1.   Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Euroopan tietosuojavaltuutetulle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle perusteltu selitys.

2.   Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

3.   Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

4.   Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivytystä.

5.   Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle henkilötietojen tietoturvaloukkauksesta.

6.   Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Euroopan tietosuojavaltuutetun on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

1.   Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2.   Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja mainittava ainakin 34 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

3.   Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

4.   Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, Euroopan tietosuojavaltuutettu voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

1.   Käyttäjäluetteloissa olevat henkilötiedot sekä pääsy näihin luetteloihin on rajoitettava siihen, mikä on välttämätöntä luettelon käyttötarkoitusten kannalta.

2.   Unionin toimielimet ja elimet toteuttavat kaikki tarvittavat toimenpiteet estääkseen näiden luetteloiden sisältämien henkilötietojen käytön suoramarkkinointitarkoituksiin riippumatta siitä, ovatko luettelot yleisön saatavilla.

1.   Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

2.   Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta.

3.   Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti seuraavista:

4.   Euroopan tietosuojavaltuutettu laatii ja julkaisee luettelon käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan 1 kohdan nojalla tietosuojaa koskeva vaikutustenarviointi.

5.   Euroopan tietosuojavaltuutettu voi myös laatia ja julkaista luettelon käsittelytoimien tyypeistä, joiden osalta ei vaadita tietosuojaa koskevaa vaikutustenarviointia.

6.   Ennen tämän artiklan 4 ja 5 kohdassa tarkoitettujen luetteloiden hyväksymistä Euroopan tietosuojavaltuutettu pyytää asetuksen (EU) 2016/679 68 artiklalla perustettua Euroopan tietosuojaneuvostoa tarkastelemaan tällaisia luetteloita kyseisen asetuksen 70 artiklan 1 kohdan e alakohdan mukaisesti, jos niissä viitataan yhden tai useamman muun rekisterinpitäjän kuin unionin toimielimen tai elimen kanssa yhdessä toimivan rekisterinpitäjän suorittamiin käsittelytoimiin.

7.   Arvioinnin on sisällettävä vähintään

8.   Se, että asianomaiset muut henkilötietojen käsittelijät kuin unionin toimielimet ja elimet noudattavat asetuksen (EU) 2016/679 40 artiklassa tarkoitettuja hyväksyttyjä käytännesääntöjä, on otettava asianmukaisesti huomioon arvioitaessa kyseisten henkilötietojen käsittelijöiden suorittamien käsittelytoimien vaikutusta erityisesti tietosuojaa koskevassa vaikutustenarvioinnissa.

9.   Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista ilman, että tämä saa vaikuttaa yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen.

10.   Jos 5 artiklan 1 kohdan a tai b alakohdan mukaisen käsittelyn oikeusperustana on perussopimusten perusteella annettu säädös, jolla säännellään siihen liittyvää käsittelytoimea tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana ennen kyseisen säädöksen antamista, tämän artiklan 1–6 kohtaa ei sovelleta, ellei kyseisessä säädöksessä toisin säädetä.

11.   Rekisterinpitäjän on tehtävä tarvittaessa uudelleentarkastelu arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu.

1.   Rekisterinpitäjän on ennen käsittelyä kuultava Euroopan tietosuojavaltuutettua, jos 39 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi riskin lieventämistä koskevien suojatoimien, turvatoimenpiteiden ja mekanismien puuttumisen vuoksi korkean luonnollisten henkilöiden oikeuksiin ja vapauksiin vaikuttavan riskin, ja rekisterinpitäjä katsoo, että tätä riskiä ei voida kohtuullisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen. Rekisterinpitäjän on pyydettävä tietosuojavastaavalta neuvoja ennakkokuulemisen tarpeesta.

2.   Jos Euroopan tietosuojavaltuutettu katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai pienentänyt riskiä, Euroopan tietosuojavaltuutettu antaa enintään kahdeksan viikon kuluessa kuulemispyynnön vastaanottamisesta kirjallisesti ohjeet rekisterinpitäjälle ja tapauksen mukaan henkilötietojen käsittelijälle ja voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Euroopan tietosuojavaltuutettu ilmoittaa rekisterinpitäjälle ja tapauksen mukaan henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes Euroopan tietosuojavaltuutettu on saanut tiedot, joita se on pyytänyt kuulemista varten.

3.   Kuullessaan 1 kohdan mukaisesti Euroopan tietosuojavaltuutettua rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle

4.   Komissio voi täytäntöönpanosäädöksellä määrittää luettelon tapauksista, joissa rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ja saatava tältä ennakkolupa henkilötietojen käsittelylle, jonka rekisterinpitäjä suorittaa yleistä etua koskevan tehtävän suorittamiseksi, mukaan lukien tällaisten tietojen käsittely sosiaaliturvan ja kansanterveyden alalla.

1.   Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle laatiessaan henkilötietojen käsittelyä koskevia hallinnollisia toimenpiteitä ja sisäisiä sääntöjä, jos käsittelyn suorittaa unionin toimielin tai elin yksin tai yhdessä muiden kanssa.

2.   Unionin toimielimet ja elimet kuulevat Euroopan tietosuojavaltuutettua laatiessaan 25 artiklassa tarkoitettuja sisäisiä sääntöjä.

1.   Komissio kuulee Euroopan tietosuojavaltuutettua annettuaan ehdotuksen lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi ja suosituksen tai ehdotuksen neuvostolle Euroopan unionin toiminnasta tehdyn sopimuksen 218 artiklan mukaisesti sekä laatiessaan delegoituja säädöksiä tai täytäntöönpanosäädöksiä, joilla on vaikutus yksilöiden oikeuksien ja vapauksien suojeluun henkilötietojen käsittelyssä.

2.   Jos 1 kohdassa tarkoitettu säädös on erityisen tärkeä yksilöiden oikeuksien ja vapauksien suojelemiseksi henkilötietojen käsittelyssä, komissio voi kuulla myös Euroopan tietosuojaneuvostoa. Näissä tapauksissa Euroopan tietosuojavaltuutettu ja Euroopan tietosuojaneuvosto koordinoivat työtään yhteisen lausunnon antamiseksi.

3.   Edellä 1 ja 2 kohdassa tarkoitetut lausunnot on annettava kirjallisesti määräajassa, joka on enintään kahdeksan viikkoa 1 ja 2 kohdassa tarkoitetun kuulemispyynnön vastaanottamisesta. Kiireellisissä tapauksissa tai muuten tarvittaessa komissio voi lyhentää määräaikaa.

4.   Tätä artiklaa ei sovelleta silloin, kun komissio on asetuksen (EU) 2016/679 nojalla velvollinen kuulemaan Euroopan tietosuojaneuvostoa.

1.   Kukin unionin toimielin tai elin nimittää tietosuojavastaavan.

2.   Unionin toimielimet ja elimet voivat nimittää yhden ainoan tietosuojavastaavan useampaa tällaista toimielintä tai elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.

3.   Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 45 artiklassa tarkoitetut tehtävät.

4.   Tietosuojavastaavan on oltava unionin toimielimen tai elimen henkilöstön jäsen. Unionin toimielimet ja elimet voivat, ottaen huomioon niiden koko ja jos 2 kohdan mukaista mahdollisuutta ei käytetä, nimittää tietosuojavastaavan, joka hoitaa tehtäviään palvelusopimuksen perusteella.

5.   Unionin toimielimet ja elimet julkistavat tietosuojavastaavan yhteystiedot ja ilmoittavat ne Euroopan tietosuojavaltuutetulle.

1.   Unionin toimielimet ja elimet varmistavat, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

2.   Unionin toimielimet ja elimet tukevat tietosuojavastaavaa tämän suorittaessa 45 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien suorittamisessa, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.

3.   Unionin toimielimet ja elimet varmistavat, ettei tietosuojavastaava ota vastaan ohjeita kyseisten tehtävien hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.

4.   Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja heidän tähän asetukseen perustuvien oikeuksiensa käyttöön.

5.   Tietosuojavastaavaa ja hänen henkilöstöään sitoo heidän tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden mukaisesti.

6.   Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.

7.   Rekisterinpitäjä ja henkilötietojen käsittelijä, asianomainen henkilöstökomitea ja kuka tahansa luonnollinen henkilö voivat kuulla tietosuojavastaavaa kaikissa tämän asetuksen soveltamiseen tai tulkintaan liittyvissä asioissa virkatietä käyttämättä. Kenellekään ei saa aiheutua haittaa sen johdosta, että hän on saattanut toimivaltaisen tietosuojavastaavan tietoon seikan, jonka osalta hän väittää tämän asetuksen säännöksiä rikotun.

8.   Tietosuojavastaava nimitetään toimikaudeksi, joka on kolmesta viiteen vuotta, ja sama henkilö voidaan nimittää uudeksi toimikaudeksi. Tietosuojavastaavan nimittänyt unionin toimielin tai elin voi erottaa hänet, jos hän ei enää täytä tehtäviensä suorittamiseksi vaadittavia edellytyksiä ja ainoastaan jos Euroopan tietosuojavaltuutettu on antanut tätä koskevan suostumuksen.

9.   Nimittämisen jälkeen tietosuojavastaavan nimittänyt unionin toimielin tai elin ilmoittaa hänen nimensä Euroopan tietosuojavaltuutetulle.

1.   Tietosuojavastaavalla on seuraavat tehtävät:

2.   Tietosuojavastaava voi antaa rekisterinpitäjälle ja henkilötietojen käsittelijälle suosituksia tietosuojan parantamiseksi käytännössä sekä antaa niille neuvoja tietosuojasäännösten soveltamiseen liittyvissä asioissa. Lisäksi hän voi omasta aloitteestaan tai rekisterinpitäjän, henkilötietojen käsittelijän, asianomaisen henkilöstökomitean tai kenen tahansa luonnollisen henkilön pyynnöstä tutkia seikkoja ja tapauksia, jotka välittömästi liittyvät hänen tehtäviinsä ja jotka tulevat hänen tietoonsa, sekä antaa asiasta kertomuksen tutkimuksen pyytäjälle tai rekisterinpitäjälle tai henkilötietojen käsittelijälle.

3.   Kukin unionin toimielin tai elin antaa tarkemmat tietosuojavastaavaa koskevat soveltamissäännöt. Soveltamissäännöt koskevat erityisesti tietosuojavastaavan tehtäviä, velvollisuuksia ja toimivaltuuksia.

1.   Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaisesti, että kyseinen kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason, ja jos henkilötiedot siirretään ainoastaan rekisterinpitäjän toimivaltaan kuuluvien tehtävien suorittamiseksi.

2.   Unionin toimielimet ja elimet ilmoittavat komissiolle ja Euroopan tietosuojavaltuutetulle tapauksista, joissa ne katsovat, ettei kyseinen kolmas maa, kolmannen maan alue tai yksi tai useampi tietty toimiala tai kyseinen kansainvälinen järjestö tarjoa 1 kohdassa tarkoitettua riittävää tietosuojan tasoa.

3.   Unionin toimielimet ja elimet toteuttavat tarpeelliset toimenpiteet noudattaakseen komission päätöksiä, kun se toteaa asetuksen (EU) 2016/679 45 artiklan 3 tai 5 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 tai 5 kohdan mukaisesti, että kolmas maa, kolmannen maan alue tai yksi tai useampi tietty toimiala tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason tai että se ei enää tarjoa sitä.

1.   Jollei asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.

2.   Edellä 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla seuraavat, ilman että edellytetään erityistä Euroopan tietosuojavaltuutetun antamaa lupaa:

3.   Euroopan tietosuojavaltuutetun luvalla 1 kohdassa tarkoitettuja asianmukaisia suojatoimia voivat olla myös erityisesti seuraavat:

4.   Hyväksynnät, jotka Euroopan tietosuojavaltuutettu on antanut asetuksen (EY) N:o 45/2001 9 artiklan 7 kohdan nojalla, pysyvät voimassa, kunnes Euroopan tietosuojavaltuutettu tarpeen vaatiessa muuttaa niitä tai korvaa tai kumoaa ne.

5.   Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

1.   Jollei asetuksen (EU) 2016/679 45 artiklan 3 kohdan tai direktiivin (EU) 2016/680 36 artiklan 3 kohdan mukaista tietosuojan riittävyyttä koskevaa päätöstä ole tehty tai tämän asetuksen 48 artiklassa tarkoitettuja asianmukaisia suojatoimia ole toteutettu, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa vain jollakin seuraavista edellytyksistä:

2.   Edellä olevan 1 kohdan a, b ja c alakohtaa ei sovelleta toimiin, joita unionin toimielimet ja elimet suorittavat osana julkisen vallan käyttöä.

3.   Edellä 1 kohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa.

4.   Edellä olevan 1 kohdan g alakohdan mukainen siirto ei saa käsittää rekisteriin sisältyviä henkilötietoja kokonaisuudessaan eikä kokonaisia henkilötietoryhmiä, ellei tämä ole sallittu unionin oikeudessa. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on siihen oikeutettu etu, siirto tehdään ainoastaan näiden henkilöiden pyynnöstä tai jos he ovat henkilötietojen vastaanottajia.

5.   Ellei tietosuojan riittävyyttä koskevaa päätöstä ole annettu, unionin oikeudessa voidaan yleistä etua koskevista tärkeistä syistä nimenomaisesti rajoittaa tiettyjen henkilötietoryhmien siirtoa kolmanteen maahan tai kansainväliselle järjestölle.

6.   Unionin toimielimet ja elimet ilmoittavat Euroopan tietosuojavaltuutetulle tapausryhmistä, joihin tätä artiklaa on sovellettu.

1.   Perustetaan Euroopan tietosuojavaltuutettu.

2.   Henkilötietojen käsittelyssä Euroopan tietosuojavaltuutetun tehtävänä on varmistaa, että unionin toimielimet ja elimet kunnioittavat luonnollisten henkilöiden perusoikeuksia ja -vapauksia, erityisesti heidän oikeuttaan tietosuojaan.

3.   Euroopan tietosuojavaltuutetun tehtävänä on valvoa tämän asetuksen ja muiden unionin säädösten niiden säännösten soveltamista, jotka koskevat luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua unionin toimielimen tai elimen suorittaman henkilötietojen käsittelyn yhteydessä, ja varmistaa niiden soveltaminen sekä antaa ohjeita unionin toimielimille ja elimille sekä rekisteröidyille kaikista henkilötietojen käsittelyä koskevista seikoista. Näiden tavoitteiden saavuttamiseksi Euroopan tietosuojavaltuutettu hoitaa 57 artiklassa säädettyjä tehtäviä ja käyttää 58 artiklassa annettua toimivaltaa.

4.   Euroopan tietosuojavaltuutetun hallussa oleviin asiakirjoihin sovelletaan asetusta (EY) N:o 1049/2001. Euroopan tietosuojavaltuutettu vahvistaa yksityiskohtaiset säännöt asetuksen (EY) N:o 1049/2001 soveltamisesta kyseisiin asiakirjoihin.

1.   Euroopan parlamentti ja neuvosto nimittävät yhteisellä sopimuksella Euroopan tietosuojavaltuutetun viiden vuoden toimikaudeksi komission julkisen hakumenettelyn johdosta laatiman luettelon pohjalta. Hakumenettelyssä kaikkien asianomaisten osapuolten kaikkialla unionissa on voitava jättää hakemuksensa. Komission laatima luettelo ehdokkaista on julkinen, ja siinä on oltava vähintään kolme ehdokasta. Komission laatiman luettelon perusteella Euroopan parlamentin asiasta vastaava valiokunta voi päättää kuulemisen järjestämisestä voidakseen ilmoittaa suosituimmuusjärjestyksensä.

2.   Edellä 1 kohdassa tarkoitetun luettelon ehdokkaista on koostuttava henkilöistä, joiden riippumattomuudesta ei ole epäilystä ja joilla on yleisesti tunnustettu asiantuntemus tietosuojan alalla sekä kokemus ja pätevyys Euroopan tietosuojavaltuutetun tehtävien hoitamiseen.

3.   Euroopan tietosuojavaltuutetun toimikausi voidaan uusia kerran.

4.   Euroopan tietosuojavaltuutetun velvollisuudet päättyvät seuraavissa olosuhteissa:

5.   Unionin tuomioistuin voi Euroopan parlamentin, neuvoston tai komission hakemuksesta erottaa Euroopan tietosuojavaltuutetun tai lakkauttaa tältä oikeuden eläkkeeseen tai muihin vastaaviin etuuksiin, jos hän ei enää täytä niitä vaatimuksia, joita hänen tehtävänsä edellyttävät, tai jos hän on syyllistynyt vakavaan rikkomukseen.

6.   Kun on kyse tavallisesta uudesta nimittämisestä tai vapaaehtoisesta tehtävästä luopumisesta, Euroopan tietosuojavaltuutettu jatkaa kuitenkin tehtävässään, kunnes hänen tilalleen on nimitetty uusi henkilö.

7.   Euroopan unionin erioikeuksista ja vapauksista tehdyn pöytäkirjan 11–14 ja 17 artiklaa sovelletaan Euroopan tietosuojavaltuutettuun.

1.   Euroopan tietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta unionin tuomioistuimen tuomariin.

2.   Budjettivallan käyttäjä varmistaa, että Euroopan tietosuojavaltuutetulla on käytössään hänen tehtäviensä suorittamista varten tarvittava henkilöstö ja rahoitus.

3.   Euroopan tietosuojavaltuutetun talousarvio otetaan erillisenä kohtana unionin yleisen talousarvion hallintomenoihin liittyvään pääluokkaan.

4.   Euroopan tietosuojavaltuutettua avustaa sihteeristö. Sihteeristön virkamiehet ja muun henkilöstön nimittää Euroopan tietosuojavaltuutettu, joka toimii heidän esimiehenään. He toimivat yksinomaan hänen ohjauksessaan. Henkilöstön määrä vahvistetaan vuosittain talousarviomenettelyn yhteydessä. Euroopan tietosuojaneuvostolle unionin oikeudessa annettujen tehtävien hoitamiseen osallistuvaan Euroopan tietosuojavaltuutetun henkilöstöön sovelletaan asetuksen (EU) 2016/679 75 artiklan 2 kohtaa.

5.   Euroopan tietosuojavaltuutetun sihteeristön virkamiehiin ja muihin henkilöstöön kuuluviin sovelletaan unionin virkamiehiin ja muuhun henkilöstöön sovellettavia säännöksiä.

6.   Euroopan tietosuojavaltuutetun toimipaikka on Bryssel.

1.   Euroopan tietosuojavaltuutettu toimii täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti.

2.   Euroopan tietosuojavaltuutettuun ei saa vaikuttaa ulkopuolelta suoraan eikä välillisesti hänen hoitaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti, eikä hän saa pyytää eikä ottaa ohjeita miltään taholta.

3.   Euroopan tietosuojavaltuutetun on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen hänen tehtäviensä hoitamisen kanssa, eikä hän saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta ammattitoimintaa.

4.   Euroopan tietosuojavaltuutetun on toimikautensa päätyttyä noudatettava kunniallisuutta ja pidättyvyyttä hyväksyessään tehtäviä tai etuja.

1.   Tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta Euroopan tietosuojavaltuutettu

2.   Euroopan tietosuojavaltuutettu helpottaa 1 kohdan e alakohdassa tarkoitettujen kantelujen jättämistä kantelulomakkeella, joka voidaan täyttää myös sähköisesti, muita mahdollisia viestintäkeinoja pois sulkematta.

3.   Euroopan tietosuojavaltuutetun tehtävien suorittamisesta ei aiheudu kustannuksia rekisteröidylle.

4.   Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, Euroopan tietosuojavaltuutettu voi kieltäytyä suorittamasta pyydettyä toimea. Euroopan tietosuojavaltuutetun on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

1.   Euroopan tietosuojavaltuutetulla on seuraavat tutkintavaltuudet:

2.   Euroopan tietosuojavaltuutetulla on seuraavat korjaavat toimivaltuudet:

3.   Euroopan tietosuojavaltuutetulla on seuraavat hyväksymis- ja neuvontavaltuudet:

4.   Euroopan tietosuojavaltuutetulla on toimivalta saattaa asioita unionin tuomioistuimen käsiteltäväksi perussopimuksissa määrättyjen edellytysten mukaisesti ja olla väliintulijana käsiteltäessä unionin tuomioistuimessa nostettuja kanteita.

5.   Euroopan tietosuojavaltuutetulle tämän artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa.

1.   Euroopan tietosuojavaltuutettu antaa Euroopan parlamentille, neuvostolle ja komissiolle vuosikertomuksen toiminnastaan ja julkistaa sen samanaikaisesti.

2.   Euroopan tietosuojavaltuutettu toimittaa 1 kohdassa tarkoitetun kertomuksen muille unionin toimielimille ja elimille, jotka voivat esittää huomautuksia kertomusta koskevaa mahdollista Euroopan parlamentin käsittelyä varten.

1.   Kun unionin säädöksessä viitataan tähän artiklaan, Euroopan tietosuojavaltuutettu ja kansalliset valvontaviranomaiset tekevät toimivaltojensa puitteissa aktiivisesti yhteistyötä hoitaessaan tehtäviään laaja-alaisten tietojärjestelmien ja unionin elinten ja laitosten tehokkaan valvonnan varmistamiseksi.

2.   Tehtäviään hoitaessaan ne tarvittaessa vaihtavat toimivaltansa puitteissa asiaankuuluvia tietoja, avustavat toisiaan tarkastusten suorittamisessa, tutkivat tämän asetuksen ja muiden sovellettavien unionin säädösten tulkintaan tai soveltamiseen liittyviä vaikeuksia, tarkastelevat riippumattomaan valvontaan tai rekisteröityjen oikeuksien käyttöön liittyviä ongelmia, laativat yhdenmukaistettuja ehdotuksia ratkaisujen löytämiseksi mahdollisiin ongelmiin ja edistävät tietämystä tietosuojaa koskevista oikeuksista.

3.   Euroopan tietosuojavaltuutettu ja kansalliset valvontaviranomaiset kokoontuvat 2 kohdan soveltamiseksi vähintään kaksi kertaa vuodessa Euroopan tietosuojaneuvoston puitteissa. Euroopan tietosuojaneuvosto voi tätä varten kehittää tarvittaessa uusia työmenetelmiä.

4.   Euroopan tietosuojaneuvosto toimittaa koordinoitua valvontaa koskevan yhteisen toimintakertomuksen Euroopan parlamentille, neuvostolle ja komissiolle kahden vuoden välein.

1.   Jokaisella rekisteröidyllä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta oikeussuojakeinoja, hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.

2.   Euroopan tietosuojavaltuutettu ilmoittaa kantelun tekijälle kantelun etenemisestä ja ratkaisusta, mukaan lukien 64 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta.

3.   Jos Euroopan tietosuojavaltuutettu ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa kantelun etenemisestä tai ratkaisusta, Euroopan tietosuojavaltuutetun katsotaan antaneen kielteisen päätöksen.

1.   Unionin tuomioistuimella on toimivalta ratkaista kaikki riidat, jotka koskevat tämän asetuksen säännöksiä, mukaan lukien vahingonkorvausvaatimukset.

2.   Euroopan tietosuojavaltuutetun päätöksiin, myös 63 artiklan 3 kohdan nojalla tehtyihin päätöksiin, voidaan hakea muutosta unionin tuomioistuimelta.

3.   Unionin tuomioistuimella on täysi harkintavalta tarkastellessaan 66 artiklassa tarkoitettuja hallinnollisia sakkoja. Se voi kumota sakot sekä vähentää tai korottaa niitä 66 artiklan rajoissa.

1.   Euroopan tietosuojavaltuutettu voi määrätä hallinnollisia sakkoja unionin toimielimelle tai elimelle kunkin yksittäisen tapauksen olosuhteiden mukaisesti, jos unionin toimielin tai elin ei noudata Euroopan tietosuojavaltuutetun 58 artiklan 2 kohdan d–h ja j alakohdan mukaista määräystä. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

2.   Jos unionin toimielin tai elin rikkoo velvoitteita, joista säädetään 8, 12, 27–35, 39, 40, 43, 44 ja 45 artiklassa, määrätään tämän artiklan 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 25 000 euroa jokaista rikkomista kohden ja yhteensä enintään 250 000 euroa vuodessa.

3.   Jos unionin toimielin tai elin rikkoo seuraavia säännöksiä, määrätään 1 kohdan mukaisesti hallinnollinen sakko, joka on enintään 50 000 euroa jokaista rikkomista kohden ja yhteensä enintään 500 000 euroa vuodessa:

4.   Jos unionin toimielin tai elin rikkoo samoissa tai toisiinsa liittyvissä tai jatkuvissa käsittelytoimissa useita tämän asetuksen säännöksiä tai tämän asetuksen samaa säännöstä useita kertoja, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

5.   Euroopan tietosuojavaltuutettu antaa ennen tämän artiklan mukaisen päätöksen tekemistä unionin toimielimelle tai elimelle, joka on Euroopan tietosuojavaltuutetun toteuttaman menettelyn kohteena, tilaisuuden tulla kuulluksi seikoista, joista Euroopan tietosuojavaltuutettu on esittänyt väitteitä. Euroopan tietosuojavaltuutettu perustaa päätöksensä ainoastaan niille väitteille, joista asianomaiset osapuolet ovat voineet esittää huomautuksensa. Kantelijat osallistuvat tiiviisti menettelyyn.

6.   Menettelyssä on kunnioitettava täysimääräisesti asianosaisten puolustautumisoikeuksia. Niillä on oikeus tutustua Euroopan tietosuojavaltuutetun asiakirja-aineistoon edellyttäen, että otetaan huomioon yksityishenkilöiden tai yritysten oikeutetut edut, jotka liittyvät henkilötietojen tai liikesalaisuuksien suojaan.

7.   Tämän artiklan mukaisesti määrätyillä sakoilla kerätyt varat otetaan unionin yleiseen talousarvioon.

1.   Operatiivisten henkilötietojen suhteen noudatetaan seuraavia vaatimuksia:

2.   Saman tai toisen rekisterinpitäjän suorittama käsittely muuhun unionin elimen tai laitoksen perustamissäädöksessä säädettyyn tarkoitukseen kuin siihen, johon operatiiviset henkilötiedot kerättiin, sallitaan siltä osin kuin

3.   Saman tai toisen rekisterinpitäjän suorittamaan käsittelyyn voi kuulua käsittely yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista käsittelyä varten unionin elimen tai laitoksen perustamissäädöksessä säädettyihin tarkoituksiin edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet toteutetaan.

4.   Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1, 2 ja 3 kohtaa on noudatettu.

1.   Operatiivisten henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin käsittely on tarpeen unionin elinten ja laitosten tehtävän suorittamiseksi, kun ne toteuttavat Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, ja se perustuu unionin oikeuteen.

2.   Unionin erityissäädöksissä, joilla säännellään tämän luvun soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät operatiiviset henkilötiedot, käsittelyn tarkoitukset ja operatiivisten henkilötietojen säilytysajat tai määräajat operatiivisten henkilötietojen säilyttämisen jatkamisen tarpeellisuuden säännöllistä uudelleentarkastelua varten.

1.   Rekisterinpitäjän on mahdollisuuksien mukaan erotettava tosiseikkoihin perustuvat operatiiviset henkilötiedot henkilökohtaisiin arvioihin perustuvista operatiivisista henkilötiedoista.

2.   Rekisterinpitäjän on toteutettava kaikki kohtuulliset toimet varmistaakseen, että virheellisiä, epätäydellisiä tai vanhentuneita operatiivisia henkilötietoja ei siirretä eikä aseteta saataville. Tätä varten rekisterinpitäjän on mahdollisuuksien ja tapauksen mukaan varmennettava operatiivisten henkilötietojen laatu ennen niiden siirtämistä tai saataville asettamista, esimerkiksi kuulemalla toimivaltaista viranomaista, jolta tiedot ovat peräisin. Rekisterinpitäjän on mahdollisuuksien mukaan lisättävä kaikkiin operatiivisten henkilötietojen siirtoihin tarvittavat tiedot, joiden avulla vastaanottaja voi arvioida operatiivisten henkilötietojen paikkansapitävyyttä, täydellisyyttä ja luotettavuutta sekä sitä, miltä osin ne ovat ajan tasalla.

3.   Jos ilmenee, että on siirretty virheellisiä operatiivisia henkilötietoja tai että operatiivisia henkilötietoja on siirretty lainvastaisesti, asiasta on ilmoitettava viipymättä vastaanottajalle. Tällaisessa tapauksessa kyseiset operatiiviset henkilötiedot on oikaistava tai poistettava tai niiden käsittelyä on rajoitettava 82 artiklan mukaisesti.

1.   Kun tietoja siirtävään rekisterinpitäjään sovellettavassa unionin oikeudessa säädetään käsittelyä koskevista erityisistä edellytyksistä, rekisterinpitäjän on ilmoitettava operatiivisten henkilötietojen vastaanottajalle kyseisistä edellytyksistä ja vaatimuksesta noudattaa niitä.

2.   Rekisterinpitäjän on noudatettava tiedot siirtävän toimivaltaisen viranomaisen direktiivin (EU) 2016/680 9 artiklan 3 ja 4 kohdan mukaisesti säätämiä käsittelyä koskevia erityisiä edellytyksiä.

1.   Sellaisten operatiivisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tietojen käsittely, biometristen tietojen käsittely luonnollisen henkilön yksiselitteistä tunnistamista varten tai terveystietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevien operatiivisten henkilötietojen käsittely sallitaan vain, jos se on ehdottoman välttämätöntä operatiivisiin tarkoituksiin ja sisältyy asianomaisen unionin elimen tai laitoksen toimeksiantoon, ja edellyttäen, että rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet on toteutettu. Luonnollisten henkilöiden syrjintä tällaisten henkilötietojen perusteella on kiellettyä.

2.   Tietosuojavastaavalle on ilmoitettava ilman aiheetonta viivytystä tämän artiklan soveltamisesta.

1.   Päätös, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa, jossa vahvistetaan rekisteröidyn oikeuksia ja vapauksia koskevat asianmukaiset suojatoimet, vähintään oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö.

2.   Tämän artiklan 1 kohdassa tarkoitetut päätökset eivät saa perustua 76 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu.

3.   Unionin oikeuden mukaisesti on kiellettävä profilointi, joka johtaa 76 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään.

1.   Rekisterinpitäjän on toteutettava kohtuulliset toimet toimittaakseen rekisteröidylle 79 artiklan mukaiset tiedot ja kaikki 80–84 ja 92 artiklan mukaiset käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava millä tahansa asianmukaisella tavalla, kuten sähköisesti. Rekisterinpitäjän on pääsääntöisesti toimitettava tiedot samassa muodossa kuin pyyntö.

2.   Rekisterinpitäjän on helpotettava 79–84 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

3.   Rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti tämän esittämän pyynnön käsittelystä ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kolmen kuukauden kuluttua rekisteröidyn pyynnön vastaanottamisesta.

4.   Rekisterinpitäjän on toimitettava 79 artiklan mukaiset tiedot ja annettava kaikki ilmoitukset tai toteutettava kaikki toimet 80–84 ja 92 artiklan nojalla maksutta. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti siitä syystä, että niitä esitetään toistuvasti, rekisterinpitäjä voi kieltäytyä suorittamasta pyydettyä toimea. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

5.   Jos rekisterinpitäjällä on perusteltua syytä epäillä 80 tai 82 artiklassa tarkoitetun pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.

1.   Rekisterinpitäjän on asetettava rekisteröidyn saataville ainakin seuraavat tiedot:

2.   Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on annettava unionin oikeudessa säädetyissä erityistapauksissa rekisteröidylle seuraavat lisätiedot, jotta hänen on mahdollista käyttää oikeuksiaan:

3.   Rekisterinpitäjä voi viivyttää tai rajoittaa 2 kohdan mukaista rekisteröidylle ilmoittamista tai jättää sen kokonaan tekemättä siltä osin ja niin pitkäksi aikaa, kuin tällainen toimenpide on välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon asianomaisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

1.   Rekisterinpitäjä voi rajoittaa kokonaan tai osittain rekisteröidyn oikeutta saada pääsy tietoihin siltä osin ja niin pitkäksi aikaa, kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon asianomaisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

2.   Edellä 1 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjän on ilmoitettava ilman aiheetonta viivytystä rekisteröidylle kirjallisesti, jos tietoihin pääsy evätään tai sitä rajoitetaan, sekä tällaisen epäämisen tai rajoittamisen perustelut. Tällaiset tiedot voidaan jättää pois, jos niiden ilmoittaminen vaarantaisi 1 kohdan mukaisen tarkoituksen. Rekisterinpitäjän on ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää oikeussuojakeinoja unionin tuomioistuimessa. Rekisterinpitäjän on dokumentoitava ne seikat tai oikeudelliset syyt, joihin päätös perustuu. Näiden tietojen on oltava pyynnöstä Euroopan tietosuojavaltuutetun saatavilla.

1.   Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset operatiiviset henkilötiedot. Käsittelyn tarkoitukset huomioon ottaen rekisteröidyllä on oikeus saada puutteelliset operatiiviset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

2.   Rekisterinpitäjän on poistettava operatiiviset henkilötiedot ilman aiheetonta viivytystä, ja rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat operatiiviset henkilötiedot ilman aiheetonta viivytystä, jos käsittely rikkoo 71 artiklaa, 72 artiklan 1 kohtaa tai 76 artiklaa tai jos operatiiviset henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi.

3.   Poistamisen sijasta rekisterinpitäjän on rajoitettava käsittelyä, jos

Jos käsittelyä on rajoitettu ensimmäisen alakohdan a alakohdan nojalla, rekisterinpitäjän on ilmoitettava rekisteröidylle, ennen kuin käsittelyä koskeva rajoitus poistetaan.

Tietoja, joihin pääsy on rajoitettu, saa käsitellä ainoastaan sitä tarkoitusta varten, joka esti niiden poistamisen.

4.   Rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisesti, jos se kieltäytyy operatiivisten henkilötietojen oikaisemisesta tai poistamisesta tai niiden käsittelyn rajoittamisesta, sekä kieltäytymisen syistä. Rekisterinpitäjä voi rajoittaa kokonaan tai osittain tällaisten tietojen antamista siltä osin, kuin tällainen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut ja jotta voidaan

Rekisterinpitäjän on ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää oikeussuojakeinoja unionin tuomioistuimessa.

5.   Rekisterinpitäjän on ilmoitettava virheellisten operatiivisten henkilötietojen oikaisemisesta toimivaltaiselle viranomaiselle, jolta virheelliset operatiiviset henkilötiedot ovat peräisin.

6.   Tapauksissa, joissa operatiivisia henkilötietoja on oikaistu tai poistettu taikka käsittelyä on rajoitettu 1, 2 tai 3 kohdan nojalla, rekisterinpitäjän on ilmoitettava asiasta vastaanottajille ja ilmoitettava näille, että näiden on oikaistava tai poistettava operatiivisia henkilötietoja taikka rajoitettava vastuullaan olevien operatiivisten henkilötietojen käsittelyä.

1.   Rekisteröidyn oikeuksia voidaan 79 artiklan 3 kohdassa, 81 artiklassa ja 82 artiklan 4 kohdassa tarkoitetuissa tapauksissa käyttää myös Euroopan tietosuojavaltuutetun välityksellä.

2.   Rekisterinpitäjän on ilmoitettava rekisteröidylle hänen mahdollisuudestaan käyttää oikeuksiaan Euroopan tietosuojavaltuutetun välityksellä 1 kohdan mukaisesti.

3.   Jos 1 kohdassa tarkoitettua oikeutta käytetään, Euroopan tietosuojavaltuutettu ilmoittaa rekisteröidylle ainakin siitä, että Euroopan tietosuojavaltuutettu on tehnyt kaikki tarvittavat tarkistukset tai toteuttanut uudelleentarkastelun. Euroopan tietosuojavaltuutettu myös tiedottaa rekisteröidylle hänen oikeudestaan käyttää oikeussuojakeinoja unionin tuomioistuimessa.

1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelyn keinojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa ja tarvittavien suojatoimien käsittelyn osaksi sisällyttämistä varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, jotta käsittely vastaisi tämän asetuksen ja sen perustamissäädöksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

2.   Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain operatiivisia henkilötietoja, jotka ovat asianmukaisia, olennaisia eivätkä liian laajoja siihen tarkoitukseen, jota varten niitä käsitellään. Tämä velvollisuus koskee kerättyjen operatiivisten henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että operatiivisia henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

1.   Jos vähintään kaksi rekisterinpitäjää tai yksi tai useampi rekisterinpitäjä yhdessä yhden tai useamman muun rekisterinpitäjän kuin unionin toimielinten ja elinten kanssa määrittävät yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuojavelvoitteidensa noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 79 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin yhteisrekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään yhteisrekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.

2.   Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityyn nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.

3.   Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan.

1.   Jos käsittely suoritetaan rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka antavat riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamiseksi siten, että käsittely täyttää tämän asetuksen ja rekisterinpitäjän perustamissäädöksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu.

2.   Henkilötietojen käsittelijä ei saa käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Kun kyse on yleisestä kirjallisesta luvasta, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.

3.   Henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella muulla säädöksellä, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, operatiivisten henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on määrättävä erityisesti, että henkilötietojen käsittelijä

4.   Edellä 3 kohdassa tarkoitetun sopimuksen tai muun oikeudellisen asiakirjan on oltava kirjallinen, mukaan lukien sähköisessä muodossa.

5.   Jos henkilötietojen käsittelijä rikkoo tätä asetusta tai rekisterinpitäjän perustamissäädöstä määrittämällä käsittelyn tarkoitukset ja keinot, kyseistä henkilötietojen käsittelijää on pidettävä tämän käsittelyn rekisterinpitäjänä.

1.   Rekisterinpitäjän on säilytettävä lokitiedot seuraavista automatisoiduissa käsittelyjärjestelmissä suoritettavista käsittelytoimista: operatiivisten henkilötietojen kerääminen ja muuttaminen, niihin pääsy, kysely, luovuttaminen, siirrot mukaan lukien, yhdistäminen ja poistaminen. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä toteamaan kyseisten toimien perusteet sekä toteutuspäivä ja -aika, operatiivisia henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden operatiivisten henkilötietojen vastaanottajien henkilöllisyys.

2.   Lokitietoja on käytettävä ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan, operatiivisten henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. Tällaiset lokitiedot on poistettava kolmen vuoden kuluttua, paitsi jos tietoja tarvitaan edelleen valvontaa varten.

3.   Rekisterinpitäjän on asetettava pyynnöstä lokitiedot tietosuojavastaavansa ja Euroopan tietosuojavaltuutetun saataville.

1.   Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista operatiivisten henkilötietojen suojalle.

2.   Edellä 1 kohdassa tarkoitetussa arvioinnissa on esitettävä vähintään yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin ja vapauksiin kohdistuvista riskeistä, toimet, joiden avulla riskeihin on tarkoitus puuttua, sekä suojatoimet, turvatoimenpiteet ja mekanismit, joilla varmistetaan operatiivisten henkilötietojen suoja ja osoitetaan, että tietosuojasääntöjä on noudatettu, ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

1.   Rekisterinpitäjän on kuultava Euroopan tietosuojavaltuutettua ennen henkilötietojen käsittelyä, joka muodostaa osan uutta, tekeillä olevaa rekisteriä, jos

2.   Euroopan tietosuojavaltuutettu voi laatia luettelon käsittelytoimista, joihin sovelletaan 1 kohdassa tarkoitettua ennakkokuulemista.

3.   Rekisterinpitäjän on toimitettava Euroopan tietosuojavaltuutetulle 89 artiklassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi ja pyynnöstä mahdolliset muut tiedot, joiden avulla Euroopan tietosuojavaltuutettu voi arvioida käsittelyn vaatimustenmukaisuutta ja erityisesti riskejä rekisteröidyn operatiivisten henkilötietojen suojan kannalta ja tähän liittyviä suojatoimia.

4.   Jos Euroopan tietosuojavaltuutettu katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta tai unionin elimen tai laitoksen perustamissäädöstä, erityisesti jos rekisterinpitäjä ei ole riittävästi tunnistanut tai lieventänyt riskiä, Euroopan tietosuojavaltuutettu antaa kirjallisesti ohjeet rekisterinpitäjälle enintään kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta. Määräaikaa voidaan jatkaa kuukaudella ottaen huomioon suunnitellun käsittelyn monimutkaisuus. Euroopan tietosuojavaltuutettu ilmoittaa rekisterinpitäjälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta.

1.   Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet varsinkin erityisten operatiivisten henkilötietojen ryhmien osalta.

2.   Automaattisen käsittelyn osalta rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskinarvioinnin pohjalta toimenpiteet, joiden tarkoituksena on

1.   Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta Euroopan tietosuojavaltuutetulle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta Euroopan tietosuojavaltuutetulle 72 tunnin kuluessa, ilmoitukseen on liitettävä viivytyksen syyt.

2.   Edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään

3.   Jos ja siltä osin kuin 2 kohdassa tarkoitettuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta lisäviivytystä.

4.   Rekisterinpitäjän on dokumentoitava kaikki 1 kohdassa tarkoitetut henkilötietojen tietoturvaloukkaukset, mukaan lukien tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Euroopan tietosuojavaltuutetun on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

5.   Jos tietoturvaloukkaukseen sisältyy toimivaltaisten viranomaisten toimittamia tai näille toimitettuja operatiivisia henkilötietoja, rekisterinpitäjän on toimitettava 2 kohdassa tarkoitetut tiedot asianomaisille toimivaltaisille viranomaisille ilman aiheetonta viivytystä.

1.   Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

2.   Tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 92 artiklan 2 kohdan b, c ja d alakohdassa säädetyt tiedot ja suositukset.

3.   Edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

4.   Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, Euroopan tietosuojavaltuutettu voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

5.   Tämän artiklan 1 kohdassa tarkoitettua rekisteröidylle ilmoittamista voidaan viivästyttää tai rajoittaa tai se voidaan jättää tekemättä 79 artiklan 3 kohdan mukaisilla edellytyksillä ja perusteilla.

1.   Jollei unionin elimen tai laitoksen perustamissäädöksessä säädetyistä rajoituksista ja ehdoista muuta johdu, rekisterinpitäjä voi siirtää operatiivisia henkilötietoja kolmannen maan viranomaiselle tai kansainväliselle järjestölle, siltä osin kuin tällainen siirto on tarpeen rekisterinpitäjän tehtävien suorittamiseksi ja vain jos seuraavat tässä artiklassa säädetyt edellytykset täyttyvät:

2.   Unionin elinten ja laitosten perustamissäädöksissä voidaan pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä operatiivisten henkilötietojen kansainvälisten siirtojen ehdoista, erityisesti asianmukaisten suojatoimien ja erityistilanteita koskevien poikkeusten avulla tapahtuvista siirroista.

3.   Rekisterinpitäjän on julkaistava verkkosivustollaan ja pidettävä ajan tasalla luettelo 1 kohdan a alakohdassa tarkoitetuista tietosuojan riittävyyttä koskevista päätöksistä, sopimuksista, hallinnollisista järjestelyistä ja muista välineistä, jotka liittyvät 1 kohdan mukaiseen operatiivisten henkilötietojen siirtoon.

4.   Rekisterinpitäjän on pidettävä yksityiskohtaisesti kirjaa kaikista tämän artiklan nojalla suoritetuista siirroista.

1.   Komissiota avustaa asetuksen (EU) 2016/679 93 artiklalla perustettu komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.   Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

1.   Komissio tarkastelee viimeistään 30 päivänä huhtikuuta 2022 uudelleen perussopimusten perusteella annettuja säädöksiä, joilla säännellään Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa toteuttavien unionin elinten ja laitosten suorittamaa operatiivisten henkilötietojen käsittelyä,

2.   Jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä, komissio voi uudelleentarkastelun perusteella erityisesti tämän asetuksen IX luvun soveltamiseksi Europoliin ja Euroopan syyttäjänvirastoon esittää asianmukaisia lainsäädäntöehdotuksia, mukaan lukien tarvittaessa mukautukset tämän asetuksen IX lukuun.

1.   Tämä asetus ei vaikuta Euroopan parlamentin ja neuvoston päätökseen 2014/886/EU (20) eikä Euroopan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nykyiseen toimikauteen.

2.   Apulaistietosuojavaltuutettu rinnastetaan palkkansa, korvaustensa, vanhuuseläkkeensä ja muiden taloudellisten etujensa määrittämisen osalta unionin tuomioistuimen kirjaajaan.

3.   Tämän asetuksen 53 artiklan 4, 5 ja 7 kohtaa sekä 55 ja 56 artiklaa sovelletaan nykyiseen apulaistietosuojavaltuutettuun siihen saakka, kun hänen toimikautensa päättyy.

4.   Apulaistietosuojavaltuutettu avustaa Euroopan tietosuojavaltuutettua tämän tehtävien suorittamisessa ja toimii hänen sijaisenaan, kun Euroopan tietosuojavaltuutettu on poissa tai estynyt hoitamasta tehtäviään, kunnes nykyisen apulaistietosuojavaltuutetun toimikausi päättyy.

1.   Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.   Tätä asetusta sovelletaan kuitenkin Eurojustin suorittamaan henkilötietojen käsittelyyn 12 päivänä joulukuuta 2019 päivästä 9.9.9999 kuuta 9.9.9999.