70 artikla 📖 GDPR. Tietosuojaneuvoston tehtävät

70 artikla GDPR. Tietosuojaneuvoston tehtävät

Article 70 GDPR. Tasks of the Board

1. Tietosuojaneuvosto varmistaa, että tätä asetusta sovelletaan yhdenmukaisesti. Tätä varten tietosuojaneuvosto toteuttaa joko omasta aloitteestaan tai tarvittaessa komission pyynnöstä erityisesti seuraavia tehtäviä:

1. The Board shall ensure the consistent application of this Regulation. To that end, the Board shall, on its own initiative or, where relevant, at the request of the Commission, in particular:

a) tämän asetuksen asianmukaisen soveltamisen seuranta ja varmistaminen 64 ja 65 artiklassa säädetyissä tapauksissa, sanotun kuitenkaan rajoittamatta kansallisten valvontaviranomaisten tehtäviä;

(a) monitor and ensure the correct application of this Regulation in the cases provided for in Articles 64 and 65 without prejudice to the tasks of national supervisory authorities;

Liittyvä artikkeli

64 artikla GDPR. Tietosuojaneuvoston lausunto

Article 64 GDPR. Opinion of the Board

65 artikla GDPR. Euroopan tietosuojaneuvoston kiistanratkaisumenettely

Article 65 GDPR. Dispute resolution by the Board

b) antaa komissiolle neuvoja kaikista henkilötietojen suojaan unionissa liittyvistä kysymyksistä, myös tämän asetuksen mahdollisesta muuttamisesta;

(b) advise the Commission on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Regulation;

c) antaa komissiolle neuvoja rekisterinpitäjien, henkilötietojen käsittelijöiden ja valvontaviranomaisten välisen tietojenvaihdon muodoista ja menettelyistä, kun kyse on yritystä koskevista sitovista säännöistä;

(c) advise the Commission on the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules;

d) antaa suuntaviivoja, suosituksia ja parhaita käytänteitä menettelyistä, joilla poistetaan henkilötietoihin liittyviä linkkejä sekä tietojen kopioita ja jäljennöksiä julkisesti saatavilla olevista viestintäpalveluista, siten kuin 17 artiklan 2 kohdassa tarkoitetaan;

(d) issue guidelines, recommendations, and best practices on procedures for erasing links, copies or replications of personal data from publicly available communication services as referred to in Article 17(2);

Liittyvä artikkeli

17 artikla GDPR. Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

[…]

2. Jos rekisterinpitäjä on julkistanut henkilötiedot ja sillä on 1 kohdan mukaisesti velvollisuus poistaa tiedot, sen on käytettävissä oleva teknologia ja toteuttamiskustannukset huomioon ottaen toteutettava kohtuulliset toimenpiteet, muun muassa tekniset toimet, ilmoittaakseen henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt kyseisiä rekisterinpitäjiä poistamaan näihin henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot.

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

[…]

e) tarkastelee omasta aloitteestaan tai jonkin jäsenensä tai komission pyynnöstä kysymyksiä, jotka koskevat tämän asetuksen soveltamista, ja antaa suuntaviivoja, suosituksia ja parhaita käytänteitä, joiden tarkoituksena on tukea tämän asetuksen johdonmukaista soveltamista;

(e) examine, on its own initiative, on request of one of its members or on request of the Commission, any question covering the application of this Regulation and issue guidelines, recommendations and best practices in order to encourage consistent application of this Regulation;

f) antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 22 artiklan 2 kohdan mukaisia profilointiin perustuvia päätöksiä koskevien kriteerien ja edellytysten tarkemmaksi määrittelemiseksi;

(f) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for further specifying the criteria and conditions for decisions based on profiling pursuant to Article 22(2);

Liittyvä artikkeli

22 artikla GDPR. Automatisoidut yksittäispäätökset, profilointi mukaan luettuna

Article 22 GDPR. Automated individual decision-making, including profiling

[…]

2. Edellä olevaa 1 kohtaa ei sovelleta, jos päätös

2. Paragraph 1 shall not apply if the decision:

[…]

a) on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten;

(a) is necessary for entering into, or performance of, a contract between the data subject and a data controller;

b) on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tai

(b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or

c) perustuu rekisteröidyn nimenomaiseen suostumukseen.

(c) is based on the data subject’s explicit consent.

g) antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 33 artiklan 1 ja 2 kohdassa tarkoitettujen henkilötietoturvaloukkausten toteamiseksi ja aiheettoman viivytyksen määrittelemiseksi sekä niiden erityisten olosuhteiden määrittelemiseksi, joissa rekisterinpitäjän ja henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta;

(g) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing the personal data breaches and determining the undue delay referred to in Article 33(1) and (2) and for the particular circumstances in which a controller or a processor is required to notify the personal data breach;

Liittyvä artikkeli

33 artikla GDPR. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

Article 33 GDPR. Notification of a personal data breach to the supervisory authority

1. Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

[…]

h) antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä olosuhteista, joissa henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa 34 artiklan 1 kohdassa tarkoitetun korkean riskin luonnollisen henkilön oikeuksille ja vapauksille;

(h) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph as to the circumstances in which a personal data breach is likely to result in a high risk to the rights and freedoms of the natural persons referred to in Article 34(1).

Liittyvä artikkeli

33 artikla GDPR. Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle

Article 33 GDPR. Notification of a personal data breach to the supervisory authority

2. Henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach.

i) antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä, joissa määritellään tarkemmin kriteerit ja vaatimukset henkilötietojen siirroille, jotka perustuvat rekisterinpitäjien ja henkilötietojen käsittelijöiden noudattamiin yritystä koskeviin sitoviin sääntöihin, sekä lisävaatimuksista, jotka ovat tarpeen 47 artiklassa tarkoitettujen asianomaisten rekisteröityjen henkilötietojen suojan varmistamiseksi;

(i) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for personal data transfers based on binding corporate rules adhered to by controllers and binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned referred to in Article 47;

Liittyvä artikkeli

47 artikla GDPR. Yritystä koskevat sitovat säännöt

Article 47 GDPR. Binding corporate rules

j) antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä 49 artiklan 1 kohdan mukaisia henkilötietojen siirtoja koskevien kriteerien ja vaatimusten tarkemmaksi määrittelemiseksi;

(j) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for the personal data transfers on the basis of Article 49(1);

Liittyvä artikkeli

49 artikla GDPR. Erityistilanteita koskevat poikkeukset

Article 49 GDPR. Derogations for specific situations

1. Jos ei ole tehty 45 artiklan 3 kohdan mukaista tietosuojan tason riittävyyttä koskevaa päätöstä tai ei ole toteutettu 46 artiklassa tarkoitettuja asianmukaisia suojatoimia yritystä koskevat sitovat säännöt mukaan lukien, henkilötietojen siirrot tai siirtojen sarjat kolmanteen maahan tai kansainväliselle järjestölle voidaan suorittaa jollakin seuraavista edellytyksistä:

1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:

a) rekisteröity on antanut nimenomaisen suostumuksensa ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu, että tällaiset siirrot voivat aiheuttaa rekisteröidylle riskejä tietosuojan tason riittävyyttä koskevan päätöksen ja asianmukaisten suojatoimien puuttumisen vuoksi;

(a) the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;

b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject’s request;

c) siirto on tarpeen rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välisen, rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person;

d) siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi;

(d) the transfer is necessary for important reasons of public interest;

e) siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

(e) the transfer is necessary for the establishment, exercise or defence of legal claims;

g) siirto tehdään rekisteristä, jonka tarkoituksena on unionin oikeuden tai jäsenvaltion lainsäädännön mukaan tietojen antaminen yleisölle ja joka on yleisesti yleisön tai kenen tahansa sellaisen henkilön käytettävissä, joka voi esittää tiedonsaannille perustellun syyn, mutta ainoastaan siltä osin kuin rekisterin käytön edellytykset, joista säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä, täyttyvät kussakin yksittäisessä tapauksessa.

(g) the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case.

f) siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan;

(f) the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent;

Jos siirto ei voi perustua 45 tai 46 artiklassa oleviin sääntöihin, kuten yritystä koskeviin sitoviin sääntöihin, eikä mikään tämän kohdan ensimmäisen alakohdan mukaisista erityistilanteita koskevista poikkeuksista sovellu, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle ainoastaan, jos siirto ei ole toistuva, koskee ainoastaan rajallista määrää rekisteröityjä ja on tarpeen rekisterinpitäjän sellaisten pakottavien ja oikeutettujen etujen toteuttamiseksi, joita rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät syrjäytä, sekä jos rekisterinpitäjä on arvioinut kaikkia tiedonsiirtoon liittyviä seikkoja ja toteuttanut tämän arvioinnin perusteella henkilötietojen suojaa koskevat asianmukaiset suojatoimet. Rekisterinpitäjän on ilmoitettava siirrosta valvontaviranomaiselle. Edellä 13 ja 14 artiklassa mainittujen tietojen lisäksi rekisterinpitäjän on annettava rekisteröidylle tiedot siirrosta sekä pakottavista ja oikeutetuista eduista.

Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.

k) laatii valvontaviranomaisille suuntaviivoja, jotka koskevat 58 artiklan 1, 2 ja 3 kohdassa tarkoitettujen toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä 83 artiklan nojalla;

(k) draw up guidelines for supervisory authorities concerning the application of measures referred to in Article 58(1), (2) and (3) and the setting of administrative fines pursuant to Article 83;

Liittyvä artikkeli

58 artikla GDPR. Valtuudet

Article 58 GDPR. Powers

1. Jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:

1. Each supervisory authority shall have all of the following investigative powers:

2. Jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:

2. Each supervisory authority shall have all of the following corrective powers:

3. Jokaisella valvontaviranomaisella on kaikki seuraavat hyväksymis- ja neuvontavaltuudet:

3. Each supervisory authority shall have all of the following authorisation and advisory powers:

83 artikla GDPR. Hallinnollisten sakkojen määräämisen yleiset edellytykset

Article 83 GDPR. General conditions for imposing administrative fines

l) tarkastelee e ja f alakohdassa tarkoitettujen suuntaviivojen, suositusten ja parhaiden käytänteiden soveltamista käytäntöön;

(l) review the practical application of the guidelines, recommendations and best practices;

m) antaa tämän kohdan e alakohdan mukaisesti suuntaviivoja, suosituksia ja parhaita käytänteitä sellaisten yhdenmukaisten menettelyjen laatimiseksi, joilla luonnolliset henkilöt voivat ilmoittaa tämän asetuksen rikkomisista 54 artiklan 2 kohdan mukaisesti;

(m) issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing common procedures for reporting by natural persons of infringements of this Regulation pursuant to Article 54(2);

Liittyvä artikkeli

54 artikla GDPR. Valvontaviranomaisen perustamista koskevat säännöt

Article 54 GDPR. Rules on the establishment of the supervisory authority

[…]

2. Kunkin valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Heidän toimikautensa aikana tätä salassapitovelvollisuutta sovelletaan etenkin luonnollisten henkilöiden tekemiin ilmoituksiin tämän asetuksen rikkomisista.

2. The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Regulation.

n) edistää käytännesääntöjen laatimista ja tietosuojaa koskevien sertifiointimekanismien ja tietosuojasinettien ja -merkkien käyttöönottoa 40 ja 42 artiklan mukaisesti;

(n) encourage the drawing-up of codes of conduct and the establishment of data protection certification mechanisms and data protection seals and marks pursuant to Articles 40 and 42;

Liittyvä artikkeli

40 artikla GDPR. Käytännesäännöt

Article 40 GDPR. Codes of conduct

42 artikla GDPR. Sertifiointi

Article 42 GDPR. Certification

o) toteuttaa sertifiointielinten akkreditointia ja 43 artiklan mukaista määräaikaistarkastelua sekä pitää yllä 43 artiklan 6 kohdan mukaista akkreditoitujen elinten julkista rekisteriä ja 42 artiklan 7 kohdan mukaista kolmansiin maihin sijoittautuneiden akkreditoitujen rekisterinpitäjien tai henkilötietojen käsittelijöiden julkista rekisteriä;

(o) approve the criteria of certification pursuant to Article 42(5) and maintain a public register of certification mechanisms and data protection seals and marks pursuant to Article 42(8) and of the certified controllers or processors established in third countries pursuant to Article 42(7);

Liittyvä artikkeli

43 artikla GDPR. Sertifiointielimet

Article 43 GDPR. Certification bodies

[…]

6. Valvontaviranomainen julkistaa tämän artiklan 3 kohdassa tarkoitetut vaatimukset ja 42 artiklan 5 kohdassa tarkoitetut kriteerit helposti saatavilla olevassa muodossa. Valvontaviranomaiset toimittavat nämä vaatimukset ja kriteerit myös tietosuojaneuvostolle. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.

6. The requirements referred to in paragraph 3 of this Article and the criteria referred to in Article 42(5) shall be made public by the supervisory authority in an easily accessible form. The supervisory authorities shall also transmit those requirements and criteria to the Board.

[…]

42 artikla GDPR. Sertifiointi

Article 42 GDPR. Certification

[…]

7. Sertifiointi myönnetään rekisterinpitäjälle tai henkilötietojen käsittelijälle enintään kolmeksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sitä koskevat vaatimukset edelleen täyttyvät. Jäljempänä 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen peruuttavat sen tarvittaessa, jos sertifiointia koskevat vaatimukset eivät täyty tai eivät enää täyty.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

[…]

p) määrittelee 43 artiklan 3 kohdassa tarkoitetut vaatimukset sertifiointielinten akkreditoimiseksi 42 artiklan nojalla;

(p) approve the requirements referred to in Article 43(3) with a view to the accreditation of certification bodies referred to in Article 43;

Liittyvä artikkeli

43 artikla GDPR. Sertifiointielimet

Article 43 GDPR. Certification bodies

[…]

3. Tämän artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyväksymien kriteerien perusteella. Jos akkreditointi tapahtuu tämän artiklan 1 kohdan b alakohdan nojalla, nämä vaatimukset täydentävät asetuksen (EY) N:o 765/2008 vaatimuksia ja sertifiointielinten menetelmiä ja menettelyjä kuvaavia teknisiä sääntöjä.

3. The accreditation of certification bodies as referred to in paragraphs 1 and 2 of this Article shall take place on the basis of requirements approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63. In the case of accreditation pursuant to point (b) of paragraph 1 of this Article, those requirements shall complement those envisaged in Regulation (EC) No 765/2008 and the technical rules that describe the methods and procedures of the certification bodies.

[…]

42 artikla GDPR. Sertifiointi

Article 42 GDPR. Certification

q) antaa komissiolle lausunnon 43 artiklan 8 kohdassa tarkoitetuista sertifiointivaatimuksista;

(q) provide the Commission with an opinion on the certification requirements referred to in Article 43(8);

Liittyvä artikkeli

43 artikla GDPR. Sertifiointielimet

Article 43 GDPR. Certification bodies

[…]

8. Komissiolle siirretään 92 artiklan mukaisesti valta antaa delegoituja säädöksiä, joissa täsmennetään 42 artiklan 1 kohdassa tarkoitettujen tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset.

8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of specifying the requirements to be taken into account for the data protection certification mechanisms referred to in Article 42(1).

[…]

r) antaa komissiolle lausunnon 12 artiklan 7 kohdassa tarkoitetuista kuvakkeista;

(r) provide the Commission with an opinion on the icons referred to in Article 12(7);

Liittyvä artikkeli

12 artikla GDPR. Läpinäkyvä informointi, viestintä ja yksityiskohtaiset säännöt rekisteröidyn oikeuksien käyttöä varten

Article 12 GDPR. Transparent information, communication and modalities for the exercise of the rights of the data subject

[…]

7. Jäljempänä 13 ja 14 artiklassa tarkoitetut tiedot voidaan antaa rekisteröidyille yhdistettynä vakiomuotoisiin kuvakkeisiin, jotta suunnitellusta käsittelystä voidaan antaa mielekäs yleiskuva helposti erottuvalla, ymmärrettävällä ja selvästi luettavissa olevalla tavalla. Jos kuvakkeet esitetään sähköisessä muodossa, niiden on oltava koneellisesti luettavissa.

7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

[…]

s) antaa komissiolle lausunnon kolmannen maan tai kansainvälisen järjestön tietosuojan tason riittävyyden arvioimiseksi, myös sen arvioimiseksi, pystyykö kolmas maa, kyseisen kolmannen maan alue tai yksi tai useampi tietty sektori tai kansainvälinen järjestö enää varmistamaan tietosuojan riittävää tasoa. Tätä varten komissio toimittaa tietosuojaneuvostolle kaikki välttämättömät asiakirjat, mukaan lukien kolmannen maan hallituksen, kyseisen kolmannen maan alueen tai tietyn sektorin tai kansainvälisen järjestön kanssa käyty kirjeenvaihto;

(s) provide the Commission with an opinion for the assessment of the adequacy of the level of protection in a third country or international organisation, including for the assessment whether a third country, a territory or one or more specified sectors within that third country, or an international organisation no longer ensures an adequate level of protection. To that end, the Commission shall provide the Board with all necessary documentation, including correspondence with the government of the third country, with regard to that third country, territory or specified sector, or with the international organisation.

t) antaa lausuntoja valvontaviranomaisten toimenpideluonnoksista 64 artiklan 1 kohdassa tarkoitetun yhdenmukaisuusmekanismin mukaisesti ja 64 artiklan 2 kohdan mukaisesti sille toimitetuissa asioissa sekä antaa sitovia päätöksiä 65 artiklan nojalla, myös 66 artiklassa tarkoitetuissa tapauksissa;

(t) issue opinions on draft decisions of supervisory authorities pursuant to the consistency mechanism referred to in Article 64(1), on matters submitted pursuant to Article 64(2) and to issue binding decisions pursuant to Article 65, including in cases referred to in Article 66;

Liittyvä artikkeli

64 artikla GDPR. Tietosuojaneuvoston lausunto

Article 64 GDPR. Opinion of the Board

1. Tietosuojaneuvosto antaa lausunnon aina kun toimivaltainen valvontaviranomainen aikoo toteuttaa jonkin jäljempänä esitetyistä toimenpiteistä. Tätä varten toimivaltaisen valvontaviranomaisen on annettava tietosuojaneuvostolle tiedoksi päätösehdotus

1. The Board shall issue an opinion where a competent supervisory authority intends to adopt any of the measures below. To that end, the competent supervisory authority shall communicate the draft decision to the Board, when it:

a) kun toimivaltaisen valvontaviranomaisen tarkoituksena on hyväksyä luettelo käsittelytoimista, joihin sovelletaan 35 artiklan 4 kohdan mukaista tietosuojaa koskevaa vaikutustenarviointivaatimusta;

(a) aims to adopt a list of the processing operations subject to the requirement for a data protection impact assessment pursuant to Article 35(4);

b) joka koskee 40 artiklan 7 kohdan mukaista kysymystä siitä, onko käytännesääntöjen luonnos tai muutos tai laajennus tämän asetuksen mukainen;

(b) concerns a matter pursuant to Article 40(7) whether a draft code of conduct or an amendment or extension to a code of conduct complies with this Regulation;

c) jonka tarkoituksena on hyväksyä kriteerit 41 artiklan 3 kohdan mukaisen elimen tai 43 artiklan 3 kohdan mukaisen sertifiointielimen akkreditoimiseksi;

(c) aims to approve the requirements for accreditation of a body pursuant to Article 41(3), of a certification body pursuant to Article 43(3) or the criteria for certification referred to in Article 42(5);

e) jonka tarkoituksena on 46 artiklan 3 kohdan a alakohdassa tarkoitettujen sopimuslausekkeiden hyväksyminen; tai

(e) aims to authorise contractual clauses referred to in point (a) of Article 46(3); or

f) jonka tarkoituksena on 47 artiklassa tarkoitettujen yritystä koskevien sitovien sääntöjen hyväksyminen.

(f) aims to approve binding corporate rules within the meaning of Article 47.

2. Jokainen valvontaviranomainen, tietosuojaneuvoston puheenjohtaja tai komissio voi pyytää minkä tahansa yleisluonteisen tai useammassa kuin yhdessä jäsenvaltiossa vaikutuksia tuottavan asian käsittelyä tietosuojaneuvostossa lausunnon saamiseksi, etenkin jos toimivaltainen valvontaviranomainen ei noudata keskinäistä avunantoa koskevia velvollisuuksia 61 artiklan mukaisesti tai yhteisiä operaatioita koskevia velvollisuuksia 62 artiklan mukaisesti.

2. Any supervisory authority, the Chair of the Board or the Commission may request that any matter of general application or producing effects in more than one Member State be examined by the Board with a view to obtaining an opinion, in particular where a competent supervisory authority does not comply with the obligations for mutual assistance in accordance with Article 61 or for joint operations in accordance with Article 62.

[…]

65 artikla GDPR. Euroopan tietosuojaneuvoston kiistanratkaisumenettely

Article 65 GDPR. Dispute resolution by the Board

66 artikla GDPR. Kiireellinen menettely

Article 66 GDPR. Urgency procedure

u) edistää valvontaviranomaisten välistä yhteistyötä ja tehokasta kahden- ja monenvälistä tietojen ja parhaiden käytänteiden vaihtamista;

(u) promote the cooperation and the effective bilateral and multilateral exchange of information and best practices between the supervisory authorities;

v) edistää yhteisiä koulutusohjelmia ja tukea henkilövaihtoa valvontaviranomaisten välillä ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen valvontaviranomaisten kanssa;

(v) promote common training programmes and facilitate personnel exchanges between the supervisory authorities and, where appropriate, with the supervisory authorities of third countries or with international organisations;

w) edistää tietosuojalainsäädäntöä ja -käytänteitä koskevan tietämyksen ja niitä koskevien asiakirjojen vaihtoa tietosuojaviranomaisten kesken kaikkialla maailmassa;

(w) promote the exchange of knowledge and documentation on data protection legislation and practice with data protection supervisory authorities worldwide.

x) antaa lausuntoja unionin tasolla 40 artiklan 9 kohdan mukaisesti laadituista käytännesäännöistä; ja

(x) issue opinions on codes of conduct drawn up at Union level pursuant to Article 40(9); and

Liittyvä artikkeli

40 artikla GDPR. Käytännesäännöt

Article 40 GDPR. Codes of conduct

9. Komissio voi antaa täytäntöönpanosäädöksiä, joissa se toteaa, että sille tämän artiklan 8 kohdan nojalla esitetyt hyväksytyt käytännesäännöt, muutokset tai laajennukset ovat yleisesti päteviä unionissa. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

[…]

y) pitää yllä julkista sähköistä rekisteriä päätöksistä, joita valvontaviranomaiset ja tuomioistuimet ovat tehneet yhdenmukaisuusmekanismissa käsitellyissä asioissa.

(y) maintain a publicly accessible electronic register of decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.

2. Jos komissio pyytää tietosuojaneuvostolta neuvoja, se voi asian kiireellisyyden huomioon ottaen ilmoittaa määräajan.

2. Where the Commission requests advice from the Board, it may indicate a time limit, taking into account the urgency of the matter.

3. Tietosuojaneuvoston on toimitettava antamansa lausunnot, suuntaviivat, suositukset ja parhaat käytänteet komissiolle sekä 93 artiklassa tarkoitetulle komitealle ja julkaistava ne.

3. The Board shall forward its opinions, guidelines, recommendations, and best practices to the Commission and to the committee referred to in Article 93 and make them public.

Liittyvä artikkeli

93 artikla GDPR. Komiteamenettely

Article 93 GDPR. Committee procedure

1. Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

1. The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011.

2. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

3. Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 8 artiklaa yhdessä sen 5 artiklan kanssa.

3. Where reference is made to this paragraph, Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5 thereof, shall apply.

4. Tietosuojaneuvoston on tarvittaessa kuultava asianomaisia osapuolia ja annettava niille mahdollisuus esittää huomautuksia kohtuullisessa määräajassa. Tietosuojaneuvoston on saatettava kuulemismenettelyn tulokset julkisesti saataville, sanotun kuitenkaan rajoittamatta 76 artiklan soveltamista.

4. The Board shall, where appropriate, consult interested parties and give them the opportunity to comment within a reasonable period. The Board shall, without prejudice to Article 76, make the results of the consultation procedure publicly available.

Liittyvä artikkeli

76 artikla GDPR. Tietojen salassapito

Article 76 GDPR. Confidentiality

1. Tietosuojaneuvoston keskustelut ovat luottamuksellisia neuvoston katsoessa sen tarpeelliseksi työjärjestyksensä mukaisesti.

1. The discussions of the Board shall be confidential where the Board deems it necessary, as provided for in its rules of procedure.

2. Oikeudesta tutustua tietosuojaneuvoston jäsenille, asiantuntijoille ja kolmansien osapuolten edustajille toimitettuihin asiakirjoihin säädetään Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1049/2001 [21].

2. Access to documents submitted to members of the Board, experts and representatives of third parties shall be governed by Regulation (EC) No 1049/2001 of the European Parliament and of the Council [21].

Yleinen tietosuoja-asetus (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Jätä kommentti

[js-disqus]