Tärkeimpien GDPR-asetuksen termien määritelmät.

Rekisterinpitäjän ja henkilötietojen käsittelijän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa.

Jos tietyntyyppinen henkilötietojen käsittely aiheutaa rekisteröidyn kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.

Jos vaikutustenarvioinnissa todetaan suunnitellun henkilötietojen käsittelyn aiheuttavan korkean riskin, eikä rekisterinpitäjä ole toteuttanut toimenpiteitä riskin pienentämiseksi, rekisterinpitäjän on ennen henkilötietojen käsittelyä kuultava valvontaviranomaista.

Tietosuojavastaava neuvoo ja antaa tietoa tämän asetuksen noudattamiseen liittyen ja hänellä on oltava hoidettavanaan ainakin tämän artiklan mukaiset tehtävät.

GDPR-asetus velvoittaa jäsenvaltioita, valvontaviranomaisia, tietosuojaneuvostoa sekä komissiota edistämään käytännesääntöjen laatimista, jotka voivat helpottaa esimerkiksi eri kokoisten ja eri alojen organisaatioita soveltamaan tätä asetusta asianmukaisesti.

Mikäli GDPR:n asianmukaista soveltamista helpottavia käytännesääntöjä muodostuu, niiden noudattamista voi seurata ainoastaan toimija, jolla on käytännesääntöjen kohteen osalta asianmukaisen tason asiantuntemus ja jonka toimivaltainen valvontaviranomainen on akkreditoinut tähän tarkoitukseen.

Komissio ja eri jäsenvaltioiden valvontaviranomaiset tekevät yhteistyötä henkilötietojen suojaamiseksi mm. kehittämällä kansainvälisiä yhteistyökeinoja tukemaan lainsäädännön toteutumista sekä tarjoamalla keskinäistä apua asetuksen valvonnaksi.

Tätä asetusta valvovasta viranomaisesta käytetään nimitystä valvontaviranomainen. Valvontaviranomaiset pyrkivät vaikuttamaan asetuksen yhdenmukaiseen soveltamiseen koko unionissa. Kukin jäsenvaltio on vastuussa siitä, että yksi tai useampi viranomainen nimetään tähän tehtävään.

Valvontaviranomaisen työhön ei saa vaikuttaa ulkopuolelta ja heille on taattava tarpeelliset resurssit, jotta he voivat hoitaa tehtävänsä ja käyttää valtuuksiaan tämän asetuksen mukaisesti.

Tarkempia edellytyksiä valvontaviranomaisen nimittämiselle, erottamiselle pätevyydelle sekä toimintakaudelle.

Jäsenvaltion lainsäädännössä on säädettävä valvontaviranomaisen perustamisesta, mm. kelpoisuusehdoista, nimitysmenettelyistä sekä toimikausien kestosta.

Valvontaviranomaisella on valtuudet tämän asetuksen mukaisten tehtävien hoitoon oman jäsenvaltionsa alueella.

Rekisterinpitäjän tai henkilötietojen käsittelijän päätoimipaikan valvontaviranomaisella on toimivalta toimia johtavana valvontaviranomaisena sekä ainoana yhteystahona kyseisen rekisterinpitäjän tai henkilötietojen käsittelijän toteuttaman rajatylittävän käsittelyn osalta.

Jokaisen valvontaviranomaisen on alueellaan hoidettava vähintään tämän artiklan mukaiset tehtävät, eikä tehtävien hoitamisesta saa aiheutua kustannuksia rekisteröidyille tai tietosuojavastaaville.

Tarkennuksia valvontaviranomaisen valtuuksista erilaisissa tutkinta-, toimivalta-, hyväksymis- ja neuvontatarpeissa. Jäsenvaltiokohtaisesti valvontaviranomaisen valtuuksia voidaan laajentaa.

Valvontaviranomaisen on laadittava vuosittain toimintakertomus, johon sisältyvät tämän artiklan määrittelemät asiat.

Kaikkien osallistuvien valvontaviranomaisten on tehtävä yhteistyötä, tarjottava keskinäistä avunantoa ja toteutettava yhteisiä operaatioita, jotta usean jäsenvaltion alueelle sijoittautuneita rekisterinpitäjiä tai henkilötietojen käsittelijöitä pystytään valvomaan asiallisesti.

Valvontaviranomaisten on annettava toisilleen tarvittavat tiedot ja keskinäistä apua, ilman aiheetonta viivytystä ja viimeistä kuukauden kuluessa pyynnön vastaanottamisesta, tämän asetuksen soveltamisen varmistamiseksi.

Valvontaviranomaisten on tarvittaessa toteutettava yhteisiä operaatioita. Operaatioihin saavat osallistua jokaisen jäsenvaltion valvontaviranomaiset, joiden alueella rekisterinpitäjä tai henkilötietojen käsittelijä toimii tai joissa asuviin rekisteröityihin käsittelytoimet merkittävästi vaikuttavat.

Tämän artiklan mukaisista asioista valvontaviranomaisen on tehtävä päätösehdotus tietosuojaneuvostolle, joka antaa vastauksena lausunnon. Mikäli valvontaviranomaisen epäillään laiminlyöneen velvollisuuksia yhteistyöhön ja keskinäiseen avunantoon useaan valtioon vaikuttavassa asiassa, voivat myös muut valvontaviranomaiset pyytää tietosuojaneuvoston lausuntoa.

Valvontaviranomainen voi omalla alueellaan poikkeusoloissa toteuttaa kiireellisiä väliaikaisia toimenpiteitä ilman edellä kuvattua yhdenmukaisuusmenettelyä, mikäli rekisteröityjen oikeuksien ja vapauksien suojaaminen tätä vaatii. Myös tietosuojaneuvostolta voidaan pyytää perusteltuna kiireellistä lausuntoa, jolloin lausunto toimitetaan kahden viikon kuluessa.

Komissio voi hyväksyä yleisiä täytäntöönpanosäädöksiä, joilla täsmennetään järjestelyt valvontaviranomaisia koskeviin sähköisin keinoin toteutettavaan tietojenvaihtoon.

Jokaisella rekisteröidyllä on oikeus tehdä valitus alueensa valvontaviranomaiselle, jos rekisteröidyn mielestä häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta.

Jos rekisterinpitäjän tai henkilötietojen käsittelijän käsittelytoimintoihin liittyvää samaa asiaa koskevia kanteita on muidenkin jäsenvaltioiden tuomioistuimissa, ensin nostettu kanne jatkuu ja muut voivat keskeyttää menettelynsä.

Valvontaviranomaisilla on huomautusten ja muiden valtuuksien lisäksi mahdollisuus määrätä kussakin tapauksessa hallinnollisia sakkoja. Sakkojen määräytymisessä huomioidaan tämän artiklan näkökulmat ja niiden suuruus on enintään 20 000 000 euroa, tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi.