(1)

Euroopa Pettustevastane Amet (edaspidi „amet“) loodi komisjoni talitusena komisjoni otsusega 1999/352/EÜ, ESTÜ, Euratom (1). Amet korraldab juurdlusi täiesti sõltumatult.

(2)

Kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL, Euratom) nr 883/2013 (2) korraldab amet haldusjuurdlusi, et võidelda kelmuste/pettuste, korruptsiooni ja muu liidu finantshuve kahjustava ebaseadusliku tegevuse vastu. Selleks kasutab ta juurdluse korraldamise volitusi, mis on komisjonile antud asjakohaste liidu õigusaktidega liikmesriikides ning koostöö- ja vastastikuse abi kokkulepete ja muude kehtivate õigusaktide kohaselt ka kolmandates riikides ja rahvusvaheliste organisatsioonide ruumides.

(3)

Amet korraldab ka haldusjuurdlusi aluslepingutega või nende alusel loodud institutsioonides, organites ja asutustes. Amet kogub oma juurdluse korraldamise volituste raames juurdluse seisukohalt huvipakkuvat teavet, sealhulgas isikuandmeid, mitmesugustest allikatest – avaliku sektori asutused, eraõiguslikud üksused ja füüsilised isikud – ja vahetab teavet liidu institutsioonide, organite ja asutustega, liikmesriikide ja kolmandate riikide pädevate asutustega ning rahvusvaheliste organisatsioonidega enne juurdlus- või koordineerimismeetmete rakendamise algust, selle ajal ja pärast selle lõppu.

(4)

Amet töötleb oma tegevuse raames isikuandmete eri kategooriaid, eelkõige identifitseerimisandmeid, kontaktandmeid, andmeid ametialase tegevuse kohta ja andmeid juhtumiga seotuse kohta. Amet, keda esindab peadirektor, täidab vastutava töötleja kohuseid. Isikuandmeid säilitatakse turvalises elektroonilises keskkonnas, mis aitab ära hoida ebaseaduslikku juurdepääsu või andmete edastamist isikutele, kellel puudub teadmisvajadus. Töödeldud isikuandmeid säilitatakse viisteist aastat pärast seda, kui juhtum on kõrvale jäetud või kui juurdlus või koordineerimisjuhtum on peadirektori otsusega lõpetatud. Pärast säilitusaja lõppu edastatakse juhtumiga seotud teave, sealhulgas isikuandmed, ajalooarhiivi.

(5)

Amet on oma ülesandeid täites kohustatud järgima füüsiliste isikute isikuandmete töötlemisega seotud õigusi, mida tunnustatakse Euroopa Liidu põhiõiguste harta artikli 8 lõikega 1 ja aluslepingu artikli 16 lõikega 1 ning kõnealustel sätetel põhinevate õigusaktidega. Samal ajal peab amet järgima rangeid konfidentsiaalsuse ja ametisaladuse eeskirju, millele on osutatud määruse (EL, Euratom) nr 883/2013 artiklis 10, ning tagama kõnealuse määruse artiklis 9 osutatud juurdlusaluste isikute ja tunnistajate menetlusõiguste (eelkõige asjaomaste isikute õigus süütuse presumptsioonile) järgimise.

(6)

Turvaline elektrooniline keskkond, kus isikuandmeid säilitatakse, ning määruse (EL, Euratom) nr 883/2013 artiklites 9 ja 10 osutatud menetluslikud tagatised ja ranged konfidentsiaalsuse ja ametisaladuse eeskirjad tagavad kõrgetasemelise kaitse töötlemisega kaasnevate ohtude eest andmesubjektide õigustele ja vabadustele.

(7)

Teatavatel juhtudel on vaja leida tasakaal andmesubjektidele Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 (3) alusel antud õiguste ning juurdluse vajaduste, muude pädevate avaliku sektori asutustega teabe vahetamise konfidentsiaalsuse ning teiste andmesubjektide põhiõiguste ja -vabaduste täieliku austamise vahel. Seda silmas pidades on ametil määruse (EL) 2018/1725 artikli 25 kohaselt võimalik piirata kõnealuse määruse artiklite 14–22, 35 ja 36 ning samuti artikli 4 kohaldamist, kui need sätted vastavad artiklites 14–22 sätestatud õigustele ja kohustustele.

(8)

Vastavalt määruse (EL, Euratom) nr 883/2013 artikli 10 lõikele 4 nimetas amet Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 45/2001 (4) artikli 24 kohaselt ametisse andmekaitseametniku.

(9)

Et tagada ameti korraldatud juurdluste ja muu operatiivtegevuse konfidentsiaalsus ja tõhusus, järgides samas määruses (EL) 2018/1725 sätestatud isikuandmete kaitse standardeid, tuleb vastu võtta sise-eeskirjad, mille kohaselt oleks ametil võimalik piirata andmesubjektide õigusi kooskõlas kõnealuse määruse artikliga 25.

(10)

Selle õigusakti kohaldamisala peaks hõlmama kõiki andmetöötlustoiminguid, mida amet teeb oma sõltumatu juurdlustegevuse raames. Neid eeskirju tuleks kohaldada nii enne juurdluse algust kui ka määruse (EL, Euratom) nr 883/2013 artiklites 3 ja 4 osutatud sise- ja välisjuurdluse ajal tehtavate andmetöötlustoimingute suhtes, samuti juurdlustulemuste järelmeetmete kontrollimise käigus tehtavate andmetöötlustoimingute suhtes. Eeskirju tuleks kohalda nende andmetöötlustoimingute suhtes, mis on osa juurdlusfunktsiooniga seotud tegevustest, näiteks süsteem pettustest teatamiseks, operatiivanalüüs, rahvusvahelise koostöö andmebaasid, ja nende toimingute suhtes, mis võivad sisaldada juurdlusega seotud andmeid, näiteks andmekaitseametniku korraldatud juurdlustega seotud toimingud või muud ameti korraldatud kaebuste esitamise menetlused. Samuti peaks see hõlmama abi ja koostööd, mida amet pakub riiklikele ametiasutustele ja rahvusvahelistele organisatsioonidele väljaspool oma haldusjuurdlusi.

(11)

Määruse (EL) 2018/1725 artiklite 14, 15 ja 16 järgimiseks peaks komisjon teavitama kõiki isikuid oma tegevusest, mis hõlmab nende isikuandmete töötlemist, ja nende õigustest läbipaistval ja sidusal viisil isikuandmete kaitse põhimõtteid käsitlevates teadetes, mis on avaldatud komisjoni veebisaidil. Samuti peaks ta asjakohases vormis individuaalselt teavitama juurdlusega seotud andmesubjekte (juurdlusaluseid isikuid, tunnistajaid ja informaatoreid).

(12)

Ilma et see piiraks määruses (EL) 2018/1725 sätestatud erandite kohaldamist, võib amet olla sunnitud piirama andmesubjektide teavitamist ja andmesubjektide muude õiguste kohaldamist, et kaitsta oma juurdlusmenetlust, liikmesriikide ametiasutuste juurdlusi ja menetlusi, juurdlusvahendeid ja juurdluse käigus kasutatavat metoodikat ning muude juurdlusega seotud isikute õigusi.

(13)

Mõnel juhul võib konkreetse teabe edastamine andmesubjektidele või juurdluse olemasolu paljastamine oluliselt kahjustada nii andmetöötlustoimingu eesmärgi saavutamist kui ka ameti või pädevate riiklike asutuste ning liidu institutsioonide, organite ja asutuste suutlikkust juurdlust tulevikus tõhusalt juhtida või nii eesmärgi saavutamise kui ka tõhusa juhtimise võimatuks muuta.

(14)

Lisaks peab amet kaitsma informaatorite, sealhulgas rikkumisest teatajate, ja tunnistajate identiteeti, et koostöö ametiga ei põhjustaks neile negatiivseid tagajärgi.

(15)

Nimetatud põhjustel võib amet olla sunnitud kohaldama teatavatel määruse (EL) 2018/1725 artiklis 25 osutatud alustel otsuse 1999/352/EÜ, ESTÜ, Euratom artiklis 2 sätestatud ülesannete raames tehtavate andmetöötlustoimingute suhtes piiranguid.

(16)

Lisaks võib amet olla tõhusa koostöö säilitamiseks sunnitud piirama andmesubjektide õigust komisjoni talitustelt või muudelt liidu institutsioonidelt, organitelt ja asutustelt, liikmesriikide ja kolmandate riikide pädevatelt asutustelt ning rahvusvahelistelt organisatsioonidelt pärit isikuandmeid sisaldava teabe kaitsele. Seepärast peaks amet konsulteerima asjaomaste talituste, institutsioonide, organite ja asutuste, pädevate asutuste ning rahvusvaheliste organisatsioonidega, et välja selgitada asjakohased alused piirangute kehtestamiseks ning selliste piirangute vajalikkus ja proportsionaalsus.

(17)

Amet vahetab oma juurdlusülesannete täitmisel sageli teavet, sealhulgas isikuandmeid, muu hulgas teiste komisjoni talitustega ja rakendusametitega, kes abistavad komisjoni talitusi nende programmide rakendamisel. Kooskõlas määruse (EL) 2018/1725 artikli 25 lõikega 5, mille kohaselt peavad sise-eeskirjad olema vastu võetud asjaomaste liidu institutsioonide, organite ja asutuste kõrgeimal juhtimistasandil, hõlmab käesolev otsus selliste isikuandmete töötlemist, mis sisalduvad teabes, mis tuleb edastada ametile. Seepärast peavad kõik komisjoni talitused ja rakendusametid, kes töötlevad isikuandmeid vastavalt määruse (EL, Euratom) nr 883/2013 artikli 8 lõike 1 kohasele kohustusele ametile teavet edastada, ja amet, kui ta töötleb selliseid isikuandmeid oma ülesannete täitmise raames, kohaldama käesolevas otsuses sätestatud eeskirju, et tagada ameti andmetöötlustoimingute kaitse. Sellisel juhul peaksid asjaomased komisjoni talitused ja rakendusametid konsulteerima ametiga, et teha ühtse kohaldamise tagamise eesmärgil kindlaks asjakohased alused piirangute kehtestamiseks ning selliste piirangute vajalikkus ja proportsionaalsus.

(18)

Amet, ja vajaduse korral komisjoni talitused ja rakendusametid, peaksid kõiki piiranguid kohaldama läbipaistval viisil ning registreerima kõik kohaldatavad piirangud asjakohases dokumenteerimissüsteemis.

(19)

Vastavalt määruse (EL) 2018/1725 artikli 25 lõikele 8 võivad vastutavad töötlejad piirangu kohaldamise põhjusi käsitleva teabe andmesubjektile edastamist edasi lükata või selle andmisest keelduda, kui asjaomase teabe edastamine võiks piirangu eesmärgi saavutamist mingil viisil kahjustada. Eelkõige võib piirangust teatamine kahjustada artiklites 16 ja 35 sätestatud õiguste piiramise eesmärgi saavutamist. Selle tagamiseks, et andmesubjekti õigust saada määruse (EL) 2018/1725 artiklites 16 ja 38 sätestatud teavet piiratakse vaid seni, kuni kehtib piirangu kehtestamise põhjus, peaks amet oma seisukoha korrapäraselt läbi vaatama.

(20)

Kui piirangut kohaldatakse andmesubjekti muude õiguste suhtes, peaks vastutav töötleja hindama iga juhtumi puhul eraldi, kas piirangust teatamine kahjustaks selle kehtestamise eesmärgi saavutamist või mitte.

(21)

Selleks et tagada käesoleva otsuse nõuete täitmine, peaksid piirangute kohaldamise sõltumatult läbi vaatama ka ameti andmekaitseametnik ja vajaduse korral komisjoni või asjaomase rakendusameti andmekaitseametnik.

(22)

Määrusega (EL) 2018/1725 asendatakse määrus (EÜ) nr 45/2001 ilma üleminekuperioodita alates määruse jõustumise kuupäevast. Võimalus kohaldada teatavate õiguste suhtes piiranguid on sätestatud määruses (EÜ) nr 45/2001. Et vältida ameti juurdluste eesmärgi ohtu seadmist ja negatiivset mõju teiste isikute õigustele ja kohustustele, tuleks käesolevat otsust kohaldada alates määruse (EL) 2018/1725 jõustumise kuupäevast.

(23)

Euroopa Andmekaitseinspektoriga konsulteeriti 23. novembril 2018,