19.3.2005

ET

Euroopa Liidu Teataja

C 68/1

---

EUROJUSTI ISIKUANDMETE TÖÖTLEMIST JA KAITSET KÄSITLEVA TÖÖKORRA SÄTTED

(Vastu võetud ühehäälselt Eurojusti kolleegiumi 21. oktoobri 2004. aasta koosolekul ja nõukogu on selle heaks kiitnud 24. veebruaril 2005)

(2005/C 68/01)

I JAOTIS

MÕISTED

Artikkel 1

Mõisted

Käesolevas korras ja mistahes muudes rakendussätetes kasutatakse järgmisi mõisteid:

a)	Eurojusti otsus – nõukogu 28. veebruari 2002. aasta otsus 2002/187/JSK, millega moodustatakse Eurojust, et tugevdada võitlust raskete kuritegude vastu, ja mida on muudetud nõukogu 18. juuni 2003. aasta otsusega;

b)	kolleegium – Eurojusti otsuse artiklis 10 osutatud Eurojusti kolleegium;

c)	liikmesriigi liige – iga liikmesriigi poolt Eurojusti saadetud liige, nagu osutatud Eurojusti otsuse artikli 2 lõikes 1;

d)	abi – isik, kes võib abistada iga liikmesriigi liiget, nagu osutatud Eurojusti otsuse artikli 2 lõikes 2;

e)	Eurojusti töötajad – haldusdirektor, nagu osutatud Eurojusti otsuse artiklis 29, samuti Eurojusti otsuse artiklis 30 osutatud personal;

f)	andmekaitseametnik – vastavalt Eurojusti otsuse artiklile 17 määratud isik;

g)	ühine järelevalveasutus – vastavalt Eurojusti otsuse artiklile 23 asutatud sõltumatu organ;

h)

isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi andmesubjekt) kohta; tuvastatav isik on isik, keda saab otseselt või kaudselt kindlaks teha, eelkõige identifitseerimisnumbri abil või tema ühe või mitme füüsilise, psühholoogilise, psüühilise, majandusliku, kultuurilise või sotsiaalse tunnuse kaudu;

i)

isikuandmete töötlemine (edaspidi töötlemine) – mistahes automaatne või mitteautomaatne toiming või toimingud, mis sooritatakse isikuandmetega, näiteks andmete kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, otsing, konsulteerimine, kasutamine, edastamise teel avalikustamine, levitamine või muul viisil kättesaadavaks tegemine, ühtlustamine või ühendamine, sulgemine, kustutamine või hävitamine;

j)	isikuandmete kataloog (edaspidi kataloog) – kõik isikuandmete korrastatud kogumid, millest võib andmeid saada teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsetel või geograafilistel põhimõtetel hajutatud;

k)

vastutav töötleja – isik, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui töötlemise eesmärgid ja vahendid on kindlaks määratud siseriiklike või Euroopa õigusnormidega, võib vastutava töötleja või tema ametissemääramise erikriteeriumid sätestada siseriiklikus või Euroopa õiguses;

l)	volitatud töötleja – füüsiline või juriidiline isik, riigiasutus, agentuur või mõni muu organ, kes töötleb isikuandmeid vastutava töötleja nimel;

m)	kolmas isik – kõik füüsilised või juriidilised isikud, riigiasutused, agentuurid või muud organid, välja arvatud andmesubjekt, vastutav töötleja, volitatud töötleja ja isikud, kes võivad andmeid töödelda vastutava töötleja või volitatud töötleja otseses alluvuses; ja

n)	vastuvõtja – füüsiline või juriidiline isik, riigiasutus, agentuur või mõni muu organ, kellele andmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte.

II JAOTIS

REGULEERIMISALA JA ÜLESEHITUS

Artikkel 2

Reguleerimisala

1.   Käesolevat töökorda kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemisel Eurojusti poolt ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda vastavalt Eurojusti otsusele.

2.   Käesolevat töökorda kohaldatakse kogu Eurojusti poolt kogutud ja edaspidi töödeldavale teabele, see tähendab tema poolt kogutud või saadud ja tema valduses olevale teabele, mis käsitleb Eurojusti vastutusalasse kuuluvate poliitikate, tegevuste ja otsustega seotud küsimusi.

3.   Käesolevat töökorda ei kohaldata teabele, mis on edastatud Eurojusti liikmesriigi liikmele üksnes seoses tema volitustega, nagu on määratletud Eurojusti otsuse artikli 9 lõikes 3.

Artikkel 3

Ülesehitus

1.   Kõiki isikuandmeid loetakse juhtumiga seotuks või mitteseotuks. Isikuandmeid loetakse juhtumiga seotuks, kui nad on seotud Eurojusti otsuse artiklites 5, 6 ja 7 määratletud Eurojusti operatiivülesannetega.

2.   Juhtumiga seotud andmeid töödeldakse vastavalt III ja IV jaotisele. Juhtumiga mitteseotud andmeid töödeldakse vastavalt III ja V jaotisele.

III JAOTIS

EUROJUSTILE KOHALDAMISE ÜLDISED PÕHIMÕTTED

Artikkel 4

Õigus eraelu puutumatusele ja andmekaitsele

Eurojust tegutseb, austades täielikult inimõigusi ja üksikisikute põhivabadusi ning eelkõige nende õigust eraelu puutumatusele seoses nende isikuandmete töötlemisega, vaatamata rahvusele või elukohale.

Artikkel 5

Töötlemise seaduslikkuse ja õigluse, proportsionaalsuse ja vajalikkuse põhimõtted

1.   Isikuandmeid tuleb töödelda õiglaselt ja seaduslikult.

2.   Eurojust töötleb vaid selliseid isikuandmeid, mis on vajalikud, piisavad, asjakohased ja mis ei ole ülemäärased seoses eesmärkidega, mille jaoks neid kogutakse või edasi töödeldakse.

3.   Eurojust määratleb oma töötlemistoimingud ja -süsteemid vastavalt eesmärgile koguda ja edasi töödelda vaid selliseid isikuandmeid, mis on vajalikud lõike 2 kohaselt. Eelkõige tuleb kasutada võimalusi andmete varjunime all esitamiseks ja anonüümseteks muutmiseks nii palju, kui see on võimalik, võttes arvesse töötlemise eesmärki ning seda, et kaasnevad pingutused oleksid mõistlikud.

Artikkel 6

Andmete kvaliteet

1.   Eurojust tagab, et isikuandmed on täpsed ja vajaduse korral ajakohastatud; võetakse kõik mõistlikud meetmed, et kustutada või parandada andmete kogumise või hilisema töötlemise eesmärgi seisukohast ebaõiged või mittetäielikud andmed.

2.   Isikuandmeid tuleb säilitada kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik seoses eesmärkidega, milleks andmeid koguti või täiendavalt töödeldi vastavalt artikli 5 lõikele 2.

Artikkel 7

Andmete turvalisus

1.   Vastavalt Eurojusti otsuse artiklile 22 ja käesolevale töökorrale kehtestab Eurojust vajalikud tehnilised meetmed ja organisatsioonilised korraldused, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävitamise, juhusliku kaotsimineku või loata avalikustamise, muutmise, juurdepääsu või mistahes loata töötlemise eest. Eelkõige tuleb võtta meetmed tagamaks, et ainult need, kellel on luba isikuandmetele juurdepääsuks, sellistele andmetele ligi pääsevad.

2.   Kõik võetavad meetmed peavad vastama töötlemisest tulenevatele ohtudele ja töödeldavate andmete laadile.

3.   Eurojust töötab välja põhjaliku turvapoliitika vastavalt Eurojusti otsuse artikli 22 lõikele 2 ja käesolevale korrale. Nimetatud poliitika võtab täielikult arvesse õigusalase koostööüksuse teostatava töö tundlikkust ja sisaldab dokumentide klassifitseerimist, Eurojusti heaks töötava personali julgeolekukontrolli käsitlevaid eeskirju ja turvalisuse rikkumise katsete korral võetavaid meetmeid. Eurojusti turvapoliitika osas konsulteeritakse ühise järelevalveasutusega.

4.   Kõiki Eurojusti teenistujaid teavitatakse piisavalt Eurojusti turvapoliitikast ja neilt nõutakse nende käsutusse antud tehniliste ja organisatsiooniliste meetmete kasutamist kooskõlas kohaldatavate andmekaitse- ja turvanõuetega.

Artikkel 8

Andmesubjektide õigus teabele

1.   Ilma, et see piiraks IV jaotise juhtumiga seotud andmeid käsitlevate ja V jaotise juhtumiga mitteseotud andmeid käsitlevate erisätete kohaldamist, peab andmesubjektidele esitama teavet töötlemise eesmärgi, vastutava töötleja isiku, vastuvõtja või vastuvõtjate kategooriate, andmesubjekti enda kohta käivatele andmetele juurdepääsu ja nende parandamise õiguse olemasolu ja muu täiendava teabe kohta, nagu näiteks andmete töötlemise eesmärgi õigusliku aluse, andmete säilitamise tähtaegade ja õiguse kohta pöörduda igal ajal ühise järelevalveasutuse poole sel määral, mil nimetatud täiendav teave on vajalik, võttes arvesse andmete töötlemise eesmärki ja konkreetseid asjaolusid, et tagada andmesubjekti suhtes õiglane töötlemine.

2.   Nimetatud teave peab olema esitatud hiljemalt andmete andmesubjektilt kogumise hetkel või andmete kolmandalt isikult saamise korral hiljemalt isikuandmete salvestamise ajal või, kui andmed kavatsetakse avalikustada kolmandale isikule, hiljemalt andmete esmakordse avaldamise ajal või, käesoleva töökorra IV jaotise II peatükis sätestatud juhtudel, niipea, kui see tõenäoliselt ei kahjusta töötlemise eesmärke, siseriiklikke eeluurimisi ja kohtu alla andmisi ning kolmandate isikute õiguseid ja vabadusi.

Artikkel 9

Andmesubjektide õigus juurdepääsule, parandamisele, blokeerimisele ja kustutamisele

1.   Andmesubjektil on õigus juurdepääsule, parandamisele, blokeerimisele ja olenevalt olukorrast kustutamisele. Eurojust määratleb vajadusel koostöös vastavate seotud siseriiklike asutustega korra andmesubjektide õiguste kasutamise hõlbustamiseks.

2.   Andmekaitseametnik tagab, et andmesubjekte teavitatakse nende õigustest nende taotlusel.

Artikkel 10

Töötlemise konfidentsiaalsus

Vastavalt Eurojusti otsuse artiklile 25 on kõik isikud, keda on kutsutud Eurojustis ja Eurojustiga töötama, seotud range ametisaladuse hoidmise kohustusega. Eurojust võtab kõik vajalikud meetmed tagamaks, et nimetatud kohustusi järgitakse ja nimetatud kohustuse kõigist rikkumistest teatatakse viivitama andmekaitseametnikule ja julgeolekuosakonna juhatajale, kes tagavad asjakohaste meetmete võtmise.

Artikkel 11

Sisemised töötlejad

Kui teda ei kohusta selleks siseriiklik või Euroopa õigus, töötleb isikuandmetele juurdepääsu omav Eurojusti volitatud töötlejana toimiv isik nimetatud isikuandmeid vaid vastutava töötleja juhtnööride kohaselt.

Artikkel 12

Eurojusti teenistujate esitatud järelepärimised, teabenõuded ja nõuded

1.   Eurojusti otsuse artikli 17 lõike 2 ja artikli 17 lõike 4 eesmärgil annab andmekaitseametnik nõudmise korral teavet igale Eurojusti teenistujale seoses Eurojusti andmetöötlustegevusega. Andmekaitseametnik vastab järelepärimistele ja reageerib Eurojusti otsuse, käesoleva korra või mis tahes muude Eurojusti poolt isikuandmete töötlemist reguleerivate eeskirjade sätete väidetavat rikkumist käsitlevale igale teabenõudele või nõudele. Kedagi ei tohi kahjustada andmekaitseametniku juures isikuandmete töötlemist reguleerivate sätete väidetava rikkumise tõstatamise tõttu.

2.   Kõik Eurojustis töötavad isikud teevad koostööd kolleegiumi, liikmesriikide liikmete, andmekaitseametniku ja ühise järelevalveasutusega järelepärimiste, eeluurimiste, auditite või mis tahes muude andmekaitsega seotud tegevuste raames.

IV JAOTIS

JUHTUMITEGA SEOTUD TÖÖTLEMISTEGEVUSTE EESKIRJAD

I peatükk

Isikuandmete töötlemise õigustatuks muutmise tingimused

Artikkel 13

Juhtumitega seotud tegevuste raames töödeldud isikuandmed

1.   Juhtumitega seotud tegevuste raames töötleb Eurojust sel määral, nagu see on vajalik tema eesmärkide saavutamiseks, isikuandmeid automaatselt või korrastatud automatiseerimata kataloogides vastavalt Eurojusti otsuse artiklitele 14, 15 ja 16.

2.   Liikmesriigi liige või liikmesriikide liikmed määratlevad üksikjuhtumeid käsitlevate isikuandmete töötlemisel isikuandmete töötlemise eesmärgi ja vahendid ning seepärast käsitatakse neid vastutavate töötlejatena või kui see on asjakohane, siis vastutavate kaastöötlejatena.

Artikkel 14

Töötlemise seaduslikkus ja õiglus

Isikuandmeid võib koguda ja täiendavalt töödelda juhtumiga seotud tegevuste raames sel määral, kui töötlemine on vajalik Eurojusti ülesannete täitmiseks võitluse tugevdamisel raskete kuritegude vastu.

Artikkel 15

Õigustatud piiramine

Eurojusti poolt eeluurimiste ja kohtu alla andmise raames töödeldud isikuandmeid ei tohi mingil juhul töödelda mistahes muul eesmärgil.

Artikkel 16

Andmete kvaliteet

1.   Kui teave edastatakse Eurojustile liikmesriigi või välise osapoole poolt eeluurimise või kohtu alla andmise raames, ei vastuta Eurojust saadud teabe õigsuse eest, kuid tagab vastuvõtmise hetkest kõikide mõistlike meetmete võtmise teabe ajakohastamiseks.

2.   Kui Eurojust tuvastab kõnealust teavet mõjutavaid mis tahes ebatäpsusi, teavitab ta kolmandat isikut, kellelt teave saadi, ning parandab teabe.

Artikkel 17

Andmete eriliigid

1.   Eurojust võtab asjakohaseid tehnilisi meetmeid tagamaks, et andmekaitseametnikku teavitatakse automaatselt erijuhtudest, mille puhul kasutatakse Eurojusti otsuse artikli 15 lõiget 4. Juhtumikorraldamise süsteem tagab, et Eurojusti otsuse artikli 16 lõikes 1 osutatud indeksisse ei saa sisestada selliseid andmeid.

2.   Kui sellised andmed osutavad tunnistajatele või ohvritele Eurojusti otsuse artikli 15 lõike 2 tähenduses, ei salvesta juhtumikorraldamise süsteem sellist teavet, kui kolleegiumi otsus ei ole dokumenteeritud.

Artikkel 18

Eurojusti otsuse artikli 15 lõikes 3 osutatud isikuandmete liikide töötlemine

1.   Eurojust võtab asjakohaseid tehnilisi meetmeid tagamaks, et andmekaitseametnikku teavitatakse automaatselt erijuhtudest, mille puhul kasutatakse piiratud ajavahemikul Eurojusti otsuse artikli 15 lõiget 3.

2.   Kui sellised andmed osutavad tunnistajatele või ohvritele Eurojusti otsuse artikli 15 lõike 2 tähenduses, ei salvesta juhtumikorraldamise süsteem selliseid andmeid, kui ei ole dokumenteeritud vähemalt kahe liikmesriigi liikme poolt tehtud ühine otsus.

II peatükk

Andmesubjektide õigused

Artikkel 19

Andmesubjektide õigus teabele

1.   Eurojusti operatiivse tööga seoses antakse andmesubjektidele töötlemise kohta teavet niipea, kui on selgunud, et nimetatud teabe andmine andmesubjektile ei kahjusta:

a)	Eurojusti ülesannete täitmist võitluse tugevdamisel raskete kuritegude vastu; või

b)	siseriiklikke eeluurimisi ja kohtu alla andmist, milles Eurojust abistab; või

c)	jälgimist, kontrollimist ja regulatiivseid ülesandeid, mis on kas või juhuti seotud avaliku võimu teostamisega punktides a ja b osutatud juhtudel; või

d)	kolmandate isikute õigusi ja vabadusi.

2.   Lõikes 1 loetletud juhtumite kasutamine salvestatakse juhtumiga seotud ajutisse töökataloogi, mainides nimetatud kataloogi eest vastutava liikmesriigi liikme või liikmesriikide liikmete tehtud otsuse alused.

Artikkel 20

Andmesubjektide õigus juurdepääsule

Igal isikul on õigus tutvuda teda puudutavate isikuandmetega, mida Eurojust töötleb Eurojusti otsuse artiklis 19 sätestatud asjaoludel.

Artikkel 21

Andmesubjektide õiguste kasutamise kord

1.   Üksikisikud, kes soovivad kasutada oma õiguseid andmesubjektidena, võivad esitada oma taotluse otse Eurojustile või tema valitud liikmesriigi poolt selleks otstarbeks määratud asutuse kaudu, kes edastab taotluse Eurojustile.

2.   Õiguste kasutamise taotluse lahendavad taotlusega seotud liikmesriigi liige või liikmesriikide liikmed, kes esitavad taotluse koopia registreerimiseks andmekaitseametnikule.

3.   Taotlusega seotud liikmesriigi liige või liikmesriikide liikmed teostavad vajalikke kontrolle ja teatavad konkreetsel juhul tehtud otsusest andmekaitseametnikule. Nimetatud otsus võtab täiel määral arvesse käesolevat korda ja taotlusele kohaldatavaid õigusakte vastavalt Eurojusti otsuse artikli 19 lõikele 3, Eurojusti otsuse artikli 19 lõikes 4 loetletud keeldumise aluseid ja konsultatsioone pädevate õiguskaitseasutustega, mis toimuvad enne otsuse tegemist, nagu on sätestatud Eurojusti otsuse artikli 19 lõikes 9.

4.   Andmekaitseametnik teostab täiendavaid kontrolle juhtumikorraldamise süsteemis, kui juhtum seda nõuab, ja teavitab asjaomast liikmesriigi liiget või asjaomaseid liikmesriikide liikmeid, kui nende kontrollide kaudu leitakse täiendavat asjakohast teavet. Asjaomane liikmesriigi liige või asjaomased liikmesriikide liikmed võivad andmekaitseametniku poolt esitatud teabe alusel esialgse otsuse uuesti läbi vaadata.

5.   Andmekaitseametnik edastab lõpliku asjaomase liikmesriigi liikme või asjaomaste liikmesriikide liikmete poolt tehtud otsuse andmesubjektile kooskõlas Eurojusti otsuse artikli 19 lõikega 6 ja teavitab andmesubjekti ühisele järelevalveasutusele edasikaebamise võimalusest, kui ta ei ole rahul Eurojusti vastusega.

6.   Taotlus tuleb lõplikult lahendada kolme kuu jooksul alates selle kättesaamisest. Andmesubjekt võib suunata küsimuse ühisele järelevalveasutusele, kui tema taotlusele ei ole nimetatud tähtaja jooksul vastust antud.

7.   Juhul, kui taotlus on saadud siseriikliku ametiasutuse kaudu, tagab asjaomane liikmesriigi liige või asjaomased liikmesriikide liikmed, et nimetatud ametiasutust teavitatakse andmesubjektile vastuse andmisest andmekaitseametniku poolt.

8.   Eurojust kehtestab koostöökorra siseriiklike ametiasutustega, kes on määratud andmesubjektide õigustega tegelemiseks, et tagada taotluste õigeaegne ja nõuetekohane edastamine Eurojustile.

Artikkel 22

Juhtumiga seotud isikuandmete parandamise, blokeerimise või kustutamise järgne teave kolmandatele isikutele

Eurojust kehtestab asjakohased tehnilised meetmed tagamaks, et juhul, kui Eurojust parandab, sulgeb või kustutab taotluse alusel isikuandmed, koostatakse automaatselt nimetatud andmete andjate ja nende aadresside loetelu. Vastavalt Eurojusti otsuse artikli 20 lõikele 5 tagab vastutav töötleja, et nimekirja kuuluvaid isikuid teavitatakse isikuandmetes tehtud muudatustest.

III peatükk

Andmete turvalisuse küsimused

Artikkel 23

Automatiseeritud juhtumikorraldamise süsteem

1.   Eurojust kehtestab automatiseeritud juhtumikorraldamise süsteemi, mis sisaldab kataloogi, mida liikmesriikide liikmed kasutavad juhtumiga seotud tegevuste käigus ning mis sisaldab ajutisi töökatalooge ja indeksit, nagu on määratletud Eurojusti otsuse artiklis 16. Nimetatud süsteem sisaldab funktsioone, nagu juhtumikorraldamine, töövoogude kirjeldused, ristviited teabele ja turvalisusele.

2.   Juhtumikorraldamise süsteem kiidetakse heaks kolleegiumi poolt pärast konsulteerimist andmekaitseametniku, ühise järelevalveasutuse ja asjaomaste Eurojusti töötajatega ning võtab täiel määral arvesse Eurojusti otsuse artikli 22 nõudeid ja mis tahes muid Eurojusti otsuse asjakohaseid sätteid

3.   Juhtumikorraldamise süsteem võimaldab liikmesriikide liikmetel kindlaks teha ajutise töökataloogi avamise eesmärke Eurojusti otsuse artiklites 5, 6 ja 7 nimetatud ülesannete raames.

Artikkel 24

Ajutised töökataloogid ja indeks

1.   Vastavalt Eurojusti otsuse artikli 14 lõikele 4 ja artiklile 16 loob Eurojust eeluurimisega seotud andmete indeksi ja ajutised töökataloogid, milles sisalduvad ka isikuandmed. Nii indeks kui ka ajutised töökataloogid moodustavad osa artiklis 23 osutatud juhtumikorraldamise süsteemist ja võtavad arvesse Eurojusti otsuse artiklis 15 sätestatud piiranguid isikuandmete töötlemisele.

2.   Liikmesriikide liikmed vastutavad uute ajutiste töökataloogide avamise eest, mis on seotud juhtumitega, millega nad tegelevad. Juhtumikorraldamise süsteem määrab automaatselt viitenumbri (identifikaatori) igale uuele avatavale ajutisele töökataloogile.

3.   Eurojust loob automaatse juhtumikorraldamise süsteemi, mis võimaldab liikmesriikide liikmetel hoida nende poolt töödeldavaid isikuandmeid ajutises piiratud juurdepääsuga töökataloogis või anda teistele juhtumiga seotud liikmesriikide liikmetele juurdepääs selle juhtumiga seotud töökataloogile või selle osa(de)le. Juhtumikorraldamise süsteem võimaldab määratleda isikuandmete või mitteisikuandmete üksikud osad, millele soovitakse anda juurdepääs teisele liikmesriigi liikmele või teistele liikmesriikide liikmetele, abi(de)le või volitatud töötajatele, kes on seotud juhtumi menetlemisega, samuti valida teabe osasid, mida nad soovivad lisada indeksisse vastavalt Eurojusti otsuse artiklitele 14 ja 15 ja tagades, et indeksisse on lisatud vähemalt järgmised andmed: viide ajutisele töökataloogile; kuriteoliik; seotud liikmesriigid, rahvusvahelised organisatsioonid ja kolmandate riikide organid ja/või asutused; Euroopa Komisjoni või EL organite ja üksuste osalemine; juhtumi eesmärgid ja staatus (avatud/suletud).

4.   Kui liikmesriigi liige annab juurdepääsu ajutisele töökataloogile või selle osale ühele või mitmele seotud liikmesriigi liikmele või liikmesriikide liikmetele, tagab juhtumiskorraldamise süsteem, et volitatud kasutajad omavad juurdepääsu asjakohastele töökataloogi osadele, aga nad ei saa muuta esialgse autori poolt sisestatud andmeid. Volitatud kasutajad saavad siiski lisada mistahes asjakohast teavet ajutise töökataloogi uutesse osadesse. Samuti saavad kõik süsteemi volitatud kasutajad lugeda indeksis sisalduvat teavet, kuid seda saab muuta vaid esialgne autor.

5.   Süsteem teavitab andmekaitseametnikku automaatselt iga uue isikuandmeid sisaldava töökataloogi loomisest ja eelkõige erijuhtudest, mille puhul kasutatakse Eurojusti otsuse artikli 15 lõiget 3. Juhtumikorraldamise süsteem märgistab sellised andmed nii, et see tuletab isikule, kes andmed süsteemi sisestas, meelde kohustuse hoida nimetatud andmeid seal vaid piiratud ajavahemiku. Kui sellised andmed osutavad tunnistajatele või ohvritele Eurojusti otsuse artikli 15 lõike 2 tähenduses, ei salvesta süsteem selliseid andmeid, kui ei ole dokumenteeritud vähemalt kahe liikmesriigi liikme poolt tehtud ühine otsus.

6.   Juhtumikorraldamise süsteem teavitab automaatselt andmekaitseametnikku erijuhtudest, mille puhul kasutatakse Eurojusti otsuse artikli 15 lõiget 4. Kui sellised andmed osutavad tunnistajatele või ohvritele Eurojusti otsuse artikli 15 lõike 2 tähenduses, ei salvesta süsteem selliseid andmeid, kui ei ole dokumenteeritud kolleegiumi poolt tehtud otsus.

7.   Juhtumikorraldamise süsteem tagab, et indeksisse saab salvestada ainult Eurojusti otsuse artikli 15 lõike 1 punktides a–i ja k ning artikli 15 lõikes 2 osutatud isikuandmeid.

8.   Indeksis sisalduv teave peab olema piisav, et täita Eurojusti ülesandeid ja eelkõige Eurojusti otsuse artikli 16 lõike 1 eesmärke.

Artikkel 25

Logifailid ja kontrolljäljed

1.   Eurojust kehtestab asjakohased tehnilised meetmed tagamaks, et peetaks isikuandmete töötlemistoimingute registrit. Juhtumikorraldamise süsteem tagab eelkõige, et peetaks Eurojusti otsuse artikli 17 lõike 2 punktis b määratletud andmete edastamise ja vastuvõtmise registrit Eurojusti otsuse artikli 19 lõike 3 eesmärgil. Nimetatud register tagab, nagu nõutakse Eurojusti otsuse artikliga 22, et on võimalik kontrollida ja kindlaks määrata, millistele asutustele isikuandmed on edastatud ja milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kelle poolt andmed sisestati.

2.   Andmekaitseametnik vaatab nimetatud registri korrapäraselt uuesti üle, et olla võimeline aitama liikmesriikide liikmeid ja kolleegiumit mis tahes andmekaitse küsimustes ja teeb eeskirjade eiramise korral vajalikud järelepärimised. Vajaduse korral teavitab andmekaitseametnik Eurojusti otsuse artikli 17 lõikes 4 sätestatud korras kolleegiumit ja ühist järelevalveasutust eespool nimetatud registriandmetega tõestatud mis tahes andmekaitserikkumistest. Andmekaitseametnik tagab, et kui see on asjakohane, teavitatakse haldusdirektorit, et tal oleks võimalik võtta vajalikke asutusesiseseid meetmeid.

3.   Andmekaitseametnik võimaldab nõudmisel ühisele järelevalveasutusele täieliku juurdepääsu lõikes 1 osutatud registrile.

Artikkel 26

Juurdepääsuluba isikuandmetele

1.   Eurojust võtab asjakohased tehnilised meetmed ja näeb ette organisatsioonilised korraldused tagamaks, et ainult liikmesriikide liikmed, nende abid ja Eurojusti volitatud töötajad omavad Eurojusti eesmärkide saavutamiseks juurdepääsu Eurojusti poolt tema operatiivsete tegevuste raames töödeldavatele isikuandmetele.

2.   Nimetatud meetmed võtavad arvesse eesmärke, milleks andmeid kogutakse ja edaspidi töödeldakse, tehnika taset, Eurojusti poolt läbiviidava töö tundlikku laadi tõttu nõutavat turvalisuse taset ja Eurojusti otsuse artikliga 22 kehtestatud nõudeid.

3.   Eurojusti iga liikmesriigi liige dokumenteerib ja teeb andmekaitseametnikule teatavaks juurdepääsupoliitika, mille ta on heaks kiitnud oma siseriiklikus büroos seoses juhtumiga seotud kataloogidega. Eelkõige tagavad liikmesriikide liikmed, et tehakse asjakohased organisatsioonilised korraldused ja neid järgitakse ning et kasutatakse nõuetekohaselt Eurojusti poolt nende käsutusse antud tehnilisi ja organisatsioonilisi meetmeid.

4.   Kolleegium võib lubada teistele Eurojusti töötajatele juurdepääsu juhtumiga seotud kataloogidele, kui see on vajalik Eurojusti ülesannete täitmiseks.

Artikkel 27

Audit ja kontroll

1.   Andmekaitseametnik jälgib seaduslikkust ja Eurojusti otsuse, käesoleva töökorra ja mis tahes muude eeskirjade nõuete järgimist, mis käsitlevad isikuandmete töötlemist ja mida kohaldatakse Eurojustile. Sel eesmärgil abistab andmekaitseametnik liikmesriikide liikmeid seoses andmekaitse küsimustega ja korraldab iga-aastaseid vaatluseid eespool nimetatud eeskirjade järgimise kohta Eurojustis. Andmekaitseametnik esitab kolleegiumile ja ühisele järelevalveasutusele aruandeid nimetatud vaatluste tulemuste kohta, samuti mis tahes muude asjakohaste arengute kohta Eurojustis. Andmekaitseametnik tagab, et kui see on asjakohane, teavitatakse haldusdirektorit, et tal oleks võimalik võtta vajalikke asutusesiseseid meetmeid.

2.   Ühine järelevalveasutus teostab kontrolle ja auditeid vastavalt Eurojusti otsuse artikli 23 lõikele 7.

IV peatükk

Andmevahetus kolmandate isikute või organisatsioonidega

Artikkel 28

Andmevahetus kolmandate isikute või organisatsioonidega

1.   Eurojust püüab sõlmida koostöölepinguid, mis sisaldavad sobilikke sätteid isikuandmete vahetamise kohta kõigi osapooltega, kellega andmevahetus toimub korrapäraselt.

2.   Ilma, et see piiraks juhtusid, kus sellised koostöölepingud on sõlmitud, edastab Eurojust isikuandmeid kolmandatele riikidele või mis tahes Eurojusti otsuse artikli 27 lõikes 1 osutatud üksustele ainult siis, kui neile kohaldatakse 28. jaanuaril 1981. aastal Strasbourgis alla kirjutatud Euroopa Nõukogu konventsiooni üksikisikute kaitse kohta isikuandmete automaattöötlusel või kui on tagatud kaitse piisav tase.

3.   Euroopa Nõukogu 28. jaanuari 1981. aasta konventsiooniga mitteühinenud osapooltele andmete edastamise otsuse teeb seotud liikmesriigi liige või liikmesriikide liikmed andmekaitseametniku poolt antud andmekaitse taset käsitleva hinnangu alusel. Andmekaitse taset hinnatakse, pidades silmas iga edastamise või edastamise liigi kõiki asjaolusid. Eelkõige tuleneb hinnang järgmiste elementide läbivaatamisest: andmete liik, töötlemise eesmärk ja kestvus, milleks andmeid edastatakse, päritoluriik ja sihtriik, kõnealusele riigile või organisatsiooni kohaldatavad üldised ja konkreetse sektori õigusnormid, seal kohaldatavad ameti- ja turvaeeskirjad, samuti edastuse vastuvõtja poolt kehtestatud piisavate kaitsemeetmete olemasolu. Nimetatud kaitsemeetmed võivad eelkõige tuleneda kirjalikest kokkulepetest, mis seovad vastutavat töötlejat, kes teostab edastuse, ja vastuvõtjat, kes ei kuulu konventsiooniosalise jurisdiktsiooni alla. Asjaomased kokkulepped peavad sisaldama andmekaitse asjakohaseid elemente. Juhul, kui andmekaitse taseme hindamisel tekivad raskused, konsulteerib andmekaitseametnik ühise järelevalveasutusega enne hinnangu andmist konkreetse edastamise kohta.

4.   Isegi kui eelmistes lõigetes osutatud tingimused ei ole täidetud, võib liikmesriigi liige siiski Eurojusti otsuse artikli 27 lõikes 6 loetletud erandlike asjaolude korral edastada andmeid kolmandasse riiki ainueesmärgiga võtta kiireloomulisi meetmeid üksikisikut või riigi julgeolekut ähvardava tõsise ja vahetu hädaohu vastu. Liikmesriigi liige dokumenteerib sellise erakorralise edastamise ajutises juhtumiga seotud töökataloogis, määratledes sellise edastamise alused, ja teavitab andmekaitseametnikku sellisest edastamisest. Andmekaitseametnik kontrollib, kas sellised edastamised toimuvad ainult erandlikel ja kiireloomulistel juhtudel.

V peatükk

Isikuandmete säilitamise tähtajad

Artikkel 29

Isikuandmete säilitamise tähtajad

1.   Eurojust kehtestab asjakohased tehnilised meetmed tagamaks, et Eurojusti otsuse artiklis 21 määratletud isikuandmete säilitamise tähtaegadest peetakse kinni.

2.   Juhtumikorraldamise süsteem tagab eelkõige ajutisse töökataloogi andmete salvestamise vajaduse läbivaatamise iga kolme aasta järel pärast nende sisestamist. Nimetatud läbivaatamine peab olema süsteemis nõuetekohaselt dokumenteeritud, sisaldades iga tehtud otsuse põhjendust, ja selle tulemused tuleb automaatselt edastada andmekaitseametnikule.

3.   Juhtumikorraldamise süsteem märgistab eelkõige vastavalt Eurojusti otsuse artikli 15 lõikele 3 piiratud ajavahemikuks salvestatud andmed. Nimetatud andmeliikide puhul toimub andmete säilitamise vajaduse ülevaatamine iga kolme kuu järel ja see dokumenteeritakse samal viisil, nagu on kirjeldatud lõigetes 1 ja 2.

4.   Vastutav töötleja konsulteerib vajadusel kolleegiumi ja andmekaitseametnikuga seoses mis tahes otsusega säilitada andmeid ülevaatamise järel pikemaks perioodiks.

V JAOTIS

JUHTUMITEGA MITTESEOTUD TÖÖTLEMISTEGEVUSTE EESKIRJAD

I peatükk

Üldpõhimõtted

Artikkel 30

Töötlemise seaduslikkus ja õiglus

Isikuandmeid tuleb töödelda õiglaselt ja seaduslikult. Eelkõige võib isikuandmeid töödelda ainult juhul, kui:

a)	töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks, või

b)	töötlemine on vajalik sellise lepingu täitmiseks, mille osapool andmesubjekt on, või lepingu sõlmimisele eelnevate meetmete võtmiseks vastavalt andmesubjekti taotlusele, või

c)	andmesubjekt on selleks andnud oma ühemõttelise nõusoleku, või

d)	töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks, või

e)	töötlemine on vajalik vastutava töötleja õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles käesoleva korra artikli 4 kohaselt kaitstavate andmesubjekti põhiõiguste ja -vabadustega seotud huvid.

Artikkel 31

Õigustatud piiramine

1.   Isikuandmeid peab töötlema konkreetsel ja täpselt määratletud seaduslikul ja õigustatud eesmärgil ning täiendavalt töötlema ainult sel määral, kui see on kooskõlas töötlemise esialgse eesmärgiga.

2.   Üksnes töötlemissüsteemide või -toimingute turvalisuse või kontrolli ja juhtimise tagamiseks kogutud isikuandmeid ei kasutata muul eesmärgil, välja arvatud raskete kuritegude ennetamisel, eeluurimisel, avastamisel ja nende eest vastutusele võtmisel.

Artikkel 32

Andmete eriliikide töötlemine

1.   Rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, ametühingusse kuulumist, tervislikku seisundit või seksuaalelu või süüdimõistvaid kohtuotsuseid paljastavate isikuandmete töötlemine on keelatud juhtumiga mitteseotud eesmärgil.

2.   Nimetatud keeld ei kehti, kui:

a)	andmesubjekt on andnud oma selgelt väljendatud nõusoleku nimetatud andmete töötlemiseks, või

b)	töötlemine on vajalik vastutava töötleja seadusjärgsete kohustuste ja eriõiguste järgimiseks, näiteks kohustused vastutavale töötlejale kohaldatava maksu- või tööõiguse valdkonnas, või vajaduse korral andmekaitseametnikuga kokku lepitud määral, arvestades piisavaid kaitsemeetmeid, või

c)	töötlemine on vajalik selleks, et kaitsta andmesubjekti või mõne teise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu oma nõusolekut andma, või

d)	töödeldakse andmeid, mille andmesubjekt on ilmselgelt avalikustanud, või kui töötlemine on vajalik õigusnõuete tuvastamiseks, esitamiseks või kaitsmiseks.

3.   Lõikes 1 osutatud andmeid töödeldakse ainult sel eesmärgil, milleks neid algselt koguti.

Artikkel 33

Erandid andmesubjekti õiguses teabele

1.   Eurojusti mitteoperatiivse tööga seoses on võimalik teha erandeid andmesubjekti informeerimise üldpõhimõttesse, kui nimetatud teabe andmine andmesubjektile kahjustaks:

a)	liikmesriigi või Euroopa Liidu olulisi majanduslikke või rahanduslikke huve, või

b)	andmesubjekti kaitset või teiste isikute õiguste ja vabaduste kaitset, või

c)	liikmesriikide julgeolekut, avalikku korda või riigikaitset.

2.   Andmekaitseametnikku teavitatakse selliste erandite kasutamisest.

Artikkel 34

Andmekaitseametniku teavitamine

1.   Iga vastutav töötleja teatab andmekaitseametnikule eelnevalt igast töötlemistoimingust või töötlemistoimingute kogumist, mis on suunatud ühe eesmärgi või mitme omavahel seotud eesmärgi saavutamisele.

2.   Antav teave sisaldab järgmist:

a)	vastutava töötleja nime ja viidet institutsiooni või asutuse konkreetsetele struktuuriüksustele, kellele on usaldatud isikuandmete töötlemine kõnealusel eesmärgil;

b)	töötlemise eesmärki või eesmärke;

c)	andmesubjektide kategooria või kategooriate ja nendega seotud andmete või andmeliikide kirjeldust;

d)	andmete töötlemise eesmärgi õiguslikku alust;

e)	neid vastuvõtjaid või vastuvõtjate kategooriaid, kellele andmed võidakse avalikustada; ja

f)	üldist kirjeldust, mis võimaldab anda esialgse hinnangu turvameetmete asjakohasusele.

3.   Igasugune muutus, mis mõjutab eelmises lõikes osutatud teavet, tehakse andmekaitseametnikule teatavaks viivitamata.

Artikkel 35

Register

1.   Andmekaitseametnik peab talle eelmise sätte kohaselt teatavaks tehtud töötlemistoimingute registrit.

2.   Register sisaldab vähemalt artikli 34 lõike 2 punktides a–f osutatud teavet.

3.   Andmekaitseametnik teeb nõudmisel ühisele järelevalveasutusele kättesaadavaks registris sisalduvad mis tahes andmed.

Artikkel 36

Isikuandmete töötlemine vastutavate töötlejate nimel

1.   Kui töötlemine toimub vastutava töötleja nimel välise volitatud töötleja poolt, valib vastutav töötleja sellise volitatud töötleja, kes pakub piisavaid tagatisi Eurojusti otsuse artikliga 22 ja muude asjakohaste dokumentidega ettenähtud tehniliste ja organisatsiooniliste turvameetmete osas ning tagab nende meetmete järgimise.

2.   Väline volitatud töötleja töötleb andmeid volitatud töötlejat ja vastutavat töötlejat siduva lepingu või õigusakti alusel, milles on eelkõige sätestatud, et:

a)	volitatud töötleja tegutseb ainult vastutava töötleja juhtnööride kohaselt; ja

b)

Eurojusti otsuse ja käesoleva töökorraga kehtestatud konfidentsiaalsust ja turvalisust käsitlevad kohustused kehtivad ka volitatud töötlejale, välja arvatud juhul, kui 24. oktoobri 1995. aasta direktiivi 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) (1) artikli 16 või artikli 17 lõike 3 teise taande kohaselt kehtivad volitatud töötlejale juba ühe liikmesriigi siseriikliku õigusega sätestatud konfidentsiaalsuse ja turvalisusega seotud kohustused.

3.   Selleks, et säiliksid tõendusmaterjalid, peavad lepingu või õigusakti andmekaitset käsitlevad osad ning konfidentsiaalsuse ja turvalisuse meetmetega seotud nõuded olema kirjalikus või muus samaväärses vormis.

Artikkel 37

Automatiseeritud töötlusel põhinevad üksikotsused

Andmesubjektil on õigus mitte alluda tema jaoks õiguslikke tagajärgi omavale või teda oluliselt mõjutavale otsusele, mis põhineb üksnes tema teatavate isikuomaduste, näiteks tööviljakuse, usaldusväärsuse või käitumise hindamiseks läbiviidud automatiseeritud andmetöötlusel, välja arvatud juhul, kui otsuse tegemine on selgesõnaliselt lubatud siseriiklike või Euroopa õigusaktide kohaselt, või kui vajaduse korral on loa andnud andmekaitseametnik. Igal juhul tuleb võtta meetmeid andmesubjekti õigustatud huvide kaitsmiseks, näiteks võimaldada tal väljendada isiklikku arvamust või võimaldada tal mõista töötlemise loogikat.

II peatükk

Isikuandmete kaitset ja eraelu puutumatust sisemistes telekommunikatsioonivõrkudes käsitlevad sise-eeskirjad

Artikkel 38

Kohaldamisala

1.   Ilma, et see piiraks eelmiste artiklite kohaldamist, kohaldatakse käesolevas peatükis sisalduvaid eeskirju isikuandmete töötlemisele seoses Eurojusti kontrolli all olevate telekommunikatsioonivõrkude või lõppseadmete kasutamise ja juhtimisega.

2.   Käesolevas peatükis sisalduvate eeskirjade kohaldamisel on kasutaja füüsiline isik, kes kasutab telekommunikatsioonivõrku või lõppseadmeid, mis on Eurojusti kontrolli all.

Artikkel 39

Turvalisus

1.   Eurojust võtab kohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada telekommunikatsioonivõrkude ja lõppseadmete (arvutite, serverite, riistvara ja tarkvara) turvaline kasutamine, vajaduse korral koostöös üldkasutatavate telekommunikatsiooniteenuste osutajate või üldkasutatavate telekommunikatsioonivõrkude operaatoritega. Tehnika taset ja kõnealuste meetmete rakenduskulusid arvesse võttes tagatakse nende meetmetega olemasolevale ohule vastav turvalisuse tase.

2.   Võrgu ja lõppseadmete turvalisuse rikkumise konkreetse ohu korral teavitab Eurojust kasutajaid ohu olemasolust ning võimalikest abinõudest ja alternatiivsetest sidevahenditest.

Artikkel 40

Teabevahetuse konfidentsiaalsus

Eurojust tagab telekommunikatsioonivõrkude ja lõppseadmete kaudu toimuva teabevahetuse konfidentsiaalsuse vastavalt ühenduse õigusele.

Artikkel 41

Andmeliiklus- ja arveldusandmed

1.   Pärast kõne või muu sideseansi lõppu kustutatakse või muudetakse anonüümseks kasutajatega seotud andmeliiklusandmed, mida töödeldakse telekommunikatsioonivõrgu vahendusel toimunud kõnede või muude sideseansside tuvastamiseks.

2.   Erandeid nimetatud üldpõhimõttesse (näiteks vajadus hoida andmeliiklusandmeid, kui need on seotud teatud kataloogide jaoks või erakõnede maksustamiseks vajalike logiandmetega) on lubatud teha ainult siis, kui need on ette nähtud Eurojusti poolt pärast andmekaitseametnikuga konsulteerimist vastu võetud sise-eeskirjades. Kui andmekaitseametnik ei ole rahul nimetatud erandite seaduslikkuse või otstarbekusega, konsulteeritakse üldise järelevalveasutusega.

3.   Andmeliiklus- ja arveldusandmeid võivad töödelda ainult arveldamise, andmeliikluse või eelarve haldamisega tegelevad isikud.

Artikkel 42

Kasutajakataloogid

1.   Elektroonilistes või trükitud kasutajakataloogides sisalduvaid isikuandmeid ning juurdepääsu sellistele kataloogidele piiratakse sellise määrani, mis on tingimata vajalik kataloogi konkreetsete ülesannete täitmiseks.

2.   Nimetatud kataloogid on kättesaadavad üksnes Eurojusti kasutajatele ainult ametialaseks kasutamise või teistes institutsioonidevahelistes kataloogides, mida peetakse asjakohasteks.

III peatükk

Erieeskirjad

Artikkel 43

Täiendavad eeskirjad

Vajaduse korral töötab Eurojust välja täiendavad eeskirjad isikuandmete töötlemiseks juhtumiga mitteseotud tegevuste korral. Sellised eeskirjad tehakse teatavaks ühisele järelevalveasutusele ja avaldatakse eraldi sisemistes käsiraamatutes.

VI JAOTIS

MUUD SÄTTED

Artikkel 44

Käesoleva töökorra läbivaatamine

1.   Käesolev kord vaadatakse korrapäraselt läbi, et hinnata muudatuste vajalikkust. Iga käesolevasse töökorda tehtava muudatuse puhul järgitakse sama protseduuri, mis on kehtestatud Eurojusti otsuses töökorra heakskiitmisele.

2.   Andmekaitseametnik teatab nii kolleegiumi presidendile kui ka ühisele järelevalveasutusele, kui ta on arvamusel, et muudatused käesolevasse töökorda on vajalikud.

3.   Ühine järelevalveasutus juhib kolleegiumi tähelepanu mis tahes ettepanekutele või soovitustele seoses käesoleva töökorra muudatustega.

Artikkel 45

Jõustumine ja avaldamine

1.   Käesolev töökord jõustub järgmisel päeval pärast selle lõplikku heakskiitmist nõukogu poolt.

2.   Käesolev kord avaldatakse Euroopa Liidu Teatajas.

---

(1)  EÜT L 281, 23.11.1995, lk 31.

---