Haldusnõukogu otsus sise-eeskirjade kohta, milles käsitletakse andmesubjektide teatavate õiguste piiramist seoses isikuandmete töötlemisega Euroopa Keskkonnaameti tegevuse raames

EUROOPA KESKKONNAAMETI HALDUSNÕUKOGU,

VÕTTES ARVESSE Euroopa Liidu toimimise lepingut,

VÕTTES ARVESSE Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrust (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, (1) ja eelkõige selle artiklit 25,

VÕTTES ARVESSE Euroopa Parlamendi ja nõukogu 23. aprilli 2009. aasta määrust (EÜ) nr 401/2009 Euroopa Keskkonnaameti ja Euroopa keskkonnateabe- ja -vaatlusvõrgu kohta (kodifitseeritud versioon), (2) ja eriti selle artiklit 8,

VÕTTES ARVESSE Euroopa Andmekaitseinspektori 13. märtsi 2020. aasta arvamust ja Euroopa Andmekaitseinspektori suuniseid määruse (EL) nr 2018/1725 artikli 25 ja sise-eeskirjade kohta,

olles konsulteerinud personalikomiteega

NING ARVESTADES JÄRGMIST:

(1)

Euroopa Keskkonnaameti (edaspidi „amet“) pädevuses on läbi viia haldusjuurdlusi, distsiplinaarmenetluste eelmenetlusi, distsiplinaarmenetlusi ja ametist kõrvaldamise menetlusi kooskõlas Euroopa Liidu ametnike personalieeskirjade ja Euroopa Liidu muude teenistujate teenistustingimustega, mis on sätestatud nõukogu määruses (EMÜ, Euratom, ESTÜ) nr 259/68 (edaspidi „personalieeskirjad“) (3), ning Euroopa Keskkonnaameti haldusnõukogu 15. veebruari 2013. aasta otsusega haldusjuurdluste ja distsiplinaarmenetluste korraldamise kohta. Vajadusel teavitab ta juhtumitest ka OLAFit.

(2)

Ameti töötajad on kohustatud teatama liidu huve kahjustavast võimalikust ebaseaduslikust tegevusest, sh pettusest ja korruptsioonist. Samuti on töötajad kohustatud teatama töökohustuste täitmata jätmisest, mis võib olla liidu ametnike kohustuste oluline eiramine. Seda reguleerib Euroopa Keskkonnaameti haldusnõukogu 24. aprilli 2018. aasta otsus rikkumisest teatamise suuniste kohta (otsus EEA/MB/2018/011).

(3)

Amet on kehtestanud põhimõtted, et tõhusalt ennetada ja lahendada töökohal toimuvaid tegelikke või võimalikke psühholoogilise või seksuaalse ahistamise juhtumeid, nagu on sätestatud 13. juuni 2017. aasta otsuses Euroopa Keskkonnaameti põhimõtete kohta isikuväärikuse kaitsmisel ning psühholoogilise ja seksuaalse ahistamise ennetamisel (otsus EEA/MB/2017/011). Otsusega kehtestati mitteametlik menetlus, mille alusel saab väidetav ahistamise ohver pöörduda ameti usaldusnõunike poole.

(4)	Ameti tegevuse suhtes viiakse läbi nii sise- kui ka välisauditeid.

(5)	Haldusjuurdluste, auditite ja uurimistega seoses teeb amet koostööd teiste liidu institutsioonide, organite ja asutustega.

(6)	Amet võib teha koostööd kolmandate riikide ametiasutuste ja rahvusvaheliste organisatsioonidega nii nende taotluse korral kui ka omal algatusel.

(7)	Amet võib teha koostööd ka ELi liikmesriikide ametiasutustega nii nende asutuste taotluse korral kui ka omal algatusel.

(8)

Amet osaleb Euroopa Liidu Kohtu kohtuasjades, kui ta ise pöördub Euroopa Kohtusse, kaitseb oma otsust, mis on Euroopa Kohtusse kaevatud, või sekkub juhtumite puhul, mis on asjakohased tema ülesannete suhtes. Sellega seoses võib ametil olla vaja tagada, et osapoolte või menetlusse astujate saadud dokumentides sisalduvad isikuandmed jääksid konfidentsiaalseks.

(9)	Oma ülesannete täitmiseks kogub ja töötleb amet teavet ja mitut liiki isikuandmeid, sealhulgas füüsilise isiku identifitseerimisandmete, kontaktandmete, ametialaste ülesannete ja kohustuste, eraelulise ja professionaalse käitumise ning finantsandmete kohta. Amet tegutseb vastutava töötlejana.

(10)	Määruse (EL) 2018/1725 (määrus) kohaselt on amet seega kohustatud andma andmesubjektidele teavet selliste töötlemistoimingute kohta ja austama nende kui andmesubjektide õigusi.

(11)

Ametil võib olla vaja ühitada need õigused haldusjuurdluste, auditite, uurimiste ja kohtumenetluste eesmärkidega. Samuti võib tal olla vaja tasakaalustada andmesubjekti õigusi muude andmesubjektide põhiõiguste ja -vabadustega. Selleks on ametil määruse artikli 25 kohaselt teatavatel rangetel tingimustel võimalus piirata määruse artiklite 14–22, 35 ja 36 ning artikli 4 kohaldamist, kui selle sätted vastavad artiklites 14–20 kehtestatud õigustele ja kohustustele. Kui aluslepingute alusel vastu võetud õigusaktidega ei ole kehtestatud piiranguid, tuleb ametil nende õiguste piiramiseks vastu võtta sise-eeskirjad.

(12)

Ametil võib näiteks olla vaja piirata andmesubjekti teavitamist isikuandmete töötlemisest haldusjuurdluse esialgses hindamisetapis või juurdluse käigus enne juhtumi võimalikku lõpetamist või distsiplinaarmenetluse eeletapis. Teatud tingimustel võib sellise teabe andmine oluliselt mõjutada ameti suutlikkust juurdlust tõhusalt läbi viia, näiteks kui esineb risk, et asjaomane isik võib hävitada asitõendid või mõjutada võimalikke tunnistajaid enne küsitlemist. Ametil võib olla vaja kaitsta ka tunnistajate ja juhtumiga seotud teiste isikute õigusi ja vabadusi.

(13)	Võib olla vaja kaitsta anonüümseks jääda soovinud tunnistaja või rikkumisest teataja anonüümsust. Sellisel juhul võib amet otsustada piirata juurdepääsu nende isikute identifitseerimisandmetele, ütlustele ja muudele isikuandmetele, et kaitsta nende õigusi ja vabadusi.

(14)

Võib olla vaja kaitsta seoses ahistamismenetlusega ameti usaldusnõunikega ühendust võtnud töötaja konfidentsiaalset teavet. Sellistel juhtudel võib ametil olla vaja piirata juurdepääsu väidetava ohvri, väidetava ahistaja ja teiste seotud isikute identifitseerimisandmetele, ütlustele ja muudele isikuandmetele, et kaitsta nende õigusi ja vabadusi.

(15)	Amet kohaldab piiranguid üksnes siis, kui need järgivad põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas rangelt vajalikud ja proportsionaalsed. Amet peaks selgitama nende piirangute põhjusi.

(16)	Vastutuse põhimõtte kohaselt peab amet piirangute kohaldamist dokumenteerima.

(17)	Oma ülesannete raames teiste organisatsioonidega vahetatavate isikuandmete töötlemisel konsulteerivad amet ja need organisatsioonid vastastikku piirangute kehtestamise võimalike aluste ning piirangute vajalikkuse ja proportsionaalsuse osas, kui see ei kahjusta ameti tegevust.

(18)	Määruse artikli 25 lõikes 6 kohustatakse vastutavat töötlejat teavitama andmesubjekti piirangu kohaldamise peamistest põhjustest ning tema õigusest esitada kaebus Euroopa Andmekaitseinspektorile.

(19)	Määruse artikli 25 lõike 8 kohaselt võib amet andmesubjektile piirangu kohaldamise põhjuste kohta teabe andmist edasi lükata, ära jätta või sellest keelduda, kui piirang kaotaks seeläbi oma mõju. Amet peab iga juhtumi korral eraldi hindama, kas piirangust teatamine kaotaks selle piirangu mõju.

(20)	Amet peab piirangu kohaldamise lõpetama, kui piirangu aluseks olnud tingimused enam ei kehti, ning hindama neid tingimusi korrapäraselt.

(21)	Andmesubjektide õiguste ja vabaduste parima kaitse tagamiseks ning kooskõlas määruse artikli 44 lõikega 1 tuleks andmekaitseametnikuga aegsasti konsulteerida mis tahes kohaldatavate piirangute osas, et kontrollida nende vastavust käesolevale otsusele.

(22)	Määruse artikli 16 lõikes 5 ja artikli 17 lõikes 4 on sätestatud erandid seoses andmesubjektide õigusega saada teavet ja tutvuda andmetega. Kui need erandid kehtivad, ei ole ametil tarvis kohaldada piirangut käesoleva otsuse alusel,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Sisu ja kohaldamisala

1. Käesolevas otsuses sätestatakse eeskirjad, mille kohaselt võib amet määruse artikli 25 alusel piirata määruse artiklite 4, 14–22, 35 ja 36 kohaldamist.

2. Vastutava töötleja ülesannetes ametit esindab selle tegevdirektor, kes võib vastutava töötleja rolli ametisiseselt delegeerida, et arvestada isikuandmete töötlemise konkreetsete toimingutega seotud tööülesandeid.

Artikkel 2

Piirangud

1. Amet võib määruse artiklite 14–22, 35 ja 36 ning artikli 4 kohaldamist piirata, kui selle sätted vastavad artiklites 14–20 sätestatud kohustustele:

vastavalt määruse artikli 25 lõike 1 punktidele b, c, f, g ja h, kui amet viib ametisiseste- ja väliste kaebuste menetlemisel ja OLAFi teavitamisel juhtumitest läbi haldusjuurdlusi, distsiplinaarmenetluste eelmenetlusi, distsiplinaarmenetlusi ja ametist kõrvaldamise menetlusi personalieeskirjade artikli 86 ja IX lisa kohaselt ja kooskõlas Euroopa Keskkonnaameti haldusnõukogu 15. veebruari 2013. aasta otsusega haldusjuurdluste ja distsiplinaarmenetluste korraldamise kohta;

vastavalt määruse artikli 25 lõike 1 punktile h, kui Euroopa Keskkonnaameti haldusnõukogu 24. aprilli 2018 otsuse rikkumisest teatamise suuniste kohta (otsus EEA/MB/2018/011) alusel tagatakse, et ameti töötajad võivad konfidentsiaalselt teatada asjaoludest, mille korral on nende arvates toime pandud tõsiseid rikkumisi;

vastavalt määruse artikli 25 lõike 1 punktile h, kui tagatakse, et ameti töötajad saavad (ametlike või mitteametlike) ahistamismenetluste raames teavitada usaldusnõunikke, nagu on sätestatud 13. juuni 2017. aasta otsuses Euroopa Keskkonnaameti põhimõtete kohta isikuväärikuse kaitsmisel ning psühholoogilise ja seksuaalse ahistamise ennetamisel (otsus EEA/MB/2017/011);

vastavalt määruse artikli 25 lõike 1 punktidele c, g ja h, kui ameti tegevuse või allüksuste suhtes viiakse läbi siseauditeid, sealhulgas andmekaitseametniku läbiviidud uurimisi vastavalt määruse (EL) 2018/1725 artikli 45 lõikele 2 ja selle valdkonna sise-eeskirjadele (EU) 2018/1725, ja (IT) turvalisuse juurdlusi asutusesiseselt või välisosalejate (näiteks CERT-EU) kaasamisel;

vastavalt määruse artikli 25 lõike 1 punktidele c, d, g ja h vastastikuse abi osutamisel liidu institutsioonide, organite ja asutustega või tehes nendega koostööd käesoleva lõike punktides a–d nimetatud tegevuste osas ning asjakohaste teenustaseme kokkulepete, vastastikuse mõistmise memorandumite ja koostöölepingute kohaselt;

f)	vastavalt määruse artikli 25 lõike 1 punktidele c, g ja h vastastikuse abi osutamisel kolmandate riikide ametiasutuste ja rahvusvaheliste organisatsioonidega või tehes selliste ametiasutuste või organisatsioonidega koostööd nende taotlusel või omal algatusel;

g)	vastavalt määruse artikli 25 lõike 1 punktidele c, g ja h vastastikuse abi osutamisel ja koostöö tegemisel ELi liikmesriikide ametiasutustega nende taotlusel või omal algatusel;

h)	vastavalt määruse artikli 25 lõike 1 punktile e, töödeldes isikuandmeid, mis on Euroopa Liidu Kohtu menetluste osapoolte või menetlusse astujate saadud dokumentides.

i)	Kõik piirangud peavad järgima põhiõiguste ja -vabaduste olemust ning olema demokraatlikus ühiskonnas vajalikud ja proportsionaalsed.

2. Enne piirangute kohaldamist tehakse igal üksikjuhul eraldi vajalikkuse ja proportsionaalsuse kontroll. Piirangud piirduvad sellega, mis on seatud eesmärkide saavutamiseks tingimata vajalik.

3. Aruandekohustuse täitmiseks dokumenteerib amet kohaldatavate piirangute põhjused, asjakohased alused lõikes 1 loetletute seast ning vajalikkuse ja proportsionaalsuse kontrolli tulemuse. Need registrikanded lisatakse registrisse, mis tehakse nõudmisel Euroopa Andmekaitseinspektorile kättesaadavaks. Amet koostab korrapäraselt aruandeid määruse artikli 25 kohaldamise kohta.

4. Oma ülesannete raames teistelt organisatsioonidelt saadud isikuandmete töötlemisel konsulteerib amet nende organisatsioonidega piirangute kehtestamise võimalike aluste ning piirangute vajalikkuse ja proportsionaalsuse üle, kui see ei kahjusta ameti tegevust.

5. Nimetatud andmete kategooriad on nn kindlad andmed (objektiivsed andmed, näiteks identifitseerimisandmed, kontaktandmed, kutsetegevuse andmed, haldusandmed, konkreetsetest allikatest saadud andmed, elektroonilise side andmed ja liikluseandmed) ja/või nn pehmed andmed (juhtumiga seotud subjektiivsed andmed, näiteks õiguslikud põhjendused, käitumisteave, hindamised, andmed tegevuse ja käitumise kohta ning andmed, mis on seotud või ilmnenud seoses menetluse või toimingu reguleerimisesemega).

Artikkel 3

Riskid andmesubjektide õigustele ja vabadustele

1. Piirangute kohaldamise tõttu andmesubjektide õigustele ja vabadustele avalduvate riskide hindamine ja kõnealuste piirangute kohaldamise periood dokumenteeritakse töötlemistoimingute registris, mida amet peab kooskõlas määruse artikliga 31. See teave lisatakse ka määruse artikli 39 kohaselt tehtavatesse mis tahes andmekaitsealastesse mõjuhinnangutesse, mis käsitlevad neid piiranguid.

2. Piirangu vajalikkuse ja proportsionaalsuse üle otsustamisel võtab amet arvesse võimalikke riske andmesubjekti õigustele ja vabadustele.

Artikkel 4

Kaitsemeetmed ja andmete säilitamise tähtajad

1. Amet rakendab kaitsemeetmeid, et hoida ära ebaseaduslik juurdepääs sellistele isikuandmetele, mille suhtes kohaldatakse või võidakse kohaldada piiranguid, ja nende andmete kuritarvitamine. Kaitsemeetmed hõlmavad tehnilisi ja korralduslikke meetmeid ning neid kirjeldatakse vajaduse korral üksikasjalikult ameti siseotsustes, -menetlustes ja -rakenduseeskirjades. Kaitsemeetmed hõlmavad järgmist:

a)	rollide, vastutusalade ja menetlusetappide selge määratlemine;

turvaline elektrooniline keskkond, millega takistatakse ebaseaduslikku või juhuslikku juurdepääsu elektroonilistele andmetele või nende edastamist volitamata isikutele; kõiki elektroonilisi andmeid säilitatakse ameti turbestandardite kohaselt turvalises IT-rakenduses ja elektroonilistes erikaustades, millele on juurdepääs ainult volitatud töötajatel. Asjakohased juurdepääsutasemed antakse individuaalselt;

c)	paberdokumentide turvaline säilitamine ja töötlemine, mida hoitakse turvakappides ning neile on juurdepääs ainult volitatud töötajatel;

d)	piirangute nõuetekohane jälgimine ja nende kohaldamise perioodiline läbivaatamine.

2. Punktis d nimetatud läbivaatamised toimuvad vähemalt kord iga kuue kuu tagant.

3. Piirangud tühistatakse kohe, kui nende aluseks olnud tingimused enam ei kehti.

4. Isikuandmeid säilitatakse kooskõlas ameti kehtivate säilituseeskirjadega, mis tuleb lisada määruse artikli 31 kohaselt peetavatesse andmekaitseregistritesse. Säilitamistähtaja lõppedes kõik isikuandmed kustutatakse, muudetakse anonüümseks või edastatakse arhiividesse kooskõlas määruse artikliga 13.

Artikkel 5

Andmekaitseametniku osalemine

1. Andmekaitseametnikku teavitatakse põhjendamatu viivituseta alati, kui käesoleva otsuse alusel andmesubjekti õigusi piiratakse. Andmekaitseametnikule antakse juurdepääs asjakohastele registrikannetele ja mis tahes dokumentidele faktiliste ja õiguslike asjaolude kohta.

2. Ameti andmekaitseametnik võib taotleda piirangu kohaldamise läbivaatamist. Amet teavitab oma andmekaitseametnikku taotletud läbivaatamise tulemustest kirjalikult.

3. Amet dokumenteerib andmekaitseametniku osalemise piirangute kohaldamises, sh temaga jagatava teabe.

Artikkel 6

Andmesubjektidele antav teave nende õiguste piiramise kohta

1. Amet lisab oma siseveebis avaldatavatesse isikuandmete kaitse teadetesse andmesubjektidele suunatud üldise teabe andmesubjektide õiguste võimaliku piiramise kohta kooskõlas artikli 2 lõikega 1. Teave peab sisaldama seda, mis õigusi võidakse piirata, põhjusi, miks piiranguid võidakse kohaldada, ja piirangute võimalikku kestust.

2. Amet teavitab andmesubjekte ilma põhjendamatu viivituseta nende õiguste praegustest või tulevastest piirangutest, saates neile selle kohta individuaalse kirjaliku teate. Amet teavitab andmesubjekti piirangu kohaldamise peamistest põhjustest, tema õigusest pöörduda piirangu vaidlustamiseks andmekaitseametniku poole ja õigusest esitada kaebus Euroopa Andmekaitseinspektorile.

3. Amet võib piirangu põhjusi ja Euroopa Andmekaitseinspektorile kaebuse esitamise õigust käsitleva teabe andmist edasi lükata, selle esitamata jätta või selle esitamisest keelduda, kui piirang kaotaks seeläbi oma mõju. Seda, kas see on põhjendatud, hinnatakse igal üksikjuhul eraldi. Amet esitab andmesubjektile selle teabe kohe, kui teabe andmine ei tühista enam piirangu mõju.

Artikkel 7

Andmesubjekti teavitamine isikuandmetega seotud rikkumisest

1. Kui amet on määruse artikli 35 lõike 1 alusel kohustatud teavitama andmesubjekti isikuandmetega seotud rikkumisest, võib ta erandjuhtudel osaliselt või täielikult piirata sellise teabe andmist. Sel juhul dokumenteerib amet teatises piirangu põhjused, piirangu kohaldamise õigusliku aluse kooskõlas artikliga 2 ning hinnangu selle vajalikkusele ja proportsionaalsusele. See teatis esitatakse Euroopa Andmekaitseinspektorile isikuandmetega seotud rikkumisest teatamisel.

2. Kui piirangut õigustanud põhjused enam ei kehti, teavitab amet asjaomast andmesubjekti isikuandmetega seotud rikkumisest, piirangu peamistest põhjustest ja tema õigusest esitada kaebus Euroopa Andmekaitseinspektorile.

Artikkel 8

Elektroonilise side konfidentsiaalsus

1. Erandjuhtudel võib amet määruse artikli 36 alusel õigust elektroonilise side konfidentsiaalsusele piirata. Sellised piirangud peavad olema kooskõlas Euroopa Parlamendi ja nõukogu direktiiviga 2002/58/EÜ (4).

2. Kui amet piirab õigust elektroonilise side konfidentsiaalsusele, teavitab ta asjaomast andmesubjekti piirangu kohaldamise peamistest põhjustest ja tema õigusest esitada kaebus Euroopa Andmekaitseinspektorile.

Artikkel 9

Jõustumine

Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Kinnitatud haldusnõukogu kirjalikus menetluses,

19. aprill 2021

Euroopa Keskkonnaameti haldusnõukogu esimees

Laura BURKE

(1) ELT L 295, 21.11.2018, lk 39.

(2) ELT L 126, 21.05.2009, lk 13.

(3) Nõukogu 29. veebruari 1968. aasta määrus (EMÜ, Euratom, ESTÜ) nr 259/68, millega kehtestatakse Euroopa ühenduste ametnike personalieeskirjad ja muude teenistujate teenistustingimused ning komisjoni ametnike suhtes ajutiselt kohaldatavad erimeetmed (EÜT L 56, 4.3.1968, lk 1).

(4) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).