|
8.2.2019 |
ET |
Euroopa Liidu Teataja |
L 37/144 |
KOMISJONI OTSUS (EL) 2019/236,
7. veebruar 2019,
millega kehtestatakse sise-eeskirjad andmesubjektide teavitamise ning nende teatavate õiguste piiramise kohta Euroopa Komisjonis isikuandmete töötlemisel liidu institutsioonide sisejulgeoleku eesmärgil
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 249 lõiget 1,
ning arvestades järgmist:
|
(1) |
Komisjon peab tegutsema kindlas ja turvalises julgeolekukeskkonnas. Selleks vajab ta sidusat ja terviklikku julgeolekukäsitust, millega pakutakse inimestele, varale ja teabele kaitset tasemel, mis vastab kindlaks tehtud riskidele, ning tagatakse julgeolek tulemuslikult ja õigeaegselt. Komisjon puutub suurte julgeolekuohtude ja -probleemidega kokku eelkõige terrorismi, küberrünnakute ning poliitilise ja majandusliku spionaaži tõttu. |
|
(2) |
Selleks et tagada inimeste, vara ja teabe julgeolek, võtab komisjon, eelkõige oma personalihalduse ja julgeoleku peadirektoraadi julgeolekudirektoraadi kaudu komisjoni otsuse (EL, Euratom) 2015/443 (1) kohaseid meetmeid, mis hõlmavad mitut liiki isikuandmete töötlemist. Need meetmed hõlmavad otsuse (EL, Euratom) 2015/443 artikli 7 lõike 5 kohast julgeolekualast taustakontrolli, artikli 12 kohast ohuhindamist ja artikli 13 kohaseid julgeolekualaseid uurimisi. Komisjon kogub oma uurimiste korraldamise volituste raames uurimise seisukohalt huvipakkuvat teavet, sealhulgas isikuandmeid, mitmesugustest allikatest – avaliku sektori asutustelt ja füüsilistelt isikutelt – ja vahetab teavet muude liidu institutsioonide, organite ja asutustega, liikmesriikide ja kolmandate riikide pädevate asutustega ning rahvusvaheliste organisatsioonidega enne uurimis- või koordineerimismeetmete rakendamise algust, selle ajal ja pärast selle lõppu. |
|
(3) |
Komisjoni töödeldavad isikuandmete liigid on näiteks isikusamasuse tuvastamiseks vajalikud andmed, kontaktandmed, andmed ametialase tegevuse kohta ning julgeolekualase taustakontrolli, ohuhindamise ja julgeolekualase uurimisega seotud või seostatud andmed. Isikuandmeid hoitakse turvalises elektroonses keskkonnas, et neile ei pääseks ebaseaduslikult juurde komisjoniga mitteseotud isikud ja et neid ei saaks sellistele isikutele ebaseaduslikult edastada. Isikuandmeid säilitatakse uurimist teostanud komisjoni talituses uurimise lõpuni. Eri töötlemistoimingute suhtes kohaldatakse eri säilitamistähtaegu olenevalt uurimise liigist, s.t olenevalt sellest, kas tegemist on kuriteokahtluse või vastuluure või terrorismivastase võitluse raames toimuva uurimisega. Pärast säilitustähtaja möödumist juhtumiga seotud teave hävitatakse (2). |
|
(4) |
Oma ülesandeid täites on komisjon kui vastutav töötleja kohustatud austama füüsiliste isikute õigusi seoses isikuandmete töötlemisega, nagu need on sätestatud Euroopa Liidu põhiõiguste harta artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu artikli 16 lõikes 1, ning Euroopa Parlamendi ja nõukogu määruses (EL) 2018/1725 (3) sätestatud õigusi. Samal ajal peab komisjon täitma rangeid konfidentsiaalsusnõudeid, mis on sätestatud otsuse (EL, Euratom) 2015/443 artiklis 9. |
|
(5) |
Teatavatel juhtudel on vaja leida tasakaal andmesubjektidele määruse (EL) 2018/1725 alusel antud õiguste, komisjonile tema isikute, vara ja teabe julgeoleku tagamiseks otsusega (EL, Euratom) 2015/443 antud ülesannete täitmise, eriti julgeolekualaste uurimiste tulemusliku teostamise vajaduse, ning teiste andmesubjektide põhiõiguste ja -vabaduste täieliku austamise vajaduse vahel. Seda silmas pidades on määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, d ja h jäetud komisjonile võimalus piirata määruse artiklite 14–17, 19, 20 ja 35 ning artikli 4 lõike 1 punktis a sätestatud läbipaistvuspõhimõtte kohaldamist, kui sätted vastavad kõnealuse määruse artiklites 14–17, 19 ja 20 sätestatud õigustele ja kohustustele. |
|
(6) |
Selleks et komisjon saaks tulemuslikult täita isikute, vara ja teabe julgeoleku tagamise, sealhulgas julgeolekualaste uurimiste teostamise ülesannet vastavalt otsusele (EL, Euratom) 2015/443, järgides määruses (EL) 2018/1725 sätestatud isikuandmete kaitse nõudeid, tuleb vastu võtta sise-eeskirjad, mille kohaselt oleks komisjonil võimalik piirata andmesubjektide õigusi kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, d ja h. |
|
(7) |
Komisjoni sise-eeskirjad peaksid hõlmama kõiki komisjoni isikuandmete töötlemise toiminguid, mida ta teostab talle komisjoni isikute, vara ja teabe julgeoleku tagamiseks otsusega (EL, Euratom) 2015/443 antud ülesannete täitmise, eelkõige julgeolekualaste uurimiste läbiviimise käigus. Neid eeskirju tuleks kohaldada nii enne uurimise algust kui ka uurimise ajal tehtavate andmetöötlustoimingute suhtes, samuti uurimistulemuste järelmeetmete kontrollimise käigus tehtavate andmetöötlustoimingute suhtes. |
|
(8) |
Määruse (EL) 2018/1725 artiklite 14, 15 ja 16 järgimiseks peaks komisjon teavitama kõiki isikuid oma tegevusest, mis hõlmab nende isikuandmete töötlemist, ja nende õigustest läbipaistval ja sidusal viisil isikuandmete kaitset käsitlevas teates, mis avaldatakse komisjoni veebisaidil. |
|
(9) |
Lisaks peaks komisjon asjakohases vormis eraldi teavitama iga julgeolekualase uurimisega seotud andmesubjekti – asjaomast isikut ja tunnistajat. Komisjon peaks eraldi teavitama ka iga isikut, kelle andmeid töödeldakse seoses otsuse (EL, Euratom) 2015/443 artikli 7 lõike 5 ning artikli 12 lõike 1 punktide d ja e kohaselt võetud julgeolekumeetmetega, s.t komisjoni ruumide ning side- ja infosüsteemide ja -seadmete läbiotsimisega. |
|
(10) |
Määruse (EL) 2018/1725 artikli 25 alusel võib komisjonil samuti olla tarvis piirata andmesubjektide teavitamist ja nende muude õiguste kohaldamist, et kaitsta eelkõige julgeolekualaseid uurimisi, oma uurimisvahendeid ja -meetodeid, muude ametiasutuste julgeolekualaseid uurimisi ja menetlusi ning kõnealuste julgeolekualaste ja muude uurimiste ja/või menetlustega seotud teiste isikute õigusi. |
|
(11) |
Mõnel juhul võib teatava teabe andmine andmesubjektile või otsuse (EL, Euratom) 2015/443 artikli 12 lõike 1 punktide d ja e alusel uurimise algatamise või julgeolekumeetmete võtmise (komisjoni ruumide ning side- ja infosüsteemide ja -seadmete läbiotsimise) teatavaks saamine muuta võimatuks uurimise eesmärgi saavutamise või oluliselt kahjustada uurimist ja komisjoni suutlikkust tagada oma julgeolek, eelkõige võimalusi teostada tulevikus tulemuslikult julgeolekualaseid uurimisi. |
|
(12) |
Lisaks võib komisjonil otsuse (EL, Euratom) 2015/443 artikli 17 lõigete 2 ja 3 kohase koostöö tulemuslikkuse huvides olla tarvis piirata andmesubjektide õiguste kohaldamist, et kaitsta teiste liidu institutsioonide, organite ja asutuste ning liikmesriikide pädevate asutuste isikuandmete töötlemise toiminguid. Selleks peaks komisjon konsulteerima nende institutsioonide, organite ja asutustega piirangute kehtestamise põhjuste ning piirangute vajalikkuse ja proportsionaalsuse küsimuses. |
|
(13) |
Komisjonil võib samuti olla tarvis piirata andmesubjektide teavitamist ja nende muude õiguste kohaldamist seoses kolmandatelt riikidelt või rahvusvahelistelt organisatsioonidelt saadud isikuandmetega, et teha nende riikide ja organisatsioonidega koostööd ning tagada seega liidu üldisest huvist kantud olulise eesmärgi järgimine. Teatavatel juhtudel on andmesubjekti huvid ja tema põhiõigused rahvusvahelise koostöö huvist siiski olulisemad. |
|
(14) |
Komisjon peaks kõiki piiranguid kohaldama läbipaistval viisil ning kandma kõik kohaldatavad piirangud asjakohasesse dokumendisüsteemi. |
|
(15) |
Vastavalt määruse (EL) 2018/1725 artikli 25 lõikele 8 võivad vastutavad töötlejad andmesubjekti suhtes piirangu kohaldamise põhjusi käsitleva teabe esitamise edasi lükata, teabe esitamata jätta või selle esitamisest keelduda, kui teave kahjustaks mis tahes viisil piirangu kohaldamise eesmärki. Eelkõige kehtib see määruse (EL) 2018/1725 artiklites 16 ja 35 ette nähtud õiguste suhtes kohaldatavate piirangute korral. |
|
(16) |
Tagamaks, et andmesubjekti õigust saada määruse (EL) 2018/1725 artiklites 16 ja 35 sätestatud teavet piiratakse vaid seni, kuni selline piirang on komisjonile vajalik oma julgeoleku tagamiseks, eelkõige julgeolekualaste uurimiste läbiviimiseks, peaks komisjon kehtestatud piirangud korrapäraselt läbi vaatama. |
|
(17) |
Juhul kui piiratakse andmesubjekti muid õigusi, peaks vastutav töötleja hindama iga juhtumi puhul eraldi, kas piirangu põhjuse teatamine kahjustaks piirangu eesmärki. |
|
(18) |
Komisjoni andmekaitseametnik peaks piirangute kohaldamist sõltumatult kontrollima, et tagada käesoleva otsuse järgimine. |
|
(19) |
Euroopa Andmekaitseinspektor esitas oma arvamuse 10. detsembril 2018, |
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Reguleerimisese ja kohaldamisala
1. Käesolevas otsuses sätestatakse eeskirjad, mida komisjon peab järgima, kui ta kooskõlas määruse (EL) 2018/1725 artiklitega 14, 15 ja 16 teavitab andmesubjekte nende andmete töötlemisest määruse (EL, Euratom) 2015/443 kohaste ülesannete täitmisel.
Lisaks sätestatakse käesolevas otsuses tingimused, mille korral komisjon võib kooskõlas määruse (EL) 2018/1725 artikli 25 lõike 1 punktidega c, d ja h piirata kõnealuse määruse artiklite 4, 14–17, 19, 20 ja 35 kohaldamist.
2. Käesolevat otsust kohaldatakse komisjonis otsuse (EL, Euratom) 2015/443 kohaselt inimeste, vara ja teabe julgeoleku tagamise ja sellega seotud tegevuse käigus toimuva isikuandmete töötlemise suhtes.
Artikkel 2
Kohaldatavad erandid ja piirangud
1. Määruse (EL) 2018/1725 alusel andmesubjektide õigusi puudutavate kohustuste täitmisel kaalub komisjon, kas oleks vaja kohaldada mõnd kõnealuses määruses sätestatud erandit.
2. Kui käesoleva otsuse artiklitest 3–7 ei tulene teisiti, võib komisjon piirata määruse (EL) 2018/1725 artiklite 14–17, 19, 20 ja 35 ning artikli 4 lõike 1 punktis a sätestatud läbipaistvuspõhimõtte kohaldamist, kui käesoleva otsuse sätted vastavad määruse (EL) 2018/1725 artiklites 14–17, 19 ja 20 ette nähtud õigustele ja kohustustele, kui nende õiguste teostamine ja kohustuste täitmine ohustaks liidu institutsioonide, organite ja asutuste sisejulgeolekut, sealhulgas nende elektroonse side võrkude turvalisust, muu hulgas paljastades komisjoni julgeolekualaste uurimiste vahendeid ja meetodeid, või kahjustaks teiste andmesubjektide õigusi ja vabadusi.
3. Kooskõlas artiklitega 3–7 võib komisjon piirata käesoleva artikli lõikes 2 osutatud õigusi ja kohustusi seoses teistelt liidu institutsioonidelt, organitelt ja asutustelt, liikmesriikide ja kolmandate riikide pädevatelt asutustelt ning rahvusvahelistelt organisatsioonidelt saadud isikuandmetega järgmistel juhtudel:
|
a) |
kui nende õiguste järgimist ja kohustuste täitmist võiksid piirata teised liidu institutsioonid, organid ja asutused määruse (EL) 2018/1725 artiklis 25 osutatud muude õigusaktide alusel või kooskõlas selle määruse IX peatükiga või Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/794 (4) või nõukogu määrusega (EL) 2017/1939 (5); |
|
b) |
kui nende õiguste järgimist ja kohustuste täitmist võiksid piirata liikmesriikide pädevad asutused Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 (6) artiklis 23 osutatud õigusaktide alusel või selliste meetmete alusel, millega võetakse liikmesriigi õigusesse üle Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/680 (7) artikli 13 lõige 3, artikli 15 lõige 3 või artikli 16 lõige 3; |
|
c) |
kui nende õiguste järgimine ja kohustuste täitmine kahjustaks komisjoni koostööd kolmandate riikide ja rahvusvaheliste organisatsioonidega vastuluure ja terrorismivastase võitluse valdkonna ohtusid käsitleva teabevahetuse ning julgeolekualaste uurimiste alal. |
Enne piirangute kohaldamist esimese lõigu punktides a ja b osutatud juhtudel peab komisjon konsulteerima asjaomaste liidu institutsioonide, organite, asutuste ja liikmesriikide pädevate asutustega, välja arvatud juhul, kui komisjoni jaoks on selge, et piirangu kohaldamine on ette nähtud mõne neis punktides osutatud õigusaktiga, või kui see ohustaks otsuse (EL, Euratom) 2015/443 kohast komisjoni tegevust.
Käesoleva lõike esimese lõigu punkti c ei kohaldata, kui andmesubjekti huvid ning põhiõigused ja -vabadused on kaalukamad kui komisjoni huvi teha koostööd kolmandate riikide või rahvusvaheliste organisatsioonidega.
4. Lõigetega 1, 2 ja 3 ei piirata muude selliste komisjoni otsuste kohaldamist, millega on kehtestatud sise-eeskirjad andmesubjektide teavitamise ja teatavate õiguste piiramise kohta vastavalt määruse (EL) 2018/1725 artiklile 25 ja komisjoni kodukorra artiklile 23.
Artikkel 3
Andmesubjektide teavitamine
1. Komisjon avaldab oma veebisaidil isikuandmete kaitset käsitlevad teated, mille kaudu teavitatakse andmesubjekte komisjoni tegevusest, mis hõlmab nende isikuandmete töötlemist otsuse (EL, Euratom) 2015/443 kohaste komisjoni ülesannete täitmisel.
2. Komisjon teavitab asjakohases vormis eraldi iga tunnistajat ja julgeolekualase uurimise asjaomast isikut tema isikuandmete töötlemisest. Ta teavitab eraldi ka iga isikut, kelle andmeid töödeldakse seoses otsuse (EL, Euratom) 2015/443 artikli 7 lõike 5 ning artikli 12 lõike 1 punktide d ja e kohaselt võetud julgeolekumeetmetega, s.t komisjoni ruumide ning side- ja infosüsteemide ja -seadmete läbiotsimisega.
3. Kui komisjon piirab osaliselt või täielikult andmesubjekti teavitamist, nagu on sätestatud käesoleva artikli lõikes 2, dokumenteerib ja registreerib ta piirangu põhjused kooskõlas käesoleva otsuse artikliga 6.
Artikkel 4
Andmesubjekti õigus andmetega tutvuda, neid kustutada ja nende töötlemist piirata
1. Kui komisjon piirab täielikult või osaliselt määruse (EL) 2018/1725 artiklites 17, 19 ja 20 osutatud õigust andmetega tutvuda, neid kustutada ja nende töötlemist piirata, teavitab ta andmesubjekti oma vastuses viimase taotlusele andmetega tutvuda, need kustutada või nende töötlemist piirata, piirangu kohaldamisest ja selle peamistest põhjustest ning võimalusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.
2. Käesoleva artikli lõikes 1 osutatud teabe esitamine piirangu põhjuste kohta võidakse edasi lükata, see teave võidakse jätta esitamata või selle esitamisest võidakse loobuda seni, kuni see kahjustaks piirangu eesmärki.
3. Komisjon dokumenteerib ja registreerib piirangu põhjused kooskõlas käesoleva otsuse artikliga 6.
4. Kui õigust andmetega tutvuda on osaliselt või täielikult piiratud, võib andmesubjekt kasutada oma õigust andmetega tutvuda Euroopa Andmekaitseinspektori vahendusel kooskõlas määruse (EL) 2018/1725 artikli 25 lõigetega 6, 7 ja 8.
Artikkel 5
Andmesubjekti teavitamine isikuandmetega seotud rikkumisest
Kui komisjon piirab andmesubjekti teavitamist isikuandmetega seotud rikkumistest, nagu on osutatud määruse (EL) 2018/1725 artiklis 35, dokumenteerib ja registreerib ta piirangu põhjused kooskõlas käesoleva otsuse artikliga 6.
Artikkel 6
Piirangute dokumenteerimine ja registreerimine
1. Komisjon dokumenteerib iga käesoleva otsuse alusel kohaldatava piirangu põhjused, sealhulgas hinnangu selle piirangu vajalikkuse ja proportsionaalsuse kohta, võttes arvesse määruse (EL) 2018/1725 artikli 25 lõikes 2 esitatud asjakohaseid sätteid.
Selleks tuleb dokumenteerida, kuidas õiguse teostamine ohustaks otsuse (EL, Euratom) 2015/443 kohaste komisjoni ülesannete või artikli 2 lõike 2 või 3 kohaselt kohaldatavate piirangute eesmärgi täitmist, ning kuidas see kahjustaks teiste andmesubjektide õigusi ja vabadusi.
2. Põhjusi sisaldav dokument ning vajaduse korral ka asjakohaseid faktilisi ja õiguslikke asjaolusid sisaldavad dokumendid registreeritakse. Taotluse korral tehakse need kättesaadavaks Euroopa Andmekaitseinspektorile.
Artikkel 7
Piirangute kestus
1. Käesoleva otsuse artiklites 3, 4 ja 5 osutatud piiranguid kohaldatakse seni, kuni kehtivad nende kohaldamise põhjused.
2. Kui käesoleva otsuse artiklis 3 või 5 osutatud piirangu põhjus enam ei kehti, tühistab komisjon selle piirangu ja teatab andmesubjektile piirangu põhjused. Samal ajal teavitab komisjon andmesubjekti võimalusest esitada igal ajal kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.
3. Komisjon vaatab artiklites 4 ja 6 osutatud piirangute kohaldamise läbi iga kuue kuu tagant pärast nende kehtestamist ning siis, kui asjaomane uurimine lõpetatakse. Pärast seda hindab komisjon piirangute ja nende pikendamise vajalikkust igal aastal.
Artikkel 8
Läbivaatamine andmekaitseametniku poolt
1. Komisjoni andmekaitseametnikku teavitatakse põhjendamatu viivituseta andmesubjektide õiguste piiramisest käesoleva otsuse alusel. Taotluse korral võimaldatakse andmekaitseametnikule juurdepääs põhjusi sisaldavale dokumendile ning kõigile faktilisi ja õiguslikke asjaolusid sisaldavatele tõendavatele dokumentidele.
2. Komisjoni andmekaitseametnik võib taotleda piirangute läbivaatamist. Andmekaitseametnikule tuleb taotletud läbivaatamise tulemustest teatada.
3. Kogu menetluse vältel toimuv teabevahetus andmekaitseametnikuga dokumenteeritakse asjakohases vormis.
Artikkel 9
Käesolev otsus jõustub kolmandal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Brüssel, 7. veebruar 2019
Komisjoni nimel
president
Jean-Claude JUNCKER
(1) Komisjoni 13. märtsi 2015. aasta otsus (EL, Euratom) 2015/443 komisjoni julgeoleku kohta (ELT L 72, 17.3.2015, lk 41).
(2) Toimikute säilitamine komisjonis on reguleeritud üldise säilitustähtaegade loeteluga, mis on loetelu vormis regulatiivne dokument, mille viimane versioon on avaldatud numbri SEC(2012) 713 all. Sellega on kehtestatud komisjoni eri liiki toimikute säilitustähtajad.
(3) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39).
(4) Euroopa Parlamendi ja nõukogu 11. mai 2016. aasta määrus (EL) 2016/794, mis käsitleb Euroopa Liidu Õiguskaitsekoostöö Ametit (Europol) ning millega asendatakse ja tunnistatakse kehtetuks nõukogu otsused 2009/371/JSK, 2009/934/JSK, 2009/935/JSK, 2009/936/JSK ja 2009/968/JSK (ELT L 135, 24.5.2016, lk 53).
(5) Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1).
(6) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).
(7) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89).