|
26.1.2021 |
ET |
Euroopa Liidu Teataja |
L 26/116 |
VÄIKESTE JA KESKMISE SUURUSEGA ETTEVÕTJATE RAKENDUSAMETI JUHTKOMITEE OTSUS
sise-eeskirjade kohta, milles käsitletakse andmesubjektide teatavate õiguste piiramist seoses isikuandmete töötlemisega rakendusameti tegevuse raames
JUHTKOMITEE,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 249 lõiget 1,
võttes arvesse Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrust (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (1) (edaspidi „määrus“), eelkõige selle artiklit 25,
võttes arvesse komisjoni 17. detsembri 2013. aasta rakendusotsust 2013/771/EL, millega asutatakse Väikeste ja Keskmise Suurusega Ettevõtjate Rakendusamet ning tunnistatakse kehtetuks otsused 2004/20/EÜ ja 2007/372/EÜ, (2)
olles konsulteerinud Euroopa Andmekaitseinspektoriga
ning arvestades järgmist:
|
(1) |
Väikeste ja Keskmise Suurusega Ettevõtjate Rakendusamet (EASME) (edaspidi „amet“) loodi rakendusotsusega 2013/771/EL täitma liidu programmide rakendamisega seotud ülesandeid energia, keskkonna, kliimameetmete, konkurentsivõime ning väikeste ja keskmise suurusega ettevõtjate, teadusuuringute ja innovatsiooni ning info- ja kommunikatsioonitehnoloogia valdkondades (3). |
|
(2) |
Oma haldus- ja operatiivtegevuse raames võib amet viia läbi haldusjuurdlusi, distsiplinaarmenetluste eelmenetlusi, distsiplinaarmenetlusi ja ametist kõrvaldamise menetlusi kooskõlas Euroopa Liidu ametnike personalieeskirjade ja Euroopa Liidu muude teenistujate teenistustingimustega, mis on sätestatud nõukogu määruses (EMÜ, Euratom, ESTÜ) nr 259/68 (edaspidi „personalieeskirjad“) (4), ning haldusjuurdluste ja distsiplinaarmenetluste läbiviimise rakendussätetega. Vajaduse korral võib amet viia läbi võimalike pettuste ja õigusnormide rikkumiste juhtumitega seotud eeltoiminguid ja võib teatada juhtumitest Euroopa Pettustevastasele Ametile. |
|
(3) |
Ameti töötajad on kohustatud teatama liidu huve kahjustavast võimalikust ebaseaduslikust tegevusest, sh pettusest ja korruptsioonist. Samuti on töötajad kohustatud teatama töökohustuste täitmata jätmisest, mis võib olla liidu ametnike kohustuste oluline eiramine. See on reguleeritud rikkumisest teatamist käsitlevate asutusesiseste eeskirjade või põhimõtetega. |
|
(4) |
Amet on kehtestanud põhimõtted tegelike ja potentsiaalsete psühholoogilise või seksuaalse ahistamise juhtumite ennetamiseks ja tõhusaks käsitlemiseks töökohal, mis on ette nähtud personalieeskirjadest tulenevate rakendusmeetmetega ning millega luuakse mitteametlik menetlus, mille alusel väidetav ahistamise ohver võib võtta ühendust ameti usaldusnõunikega. |
|
(5) |
Samuti võib amet teha (IT) turvalisust ning ELi salastatud teabe turvaeeskirjade võimalikke rikkumisi käsitlevaid sisejuurdlusi. |
|
(6) |
Ameti tegevuste suhtes kohaldatakse nii sise- kui ka välisauditeid, mida teevad muuhulgas Euroopa Komisjoni siseauditi talitus ning Euroopa Kontrollikoda. |
|
(7) |
Amet võib tegeleda Euroopa Prokuratuuri päringutega, ameti töötajate haiguslugudele juurdepääsu päringutega ning viia läbi andmekaitseametniku uurimisi kooskõlas määruse artikli 45 lõikega 2. |
|
(8) |
Haldusjuurdluste, auditite, uurimistega ja päringutega seoses teeb amet koostööd muude liidu institutsioonide, organite, asutuste ja ametitega. |
|
(9) |
Amet võib teha koostööd kolmandate riikide ametiasutuste ja rahvusvaheliste organisatsioonidega nii nende taotluse korral kui ka omal algatusel. |
|
(10) |
Amet võib teha koostööd ka ELi liikmesriikide ametiasutustega nii nende asutuste taotluse korral kui ka omal algatusel. |
|
(11) |
Ameti suhtes võidakse esitada kaebusi või alustada menetlusi või uurimisi kas rikkumisest teatajate või Euroopa Ombudsmani kaudu. |
|
(12) |
Amet osaleb Euroopa Liidu Kohtu kohtuasjades, kui ta ise pöördub Euroopa Liidu Kohtusse, kaitseb oma otsust, mis on Euroopa Liidu Kohtusse kaevatud, või sekkub juhtumite puhul, mis on tema ülesannete suhtes asjakohased. Sellega seoses võib ametil olla vaja tagada, et osapoolte või menetlusse astujate saadud dokumentides sisalduvad isikuandmed jääksid konfidentsiaalseks. |
|
(13) |
Amet töötleb enda tegevustega seoses mitmeid isikuandmete kategooriaid, sealhulgas füüsiliste isikute identimisandmeid, kontaktandmeid, teavet ametialaste ülesannete ja kohustuste kohta, teavet eraelulise ja professionaalse käitumise ja tulemuslikkuse kohta ning finantsandmeid ja teatud erijuhtudel tundlikke andmeid (näiteks terviseandmeid). Isikuandmete hulka kuuluvad nn kindlad faktilised andmed ja nn pehmed hinnangulised andmed. Nn Kindlad andmed on objektiivsed faktilised andmed nagu identimisandmed, kontaktandmed, ametialased andmed, haldusotstarbelised üksikasjad, elektroonilise sidega seotud metaandmed ja andmeliiklusandmed. Nn pehmed andmed on subjektiivsed andmed ning hõlmavad eelkõige olukordade ja asjaolude kirjeldust ja hinnangut, arvamusi, andmesubjektidega seotud tähelepanekuid, andmesubjektide tegevuse ja töötulemuste hinnanguid ning üksikotsuste aluseks olevaid põhjendusi, mis seonduvad või on esitatud seoses ameti menetluse või tegevuse raames käsitletava küsimusega kooskõlas kehtiva õigusraamistikuga. Hinnanguid, tähelepanekuid ja arvamusi käsitletakse määruse artikli 3 lõike 1 tähenduses isikuandmetena. |
|
(14) |
Määruse kohaselt on amet seega kohustatud andma andmesubjektidele teavet selliste töötlemistoimingute kohta ja austama nende kui andmesubjektide õigusi. |
|
(15) |
Amet on kohustatud austama võimalikult suures ulatuses andmesubjektide põhiõigusi, eelkõige õigust teabele, õigust tutvuda andmetega ning õigust nõuda andmete parandamist, kustutamist, andmete töötlemise piiramist, andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning side konfidentsiaalsust, nagu on sätestatud määruses. Ametil võib siiski olla vaja piirata andmesubjektide õigusi ja kohustusi, et kaitsta oma tegevusi ning teiste põhiõigusi ja -vabadusi. |
|
(16) |
Seetõttu annavad määruse artikli 25 lõiked 1 ja 5 ametile võimaluse piirata teatavatel tingimustel määruse artiklite 14–22, 35 ja 36 ning samuti artikli 4 kohaldamist, kui selle sätted vastavad artiklites 14–20 sätestatud õigustele ja kohustustele, põhinevad ameti kõrgeimal juhtimistasandil kehtestatavatel sise-eeskirjadel ja avaldatakse Euroopa Liidu Teatajas, juhul, kui need ei põhine aluslepingute alusel vastu võetud õigusaktidel. |
|
(17) |
Piiranguid võidakse kohaldada erinevatele andmesubjektide õigustele, sealhulgas andmesubjektide õigust teabele, õigust tutvuda andmetega ning õigust nõuda andmete parandamist, kustutamist, andmete töötlemise piiramist, andmesubjekti isikuandmetega seotud rikkumisest teavitamist ning side konfidentsiaalsust, nagu on sätestatud määruses. |
|
(18) |
Ametil võib olla vaja ühitada need õigused haldusjuurdluste, auditite, uurimiste ja kohtumenetluste eesmärkidega. Samuti võib tal olla vaja tasakaalustada andmesubjekti õigusi muude andmesubjektide põhiõiguste ja -vabaduste suhtes. |
|
(19) |
Ametil võib näiteks olla vaja piirata andmesubjekti teavitamist isikuandmete töötlemisest haldusjuurdluse esialgses hindamisetapis või juurdluse käigus enne juhtumi võimalikku lõpetamist või distsiplinaarmenetluse eeletapis. Teatavatel asjaoludel võib sellise teabe andmine oluliselt mõjutada ameti suutlikkust juurdlust tulemuslikult läbi viia, näiteks kui esineb oht, et asjaomane isik hävitab tõendid või mõjutab võimalikke tunnistajaid enne nende küsitlemist. Ametil võib olla vaja kaitsta ka tunnistajate ja muude juhtumiga seotud isikute õigusi ja vabadusi. |
|
(20) |
Ametil võib olla vaja kaitsta anonüümseks jääda soovinud tunnistaja või rikkumisest teataja anonüümsust. Sellisel juhul võib amet piirata juurdepääsu rikkumisest teataja ja teiste asjassepuutuvate isikute või kahtlusaluse identimisandmetele, avaldustele ja muudele isikuandmetele, et kaitsta nende õigusi ja vabadusi. |
|
(21) |
Ametil võib olla vaja kaitsta ka selle töötaja konfidentsiaalset teavet, kes on ahistamismenetluse raames võtnud ühendust ameti usaldusnõunikega. Sellisel juhul võib amet otsustada piirata juurdepääsu väidetava ohvri, väidetava ahistaja ja teiste asjassepuutuvate isikute identimisandmetele, avaldustele ja muudele isikuandmetele, et kaitsta kõigi asjaomaste isikute õigusi ja vabadusi. |
|
(22) |
Personalivaliku- ja värbamismenetluse, töötajate hindamise ja riigihankemenetlustega seoses saab õigust tutvuda andmetega ning õigust nõuda andmete parandamist, kustutamist ja nende töötlemise piiramist kasutada ainult teatavatel ajahetkedel ja tingimustel, mis on sätestatud vastavates menetlustes, et kaitsta teiste andmesubjektide õigusi ning järgida võrdse kohtlemise ja nõupidamiste salajasuse põhimõtteid. |
|
(23) |
Samuti võib amet piirata üksikisikute juurdepääsu näiteks enda psühholoogilistele või psühhiaatrilistele meditsiinilistele andmetele kõnealuste andmete potentsiaalse tundlikkuse tõttu ning komisjoni meditsiiniteenistus võib soovida anda andmesubjektidele ainult kaudse juurdepääsu nende enda arsti kaudu. Andmesubjekt võib kasutada oma õigust komisjoni meditsiiniteenistuse hinnangute või arvamuste parandamisele, esitades oma märkused või tema enda valitud arsti aruande. |
|
(24) |
Amet, keda esindab direktor, on vastutav töötleja, olenemata vastutava töötleja rolli edasisest delegeerimisest ametis, et arvestada isikuandmete töötlemise konkreetsete toimingutega seotud tööülesandeid pädevate „delegeeritud vastutavate töötlejate“ puhul. |
|
(25) |
Isikuandmeid hoitakse turvaliselt elektroonilises keskkonnas, mis vastab komisjoni otsusele (EL, Euratom) 2017/46 (5), või paberil, hoides ära ebaseadusliku juurdepääsu andmetele või nende edastamise isikutele, kellel puudub teadmisvajadus. Töödeldavaid isikuandmeid ei säilitata kauem, kui see on vajalik ja asjakohane andmete töötlemise eesmärgi jaoks isikuandmete kaitse teadetes või ameti registreerimiskannetes märgitud aja jooksul. |
|
(26) |
Amet kohaldab piiranguid üksnes siis, kui need järgivad põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas rangelt vajalikud ja proportsionaalsed. Amet esitab põhjused, selgitades kõnealuste piirangute põhjendusi, ning teavitab andmesubjekte neist alustest ja nende õigusest esitada vastavalt määruse artikli 25 lõikes 6 sätestatule kaebus Euroopa Andmekaitseinspektorile. |
|
(27) |
Vastutuse põhimõtte kohaselt peab amet piirangute kohaldamist dokumenteerima. |
|
(28) |
Oma ülesannete raames muude organisatsioonidega vahetatavate isikuandmete töötlemisel konsulteerivad amet ja need organisatsioonid vastastikku piirangute kehtestamise võimalike aluste ning piirangute vajalikkuse ja proportsionaalsuse osas, kui see ei kahjusta ameti tegevust. |
|
(29) |
Sise-eeskirju kohaldatakse seega kõigi ameti isikuandmeid hõlmavate töötlemistoimingute suhtes haldusjuurdluste, distsiplinaarmenetluste, Euroopa Pettustevastasele Ametile teatatavate potentsiaalsete rikkumiste juhtumitega seotud eeltoimingute, Euroopa Prokuratuuri uurimiste, rikkumisest teatamise menetluste, (ametlike ja mitteametlike) ahistamismenetluste, ametisiseste ja -väliste kaebuste käsitlemise, enda haiguslooga tutvumise või selle parandamise taotluste, andmekaitseametniku uurimiste käigus kooskõlas määruse artikli 45 lõikega 2, asutusesiseselt või välisosalejate (näiteks CERT-EU) kaasamisel läbi viidavate (IT) turvalisuse juurdluste, auditite; Euroopa Liidu Kohtu või riiklike ametiasutuste menetluste, personalivaliku- ja värbamismenetluste, töötajate hindamiste ja riigihangete käigus, nagu on eespool loetletud. |
|
(30) |
Sise-eeskirju kohaldatakse enne eespool nimetatud menetluste algatamist, nende ajal ja menetluste tulemuste järelmeetmete kontrollimisel tehtavate töötlemistoimingute suhtes. Samuti hõlmab see abi ja koostööd, mida amet pakub teistele ELi institutsioonidele, riiklikele ametiasutustele ja rahvusvahelistele organisatsioonidele väljaspool oma haldusjuurdlusi. |
|
(31) |
Määruse artikli 25 lõike 8 kohaselt võib amet andmesubjektile piirangu kohaldamise põhjuste kohta teabe andmist edasi lükata, ära jätta või sellest keelduda, kui piirang kaotaks seeläbi oma mõju. Amet peab iga juhtumi korral eraldi hindama, kas piirangust teatamine kaotaks selle piirangu mõju. |
|
(32) |
Amet peab piirangu kohaldamise lõpetama, kui piirangu aluseks olnud tingimused enam ei kehti, ning hindama neid tingimusi korrapäraselt. |
|
(33) |
Andmesubjektide õiguste ja vabaduste parima kaitse tagamiseks ning vastavalt määruse artikli 44 lõikele 1 tuleb andmekaitseametnikuga aegsasti konsulteerida, enne mis tahes piirangute kohaldamist või läbivaatamist, ning kontrollida nende vastavust käesolevale otsusele. |
|
(34) |
Määruse artikli 16 lõikes 5 ja artikli 17 lõikes 4 on sätestatud erandid seoses andmesubjektide õigusega saada teavet ja tutvuda andmetega. Kui need erandid kehtivad, ei ole ametil tarvis kohaldada piirangut käesoleva otsuse alusel, |
ON TEINUD JÄRGMISE OTSUSE:
Artikkel 1
Otsuse ese ja kohaldamisala
1. Käesoleva otsusega kehtestatakse eeskirjad, mille alusel võib Väikeste ja Keskmise Suurusega Ettevõtjate Rakendusamet (EASME) ja tema võimalik õigusjärglane (edaspidi „amet“) vastavalt määruse artiklile 25 piirata määruse artiklite 4, 14–22, 35 ja 36 kohaldamist.
2. Ametit kui vastutavat töötlejat esindab ameti direktor, kes võib vastutava töötleja rolli edasi delegeerida.
Artikkel 2
Kohaldatavad piirangud
1. Amet võib piirata määruse artiklite 14–22, 35 ja 36 ning samuti artikli 4 kohaldamist, kui selle sätted vastavad artiklites 14–20 sätestatud õigustele ja kohustustele.
2. Käesolevat otsust kohaldatakse isikuandmete töötlemise suhtes ametis tema haldus- ja operatiivtegevuste raames:
|
a) |
vastavalt määruse artikli 25 lõike 1 punktidele b, c, f, g ja h, viies läbi sisejuurdlusi (sealhulgas ametiväliste kaebuste alusel), haldusjuurdlusi, eeldistsiplinaar-, distsiplinaar- või ametist kõrvaldamise menetlusi vastavalt personalieeskirjade artiklile 86 ja IX lisale ning nende rakenduseeskirjadele, turvalisuse juurdlusi või Euroopa Pettustevastase Ameti juurdlusi; |
|
b) |
vastavalt määruse artikli 25 lõike 1 punktile h, kui rikkumisest teatamist käsitlevate asutusesiseste eeskirjade või põhimõtete kohaselt tagatakse, et ameti töötajad saavad konfidentsiaalselt teatada nende arvates toimunud rasketest rikkumistest; |
|
c) |
vastavalt määruse artikli 25 lõike 1 punktile h, kui asutusesisestes eeskirjades määratletu kohaselt tagatakse, et ameti töötajad saavad ahistamismenetluse raames anda usaldusnõunikele teavet; |
|
d) |
vastavalt määruse artikli 25 lõike 1 punktidele c, g ja h, kui ameti tegevuse või toimimise suhtes viiakse läbi sise- või välisauditeid; |
|
e) |
vastavalt määruse artikli 25 lõike 1 punktidele d ja h, tagades turvalisuse analüüse, sealhulgas küberturvalisuse ja IT-süsteemide kuritarvitamise analüüside läbiviimist asutusesiseselt või välisosalejate (näiteks CERT-EU) kaasamisel, tagades siseturbe videovalve abil, juurdepääsu kontrolli ja uurimiseesmärgil, turvates side- ja infosüsteeme ning rakendades tehnilise turvalisusega seotud vastumeetmeid; |
|
f) |
vastavalt määruse artikli 25 lõike 1 punktidele g ja h, kui ameti andmekaitseametnik uurib otseselt enda ülesannetega seotud küsimusi; |
|
g) |
vastavalt määruse artikli 25 lõike 1 punktidele b, g ja h seoses Euroopa Prokuratuuri juurdlustega; |
|
h) |
vastavalt määruse artikli 25 lõike 1 punktile h, kui üksikisikud taotlevad juurdepääsu oma meditsiinilistele andmetele või nende parandamist, sealhulgas juhul, kui neid hoitakse komisjoni meditsiiniteenistuses; |
|
i) |
vastavalt määruse artikli 25 lõike 1 punktidele c, d, g ja h vastastikuse abi osutamisel liidu institutsioonide, organite, asutuste ja ametitega või tehes nendega koostööd käesoleva lõike punktides a–h nimetatud tegevuste osas ning nende vastavate asutamisaktide asjakohaste teenustaseme kokkulepete, vastastikuse mõistmise memorandumite ja koostöölepingute kohaselt; |
|
j) |
vastavalt määruse artikli 25 lõike 1 punktidele c, g ja h vastastikuse abi osutamisel kolmandate riikide ametiasutuste ja rahvusvaheliste organisatsioonidega või tehes selliste ametiasutuste või organisatsioonidega koostööd, kas nende taotluse korral või omal algatusel; |
|
k) |
vastavalt määruse artikli 25 lõike 1 punktidele c, g ja h vastastikuse abi osutamisel ja koostöö tegemisel ELi liikmesriikide ametiasutustega, kas nende taotluse korral või omal algatusel; |
|
l) |
vastavalt määruse artikli 25 lõike 1 punktile e, töödeldes isikuandmeid, mis on Euroopa Liidu Kohtu menetluste osapoolte või menetlusse astujate saadud dokumentides. |
Käesoleva otsuse kohaldamisel hõlmavad eespool loetletud tegevused sama tegevusega otseselt seonduvaid ettevalmistavaid ja järelmeetmeid.
3. Samuti võib amet kohaldada käesolevas otsuses viidatud andmesubjektide õiguste suhtes juhtumipõhiseid piiranguid järgmistel asjaoludel:
|
a) |
kui mõnel komisjoni teenistusel või teisel liidu institutsioonil, organil, ametil või asutusel on õigus piirata loetletud õiguste kasutamist ning selle piirangu eesmärk vastava komisjoni teenistuse, liidu institutsiooni, organi või ameti poolt satuks ohtu, kui amet ei rakenda samade isikuandmete suhtes samaväärset piirangut; |
|
b) |
kui mõnel liikmesriigi pädeval asutusel on õigus piirata loetletud õiguste kasutamist ning selle piirangu eesmärk vastava liikmesriigi asutuse poolt satuks ohtu, kui amet ei rakenda samade isikuandmete suhtes samaväärset piirangut; |
|
c) |
kui kõnealuste õiguste ja kohustuste rakendamine seaks ohtu ameti koostöö kolmandate riikide või rahvusvaheliste organisatsioonidega oma ülesannete täitmisel, välja arvatud juhul, kui andmesubjekti huvid või põhiõigused ja -vabadused on koostöövajadusest kaalukamad; |
|
d) |
enne käesoleva lõike kohaste piirangute rakendamist konsulteerib amet vajadusel asjakohaste komisjoni teenistustega, teiste liidu institutsioonide, organite, ametite, asutuste, rahvusvaheliste organisatsioonide või liikmesriikide pädevate asutustega, välja arvatud juhul, kui on selge, et piirang on ühe eespool viidatud õigusaktiga ette nähtud või see konsulteerimine ohustaks ameti tegevusi. |
4. Eespool loetletud tegevustega seotud töödeldavate isikuandmete kategooriad võivad sisaldada nn kindlaid faktilisi andmeid ja nn pehmeid hinnangulisi andmeid.
5. Mis tahes piirangud peavad järgima põhiõiguste ja -vabaduste olemust ning peavad olema demokraatlikus ühiskonnas vajalikud ja proportsionaalsed.
Artikkel 3
Piirangute dokumenteerimine ja registreerimine
1. Vastutav töötleja koostab piirangu kohta dokumendi, milles kirjeldatakse järgmist:
|
a) |
käesoleva otsuse kohaselt kohaldatud mis tahes piirangu põhjused; |
|
b) |
millised artiklis 2 loetletud alused kohalduvad; |
|
c) |
kuidas õiguse kasutamine kujutaks endast riski andmesubjektile või seaks ohtu ameti ülesannete eesmärgi või kahjustaks teiste andmesubjektide õigusi ja vabadusi; |
|
d) |
piirangu vajalikkuse ja proportsionaalsuse hindamise tulemused, võttes arvesse määruse artikli 25 lõike 2 asjakohaseid elemente. |
2. Enne piirangute kohaldamist tuleb iga juhtumi korral teha piirangu vajalikkuse ja proportsionaalsuse test. Vastutav töötleja kaalub võimalikke riske andmesubjekti õigustele ja vabadustele. Piirangud piirduvad sellega, mis on seatud eesmärkide saavutamiseks tingimata vajalik.
3. Piirangu registreerimiskanne ning (kui asjakohane) ka faktilisi ja õiguslikke asjaolusid sisaldavad tõendavad dokumendid registreeritakse. Taotluse korral tehakse need kättesaadavaks Euroopa Andmekaitseinspektorile.
Artikkel 4
Riskid andmesubjektide õigustele ja vabadustele
1. Piirangute kohaldamise tõttu andmesubjektide õigustele ja vabadustele avalduvate riskide hindamine ja kõnealuste piirangute kohaldamise periood dokumenteeritakse töötlemistoimingute registris, mida vastutav töötleja peab kooskõlas määruse artikliga 31. See teave lisatakse, kui see on asjakohane, ka määruse artikli 39 kohaselt tehtavatesse mis tahes andmekaitsealastesse mõjuhinnangutesse, mis käsitlevad neid piiranguid.
2. Kui vastutav töötleja kaalub piirangu kohaldamist, arvestab ta riski andmesubjekti õigustele ja vabadustele, eelkõige võrreldes riskiga teiste andmesubjektide õigustele ja vabadustele ning riskiga mõjutada kahjulikult uurimiste või menetluste tõhusust, näiteks tõendite hävitamisega. Riskid andmesubjekti õigustele ja vabadustele on seotud peamiselt näiteks maine kahjustamise riskiga ning kaitse ja ärakuulamise õiguse kahjustamise riskiga.
Artikkel 5
Kaitsemeetmed ja andmete säilitamise tähtajad
1. Amet võtab kasutusele konkreetsed kaitsemeetmed, et hoida ära ebaseaduslik juurdepääs sellistele isikuandmetele, mille suhtes kohaldatakse või võidakse kohaldada piiranguid, ja nende andmete kuritarvitamine. Kaitsemeetmed hõlmavad tehnilisi ja korralduslikke meetmeid ning neid kirjeldatakse vajaduse korral üksikasjalikult ameti siseotsustes, -menetlustes ja -rakenduseeskirjades. Kaitsemeetmed hõlmavad järgmist:
|
a) |
rollide, vastutusalade ja menetlusetappide selge määratlemine; |
|
b) |
asjakohasel juhul turvaline elektrooniline keskkond, millega takistatakse ebaseaduslikku või juhuslikku juurdepääsu elektroonilistele andmetele või nende edastamist volitamata isikutele; |
|
c) |
asjakohasel juhul paberdokumentide turvaline säilitamine ja töötlemine; |
|
d) |
konfidentsiaalsuskohustuste järgimise tagamine kõigi isikute puhul, kellel on isikuandmetele juurdepääs. |
2. Piirangu alla kuuluvate isikuandmete säilitamistähtaeg määratletakse määruse artikli 31 kohases seonduvas registreerimiskandes, võttes arvesse töötlemise eesmärki, ning see peab sisaldama kohtueelseks ja kohtulikuks kontrolliks vajalikku aega. Säilitamistähtaja lõppedes kõik isikuandmed kustutatakse, muudetakse anonüümseks või edastatakse arhiividesse kooskõlas määruse artikliga 13.
Artikkel 6
Piirangute kestus
1. Artiklis 2 osutatud piiranguid kohaldatakse seni, kuni kehtivad nende kehtestamise põhjused.
2. Kui piirangu põhjused enam ei kohaldu, tühistab vastutav töötleja piirangu, kui piiratud õiguse kasutamisel ei ole enam negatiivset mõju asjaomasele kohaldatavale menetlusele või see ei kahjustaks teiste andmesubjektide õigusi ja vabadusi.
3. Kui andmesubjekt on taotlenud uuesti juurdepääsu asjaomastele isikuandmetele, esitab vastutav töötleja andmesubjektile peamised piirangu põhjused. Samal ajal teavitab amet andmesubjekti võimalusest esitada millal tahes kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.
4. Amet vaatab artiklis 2 osutatud piirangute kohaldamise läbi iga kuue kuu järel.
Artikkel 7
Andmekaitseametniku kaasamine
1. Ameti vastutav töötleja teavitab ameti andmekaitseametnikku ilma põhjendamatu viivituseta ja enne käesoleva otsuse kohast andmesubjekti õiguste piiramise või piirangu kohaldamise pikendamise otsuse tegemist. Vastutav töötleja annab andmekaitseametnikule juurdepääsu asjakohastele registrikannetele ja mis tahes dokumentidele faktiliste ja õiguslike asjaolude kohta.
2. Andmekaitseametnik võib vastutavalt töötlejalt taotleda piirangu kohaldamise läbivaatamist. Vastutav töötleja teavitab andmekaitseametnikku kirjalikult läbivaatamise tulemustest.
3. Vastutav töötleja dokumenteerib andmekaitseametniku osalemise piirangu kohaldamises, sh temaga jagatava teabe. Käesoleva artikli kohased dokumendid on osa piiranguga seotud registreerimiskandest ja tehakse taotluse korral Euroopa Andmekaitseinspektorile kättesaadavaks.
Artikkel 8
Andmesubjektile antav teave tema õiguste piiramise kohta
1. Vastutav töötleja lisab enda veebilehele ja intranetis avaldatavatele andmekaitseteadetele ja määruse artikli 31 kohastele registreerimiskannetele üldise teabe võimalike andmesubjektide õiguste piirangute kohta vastavalt käesoleva otsuse artikli 2 lõikele 2. Teave peab sisaldama seda, mis õigusi ja kohustusi võidakse piirata, põhjusi, miks piiranguid võidakse kohaldada, ja piirangute võimalikku kestust.
2. Vastutav töötleja teavitab andmesubjekte ilma põhjendamatu viivituseta nende õiguste praegustest või tulevastest piirangutest, saates neile selle kohta individuaalse kirjaliku teate. Vastutav töötleja teavitab andmesubjekti piirangu kohaldamise peamistest põhjustest, tema õigusest pöörduda piirangu vaidlustamiseks andmekaitseametniku poole ja õigusest esitada kaebus Euroopa Andmekaitseinspektorile.
3. Vastutav töötleja võib piirangu põhjusi ja Euroopa Andmekaitseinspektorile kaebuse esitamise õigust käsitleva teabe andmist edasi lükata, selle esitamata jätta või selle esitamisest keelduda, kui piirang kaotaks seeläbi oma mõju. Kõnealuse põhjenduse hindamine toimub juhtumipõhiselt ning vastutav töötleja esitab teabe andmesubjektile niipea, kui piirang ei kaotaks seeläbi oma mõju.
Artikkel 9
Andmesubjekti õigus tutvuda andmetega
1. Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib vastutav töötleja piirata määruse artikli 17 kohast õigust andmetega tutvuda, kui see on otsusest tulenevate tegevustega seoses vajalik ja proportsionaalne.
2. Kui andmesubjekt taotleb juurdepääsu oma isikuandmetele, mida töödeldakse seoses käesoleva otsuse artikli 2 lõikes 2 osutatud konkreetse töötlemistoiminguga, on amet oma vastuses kõnealuse tegevuse jaoks töödeldud isikuandmetega piiratud.
3. Andmesubjektide õigusi tutvuda vahetult psühholoogilist või psühhiaatrilist laadi dokumentidega võidakse piirata. Käesolevate sise-eeskirjadega ei piirata kaudset juurdepääsu ega õigust isikuandmete parandamisele või isikuandmetega seotud rikkumisest teavitamisele. Seetõttu tuleks anda vahendavale arstile asjaomase üksikisiku taotluse korral juurdepääs kogu seonduvale teabele ja kaalutlusõigus selle üle, kuidas ja millist juurdepääsu andmesubjektile anda.
4. Kui vastutav töötleja piirab täielikult või osaliselt määruse artiklis 17 osutatud isikuandmetega tutvumise õigust, teatab ta asjaomasele andmesubjektile saadetavas vastuses juurdepääsutaotlusele kirjalikult kohaldatud piirangust ja selle peamistest põhjustest ning võimalusest esitada kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.
5. Vastavalt määruse artikli 25 lõikele 8 võib juurdepääsu piirangut puudutava teabe esitamist edasi lükata, ära jätta või sellest keelduda, kui piirang kaotaks sellega mõju.
6. Käesoleva artikli kohast piirangut kohaldatakse vastavalt käesolevale otsusele.
Artikkel 10
Andmete parandamise, kustutamise ning töötlemise piiramise õigus
1. Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib vastutav töötleja piirata määruse artikli 18, artikli 19 lõike 1 ja artikli 20 lõike 1 kohaseid õigusi andmeid parandada ja kustutada ning andmete töötlemist piirata, kui see on käesoleva otsuse artikli 2 lõike 2 kohaste tegevustega seoses vajalik ja asjakohane.
2. Seoses meditsiiniliste andmetega võib andmesubjekt kasutada oma õigust komisjoni meditsiiniteenistuse hinnangu või arvamuse parandamisele, esitades oma märkused või tema enda valitud arsti aruande vahetult komisjoni meditsiiniteenistusele.
3. Käesoleva artikli kohast piirangut kohaldatakse vastavalt käesolevale otsusele.
Artikkel 11
Andmesubjekti teavitamine isikuandmetega seotud rikkumisest
1. Kui vastutav töötleja on määruse artikli 35 lõike 1 alusel kohustatud teavitama andmesubjekti isikuandmetega seotud rikkumisest, võib ta erandjuhtudel osaliselt või täielikult piirata sellise teabe andmist. Sel juhul dokumenteerib ta teatises piirangu põhjused, piirangu kohaldamise õigusliku aluse kooskõlas artikliga 2 ning hinnangu selle vajalikkusele ja proportsionaalsusele. See teatis esitatakse Euroopa Andmekaitseinspektorile isikuandmetega seotud rikkumisest teatamisel.
2. Kui piirangut õigustanud põhjused enam ei kehti, teavitab amet asjaomast andmesubjekti isikuandmetega seotud rikkumisest, piirangu peamistest põhjustest ja tema õigusest esitada kaebus Euroopa Andmekaitseinspektorile.
Artikkel 12
Elektroonilise side konfidentsiaalsus
1. Erandjuhtudel võib amet piirata määruse artiklis 36 sätestatud õigust elektroonilise side konfidentsiaalsusele. Sellised piirangud peavad olema kooskõlas Euroopa Parlamendi ja nõukogu direktiiviga 2002/58/EÜ.
2. Ilma et see piiraks artikli 8 lõike 3 kohaldamist, teavitab amet juhul, kui ta piirab õigust elektroonilise side konfidentsiaalsusele, asjaomast andmesubjekti oma vastuses andmesubjekti mis tahes taotlusele piirangu kohaldamise peamistest põhjustest ja tema õigusest esitada kaebus Euroopa Andmekaitseinspektorile.
Artikkel 13
Jõustumine
Käesolev otsus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Brüssel, 9. november 2020
EASME juhtkomitee nimel
(allkirjastatud digitaalselt)
eesistuja
Kristin SCHREIBER
(1) ELT L 295, 21.11.2018, lk 39.
(2) Komisjoni 17. detsembri 2013. aasta rakendusotsus 2013/771/EL, millega asutatakse Väikeste ja Keskmise Suurusega Ettevõtjate Rakendusamet ning tunnistatakse kehtetuks otsused 2004/20/EÜ ja 2007/372/EÜ (ELT L 341, 18.12.2013, lk 73), ning Väikeste ja Keskmise Suurusega Ettevõtjate Rakendusameti (EASME) finantsaruanne, mida on muudetud EASME 2. oktoobri 2014. aasta finantsaruandega.
(3) Komisjoni 23. detsembri 2013. aasta otsus C(2013) 9414, millega Väikeste ja Keskmise Suurusega Ettevõtjate Rakendusametile delegeeritakse volitused täita liidu programmide rakendamisega seotud ülesandeid energia, keskkonna ja kliimameetmete, konkurentsivõime ja VKEde, teadusuuringute ja innovatsiooni, IKT valdkonnas, eelkõige volitus kasutada liidu üldeelarvesse kantud assigneeringuid (viimati muudetud komisjoni 30. aprilli 2019. aasta otsusega C(2019) 3353 ning selle lisaga).
(4) Nõukogu 29. veebruari 1968. aasta määrus (EMÜ, Euratom, ESTÜ) nr 259/68, millega kehtestatakse Euroopa ühenduste ametnike personalieeskirjad ja muude teenistujate teenistustingimused ning komisjoni ametnike suhtes ajutiselt kohaldatavad erimeetmed (EÜT L 56, 4.3.1968, lk 1).
(5) Komisjoni 10. jaanuari 2017. aasta otsus (EL, Euratom) 2017/46 Euroopa Komisjoni side- ja infosüsteemide turvalisuse kohta (ELT L 6, 11.1.2017, lk 40).