Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32018D1961

    Komission päätös (EU) 2018/1961, annettu 11 päivänä joulukuuta 2018, sisäistä tarkastustoimintaa varten suoritettua henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta

    C/2018/8587

    EUVL L 315, 12.12.2018, p. 35–40 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/dec/2018/1961/oj

    12.12.2018   

    FI

    Euroopan unionin virallinen lehti

    L 315/35


    KOMISSION PÄÄTÖS (EU) 2018/1961,

    annettu 11 päivänä joulukuuta 2018,

    sisäistä tarkastustoimintaa varten suoritettua henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta

    KOMISSIO, joka

    ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 249 artiklan 1 kohdan,

    sekä katsoo seuraavaa:

    (1)

    Euroopan parlamentin ja neuvoston asetuksessa (EU, Euratom) 2018/1046 (1) edellytetään, että kukin unionin toimielin perustaa sisäisen tarkastuksen tehtävän, jota on hoidettava kansainvälisten standardien mukaisesti. Komissiossa sisäistä tarkastustoimintaa hoitaa sisäisen tarkastuksen toimiala, jäljempänä ’sisäinen tarkastus’, joka perustettiin 11 päivänä huhtikuuta 2000. Sisäinen tarkastus suorittaa sisäistä tarkastustoimintaa myös unionin erillisvirastoissa ja muissa riippumattomissa elimissä, joita rahoitetaan unionin talousarviosta.

    (2)

    Sisäinen tarkastus suorittaa sisäistä tarkastustoimintaa asetuksen (EU, Euratom) 2018/1046 117–123 artiklan ja sen tehtävää koskevan perussäännön (2) mukaisesti. Tältä osin sisäinen tarkastus on täysin riippumaton, ja sillä on täysi ja rajoittamaton pääsy kaikkiin sen sisäisen tarkastustoiminnan suorittamisen yhteydessä tarvittaviin tietoihin, jotka liittyvät unionin kyseisen toimielimen kaikkiin toimintoihin ja osastoihin.

    (3)

    Asetuksen (EU, Euratom) 2018/1046 117–123 artiklan mukaisesti sisäinen tarkastus neuvoo muita komission osastoja, toimeenpanovirastoja sekä unionin erillisvirastoja ja muita unionin talousarviosta rahoitusta saavia riippumattomia elimiä riskienhallinnassa eli tapahtumissa tai ongelmissa, joita voi esiintyä ja jotka voivat vaikuttaa kielteisesti komission poliittisen, strategisen ja toiminnallisen tavoitteen saavuttamiseen, antamalla riippumattomia lausuntoja hallinnointi- ja valvontajärjestelmien laadusta sekä suosituksia toimintojen toteuttamisedellytysten parantamiseksi ja moitteettoman varainhoidon edistämiseksi. Sen vuoksi sisäisen tarkastuksen suorittaman sisäisen tarkastustoiminnan kohteena eivät yleensä ole luonnolliset henkilöt. Sen toiminnan yhteydessä käsitellään kuitenkin väistämättä Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (3) 3 artiklan 1 kohdassa tarkoitettuja henkilötietoja. Sisäisen tarkastuksen suorittaman sisäisen tarkastustoiminnan yhteydessä arvioidaan sisäisten hallinnointijärjestelmien asianmukaisuutta ja vaikuttavuutta sekä osastojen toiminnan tuloksellisuutta toimintapolitiikkojen, ohjelmien ja toimien toteuttamisessa sekä kuhunkin talousarvion toteuttamistoimeen sovellettavien sisäisen valvonnan ja tarkastuksen järjestelmien tehokkuutta ja vaikuttavuutta. Sen vuoksi sisäinen tarkastustoiminta myötävaikuttaa unionin ja jäsenvaltioiden tärkeiden taloudellisten ja rahoitusta koskevien etujen turvaamiseen. Sisäinen tarkastus on varainhoitoasetuksen 118 artiklan ja 119 artiklan 2 kohdan mukaisesti suorittamiensa käsittelytoimien rekisterinpitäjä.

    (4)

    Komissiossa ja sen toimeenpanovirastoissa sekä unionin erillisvirastoissa ja muissa riippumattomissa elimissä suoritettava sisäinen tarkastustoiminta vaihtelee muodoltaan ja sisällöltään siten, että siihen kuuluu esimerkiksi varmennustehtäviä (riskinarviointi mukaan luettuna) ja konsultointitehtäviä, rajoitettuja tarkastuksia ja seurantatarkastuksia.

    (5)

    Sisäisen tarkastuksen seurantakomitea on sen tehtävää koskevan, 21 päivänä marraskuuta 2018 päivitetyn perussäännön (C(2018) 7707) mukaan neuvoa-antava elin (4), joka avustaa komissiota perussopimuksista ja muista säädöksistä [asetus (EU, Euratom) 2018/1046] johtuvien velvoitteidensa täyttämisessä varmistamalla sisäisen tarkastuksen riippumattomuuden, valvomalla sisäisen tarkastustyön laatua ja varmistamalla, että komission yksiköt ottavat asianmukaisesti huomioon sisäiset ja ulkoiset tarkastussuositukset ja että suosituksiin kohdistetaan asianmukaista seurantaa. Tällä tavoin sisäisen tarkastuksen seurantakomitea edistää osaltaan komission toiminnan tehokkuuden ja vaikuttavuuden yleistä paranemista sen pyrkiessä saavuttamaan tavoitteensa ja helpottaa kollegion harjoittamaa komission hallinnon, riskinhallinnan ja sisäisen valvonnan käytäntöjen valvontaa. Sisäisen tarkastuksen seurantakomitea on varainhoitoasetuksen 123 artiklan mukaisesti suorittamiensa käsittelytoimien rekisterinpitäjä.

    (6)

    Sekä omasta aloitteestaan että saatujen tietojen perusteella toimiessaan komissio käsittelee asetuksen (EU, Euratom) 2018/1046 118 artiklan ja 119 artiklan 2 kohdan mukaista toimintaansa varten henkilötietoja, jotka on hankittu tai saatu oikeushenkilöiltä, luonnollisilta henkilöiltä, jäsenvaltioilta ja kansainvälisiltä elimiltä ja järjestöiltä. Sisäinen tarkastus voi käsitellä tällaisen sisäisen tarkastustoiminnan yhteydessä myös henkilötietoja, jotka on hankittu tai saatu yleisesti saatavilla olevista lähteistä, nimettömistä tai tunnistetuista lähteistä, joiden henkilöllisyyttä on suojattava.

    (7)

    Komissio voi puolestaan vaihtaa henkilötietoja unionin toimielinten, elinten, toimistojen ja virastojen kanssa, jäsenvaltioiden toimivaltaisten viranomaisten kanssa ja komission kannalta merkityksellisten kansainvälisten sopimusten tai yhteistyösopimusten puitteissa kolmansien maiden ja kansainvälisten järjestöjen kanssa.

    (8)

    Asetuksen (EU) 2018/1725 3 artiklan 3 kohdassa tarkoitettu henkilötietojen käsittely, jota tehdään sisäisen tarkastustoiminnan yhteydessä, saattaa alkaa jo ennen kuin komissio virallisesti aloittaa sen ja jatkua koko sisäisen tarkastustoiminnan suorittamisen ajan sekä mahdollisesti vielä sen virallisen päättämisen jälkeenkin esimerkiksi suositusten täytäntöönpanon seurannan tai uusien sisäisten tarkastustoimintojen käynnistämistarpeen arviointia varten.

    (9)

    Komission käsittelemät henkilötietoryhmät ovat esimerkiksi tunnistetietoja, yhteystietoja, työhön tai ammattiin liittyviä tietoja tai tietoja, jotka liittyvät toiminnan aiheeseen. Nämä henkilötietoryhmät säilytetään suojatussa sähköisessä ympäristössä, jotta estetään lainvastainen pääsy tietoihin ja niiden lainvastainen siirtäminen henkilöille, joilla ei ole tiedonsaantitarvetta. Henkilötietoja säilytetään enintään kymmenen vuoden ajan. Säilyttämisajan päätyttyä sisäistä tarkastustoimintaa koskevat tiedot, myös henkilötiedot, siirretään komission historiallisiin arkistoihin (5) tai tuhotaan.

    (10)

    Komissio on sisäistä tarkastustoimintaa suorittaessaan sitoutunut kunnioittamaan henkilötietojen käsittelyyn liittyviä luonnollisten henkilöiden oikeuksia, jotka tunnustetaan Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdassa ja perussopimuksen 16 artiklan 1 kohdassa, sekä asetuksessa (EU) 2018/1725 säädettyjä oikeuksia. Samalla komissio noudattaa asetuksen (EU, Euratom) 2018/1046 117 artiklan mukaisesti tiukkoja salassapitosuojaa koskevia sääntöjä, joihin viitataan sisäistä tarkastusta koskevissa kansainvälisissä standardeissa.

    (11)

    Tietyissä olosuhteissa on tarpeen sovittaa yhteen asetuksen (EU) 2018/1725 mukaiset rekisteröityjen oikeudet sekä sisäisen tarkastustoiminnan tarpeet, luonnollisten henkilöiden ja oikeushenkilöiden kanssa tapahtuvan tietojenvaihdon luottamuksellisuus ja muiden rekisteröityjen perusoikeuksien ja -vapauksien täysi kunnioittaminen. Tätä varten asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, g ja h alakohdassa annetaan sisäiselle tarkastukselle mahdollisuus rajoittaa kyseisen asetuksen 14–17, 19, 20 ja 35 artiklan soveltamista sekä 4 artiklan 1 kohdan a alakohdassa säädetyn läpinäkyvyyden periaatteen soveltamista siltä osin kuin rajoituksia koskevan päätöksen säännökset vastaavat 14–17, 19, 20 ja 35 artiklassa säädettyjä oikeuksia ja velvollisuuksia.

    (12)

    Jotta voidaan varmistaa sisäisen tarkastustoiminnan vaikuttavuus ja noudattaa samalla henkilötietojen suojaa koskevia normeja asetuksen (EU) 2018/1725 (jolla korvattiin Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001 (6)) mukaisesti, on tarpeen hyväksyä sisäiset säännöt, joiden nojalla komissio voi rajoittaa rekisteröityjen oikeuksia asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, g ja h alakohdan mukaisesti.

    (13)

    Sisäisten sääntöjen olisi katettava kaikki käsittelytoimet, joita komissio toteuttaa suorittaessaan sisäistä tarkastustoimintaansa joko omasta aloitteestaan tai saatujen tietojen perusteella aina, kun rekisteröityjen oikeuksien käyttäminen voi vaarantaa sisäisen tarkastustoiminnan suorittamisen. Näitä sääntöjä olisi sovellettava käsittelytoimiin, joita toteutetaan ennen tarkastustehtävän virallista aloittamista, tehtävän aikana sekä sen tuloksista johtuvien jatkotoimien seurannan aikana.

    (14)

    Asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan noudattamiseksi komission olisi tiedotettava kaikille yksityishenkilöille verkkosivustollaan julkaistavilla tietosuojaselosteilla läpinäkyvästi ja johdonmukaisesti henkilötietojen käsittelyä koskevista toimistaan ja yksityishenkilöiden oikeuksista. Tarvittaessa komission olisi annettava lisätakeita sen varmistamiseksi, että rekisteröidyille ilmoitetaan kyseisistä toimista ja oikeuksista henkilökohtaisesti asianmukaisessa muodossa.

    (15)

    Komissio voi asetuksen (EU) 2018/1725 25 artiklan nojalla myös rajoittaa tietojen antamista rekisteröidyille ja rekisteröityjen muiden oikeuksien soveltamista suojatakseen omaa sisäistä tarkastustoimintaansa, jäsenvaltioiden viranomaisten tarkastuksia, tarkastusvälineitä ja -menettelyjä sekä sisäiseen tarkastustoimintaansa liittyvien muiden henkilöiden oikeuksia.

    (16)

    Tehokkaan yhteistyön ylläpitämiseksi komission voi olla tarpeen rajoittaa rekisteröityjen oikeuksien soveltamista komission yksiköiden tai unionin muiden toimielinten, elinten, toimistojen ja virastojen taikka jäsenvaltioiden viranomaisten ja kansainvälisten järjestöjen sekä sisäisen tarkastuksen seurantakomitean käsittelytoimien suojaamiseksi. Tätä varten komission olisi kuultava näitä yksikköjä, toimielimiä, elimiä, toimistoja, virastoja, viranomaisia ja järjestöjä sekä sisäisen tarkastuksen seurantakomiteaa rajoitusten asettamisen perusteista sekä rajoitusten tarpeellisuudesta ja oikeasuhteisuudesta.

    (17)

    Komission saattaa olla tarpeen rajoittaa myös tietojen antamista rekisteröidyille ja rekisteröityjen muiden oikeuksien käyttöä, joka liittyy kolmansista maista tai kansainvälisiltä järjestöiltä saatuihin henkilötietoihin, jotta se kykenee tekemään yhteistyötä kyseisten maiden tai järjestöjen kanssa ja näin turvaamaan unionin tärkeän yleisen edun mukaisen tavoitteen. Joissakin tapauksissa rekisteröidyn edut tai perusoikeudet saattavat kuitenkin painaa enemmän kuin kansainvälisen yhteistyön intressit.

    (18)

    Komission olisi käsiteltävä kaikki rajoitukset läpinäkyvästi ja rekisteröitävä kaikki tapaukset, joissa rajoituksia sovelletaan, vastaavaan rekisteröintijärjestelmään.

    (19)

    Rekisterinpitäjät voivat asetuksen (EU) 2018/1725 25 artiklan 8 kohdan nojalla lykätä rajoituksen soveltamisen syitä koskevaa ilmoitusta rekisteröidylle, jättää sen tekemättä tai evätä sen, jos tietojen antaminen vaarantaisi jollakin tavoin rajoituksen tarkoituksen. Tämä koskee etenkin asetuksen (EU) 2018/1725 16 ja 35 artiklassa tarkoitettuja oikeuksia koskevia rajoituksia.

    (20)

    Jos rajoitetaan rekisteröityjen muita oikeuksia, sisäisen tarkastuksen rekisterinpitäjän olisi arvioitava tapauskohtaisesti, vaarantaisiko rajoituksesta ilmoittaminen sen tarkoituksen.

    (21)

    Euroopan komission tietosuojavastaavan olisi tehtävä riippumaton arviointi rajoitusten soveltamisesta, jotta voidaan varmistaa tämän päätöksen noudattaminen.

    (22)

    Asetuksella (EU) 2018/1725 korvataan asetus (EY) N:o 45/2001 voimaantulopäivästään alkaen ilman siirtymäaikaa. Asetuksessa (EY) N:o 45/2001 säädettiin mahdollisuudesta soveltaa rajoituksia tiettyihin oikeuksiin. Jotta sisäisen tarkastustoiminnan lainmukaisuus ei vaarantuisi, tätä päätöstä olisi sovellettava asetuksen (EU) 2018/1725 voimaantulopäivästä.

    (23)

    Euroopan tietosuojavaltuutettu antoi lausunnon 27 päivänä marraskuuta 2018,

    ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

    1 artikla

    Kohde ja soveltamisala

    1.   Tässä päätöksessä vahvistetaan säännöt, joita komissio noudattaa ilmoittaessaan rekisteröidyille, että heidän tietojaan käsitellään asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan mukaisesti komission asetuksen (EU, Euratom) 2018/1046 117–123 artiklan mukaisesti toteuttaman sisäisen tarkastustoiminnan yhteydessä.

    Siinä vahvistetaan myös edellytykset, joiden täyttyessä komissio voi rajoittaa asetuksen (EU) 2018/1725 4, 14–17, 19, 20 ja 35 artiklan soveltamista mainitun asetuksen 25 artiklan 1 kohdan c, g ja h alakohdan mukaisesti.

    2.   Tätä päätöstä sovelletaan komission suorittamaan henkilötietojen käsittelyyn, joka tehdään sellaista toimintaa varten tai sellaisen toiminnan yhteydessä, jota komissio toteuttaa asetuksen (EU, Euratom) 2018/1046 118 artiklan ja 119 artiklan 2 kohdassa tarkoitettujen tehtäviensä hoitamiseksi.

    3.   Tätä päätöstä sovelletaan henkilötietojen käsittelyyn komissiossa siltä osin kuin komissio käsittelee henkilötietoja, jotka sisältyvät tietoihin, joita sen on käsiteltävä tässä artiklassa tarkoitettua toimintaa varten tai sen yhteydessä.

    2 artikla

    Sovellettavat poikkeukset ja rajoitukset

    1.   Komissio harkitsee asetuksen (EU) 2018/1725 mukaisiin rekisteröityjen oikeuksiin liittyviä tehtäviään hoitaessaan, sovelletaanko jotakin mainitussa asetuksessa säädetyistä poikkeuksista.

    2.   Jollei tämän päätöksen 3–7 artiklasta muuta johdu, komissio voi rajoittaa asetuksen (EU) 2018/1725 14–17, 19, 20 ja 35 artiklan soveltamista sekä kyseisen asetuksen 4 artiklan 1 kohdan a alakohdassa mainitun läpinäkyvyysperiaatteen soveltamista, siltä osin kuin rajoituksia koskevan päätöksen säännökset vastaavat kyseisen asetuksen 14–17, 19, 20 ja 35 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisten oikeuksien ja velvollisuuksien toteuttaminen vaarantaisi asetuksen (EU, Euratom) 2018/1046 118 artiklan ja 119 artiklan 2 kohdan mukaisen komission toiminnan tarkoituksen, myös tarkastusvälineiden ja -menetelmien paljastumisen vuoksi, tai vaikuttaisi haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.

    3.   Jollei 3–7 artiklasta muuta johdu, komissio voi rajoittaa tämän artiklan 2 kohdassa tarkoitettuja oikeuksia ja velvollisuuksia siltä osin kuin on kyse henkilötiedoista, jotka on saatu unionin muilta toimielimiltä, elimiltä, virastoilta ja toimistoilta, jäsenvaltioiden tai kolmansien maiden toimivaltaisilta viranomaisilta tai kansainvälisiltä järjestöiltä, seuraavissa tilanteissa:

    a)

    unionin muut toimielimet, elimet, virastot ja toimistot voisivat rajoittaa kyseisten oikeuksien ja velvollisuuksien toteuttamista muiden asetuksen (EU) 2018/1725 25 artiklassa tarkoitettujen säädösten nojalla tai mainitun asetuksen IX luvun tai Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794 (7) tai neuvoston asetuksen (EU) 2017/1939 (8) mukaisesti;

    b)

    jäsenvaltioiden toimivaltaiset viranomaiset voisivat rajoittaa kyseisten oikeuksien ja velvollisuuksien toteuttamista Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (9) 23 artiklassa tarkoitettujen säädösten tai sellaisten kansallisten toimenpiteiden nojalla, joilla Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (10) 13 artiklan 3 kohta, 15 artiklan 3 kohta tai 16 artiklan 3 kohta saatetaan osaksi kansallista lainsäädäntöä;

    c)

    kyseisten oikeuksien tai velvollisuuksien toteuttaminen voisi vaarantaa komission yhteistyön kolmansien maiden tai kansainvälisten järjestöjen kanssa sisäisen tarkastustoiminnan suorittamisen yhteydessä.

    Ennen kuin komissio soveltaa rajoituksia ensimmäisen alakohdan a ja b alakohdassa mainituissa tilanteissa, se kuulee asianomaisia unionin toimielimiä, elimiä, virastoja ja toimistoja tai jäsenvaltioiden toimivaltaisia viranomaisia, paitsi jos komissiolle on selvää, että rajoituksen soveltamisesta säädetään jossakin näissä alakohdissa mainituista säädöksistä tai tällainen kuuleminen vaarantaisi asetuksen (EU, Euratom 2018/1046 118 artiklan ja 119 artiklan 2 kohdan mukaisen komission toiminnan tarkoituksen.

    Ensimmäisen alakohdan c alakohtaa ei sovelleta, jos komission intressi tehdä yhteistyötä kolmansien maiden tai kansainvälisten järjestöjen kanssa syrjäytyy rekisteröityjen intressien tai perusoikeuksien ja vapauksien vuoksi.

    4.   Edellä olevilla 1, 2 ja 3 kohdalla ei rajoiteta sellaisten muiden komission päätösten soveltamista, joissa säädetään sisäisistä säännöistä, jotka koskevat tietojen antamista rekisteröidyille sekä eräiden asetuksen (EU) 2018/1725 25 artiklassa ja komission työjärjestyksen 23 artiklassa tarkoitettujen oikeuksien rajoittamista.

    3 artikla

    Tietojen antaminen rekisteröidyille

    Komissio julkaisee verkkosivustollaan tietosuojailmoitukset, joissa tiedotetaan kaikille rekisteröidyille sen toimista, joihin liittyy rekisteröityjen henkilötietojen käsittelyä komission toteuttamaa asetuksen (EU, Euratom) 2018/1046 118 artiklan ja 119 artiklan 2 kohdan mukaista toimintaa varten. Tarvittaessa komissio varmistaa, että rekisteröidyille ilmoitetaan henkilökohtaisesti asianmukaisessa muodossa.

    Jos komissio rajoittaa kokonaan tai osittain tietojen toimittamista rekisteröidyille, joiden tietoja käsitellään komission toteuttamaa asetuksen (EU, Euratom) 2018/1046 118 artiklan ja 119 artiklan 2 kohdan mukaista toimintaa varten, sen on kirjattava ja rekisteröitävä rajoituksen syyt 6 artiklan mukaisesti.

    4 artikla

    Rekisteröityjen oikeus saada pääsy tietoihin, oikeus saada tiedot poistetuksi ja oikeus saada käsittely rajoitetuksi

    1.   Kun komissio kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta päästä henkilötietoihin, 19 artiklassa tarkoitettua oikeutta saada tiedot poistetuksi tai 20 artiklassa tarkoitettua oikeutta rajoittaa tietojen käsittelyä, se ilmoittaa tietoihin pääsyä, tietojen poistamista tai käsittelyn rajoittamista koskevaan asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

    2.   Tämän artiklan 1 kohdassa tarkoitetun rajoituksen syitä koskevaa ilmoitusta voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se vaarantaisi rajoituksen tarkoituksen.

    3.   Komissio kirjaa rajoituksen syyt tämän päätöksen 6 artiklan mukaisesti.

    4.   Jos oikeutta päästä tietoihin rajoitetaan kokonaan tai osittain, rekisteröidyn on käytettävä oikeuttaan päästä tietoihin Euroopan tietosuojavaltuutetun välityksellä asetuksen (EU) 2018/1725 25 artiklan 6, 7 ja 8 kohdan mukaisesti.

    5 artikla

    Henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidyille

    Jos komissio rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle, se kirjaa ja rekisteröi rajoituksen syyt tämän päätöksen 6 artiklan mukaisesti.

    6 artikla

    Rajoitusten kirjaaminen ja rekisteröinti

    Komissio kirjaa kaikkien tämän päätöksen nojalla sovellettavien rajoitusten syyt sekä arvion rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta, ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 2 kohdassa esitetyt asiaan liittyvät näkökohdat.

    Kirjatuissa tiedoissa ilmoitetaan tällöin, miten oikeuksien käyttäminen vaarantaisi asetuksen (EU, Euratom) 2018/1046 118 artiklan ja 119 artiklan 2 kohdan mukaisen komission toiminnan tarkoituksen tai 2 artiklan 2 tai 3 kohdan nojalla sovellettujen rajoitusten tarkoituksen tai vaikuttaisi haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.

    Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, rekisteröidään. Ne annetaan pyynnöstä Euroopan tietosuojavaltuutetun käyttöön.

    7 artikla

    Rajoitusten kesto

    1.   Tämän päätöksen 3, 4 ja 5 artiklassa tarkoitettuja rajoituksia sovelletaan niin kauan kuin niiden perusteet ovat voimassa.

    2.   Kun tämän päätöksen 3 tai 5 artiklassa tarkoitetut rajoituksen syyt eivät ole enää voimassa, komissio poistaa rajoitukset ja ilmoittaa rajoituksen pääasialliset syyt rekisteröidylle. Komissio ilmoittaa samalla rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

    3.   Komissio tarkastelee tämän päätöksen 3 ja 5 artiklassa tarkoitetun rajoituksen soveltamista kuuden kuukauden välein sen hyväksymisestä alkaen sekä ennen asianomaisen sisäisen tarkastustoiminnan päättymistä ja sen jälkeen. Tämän jälkeen komissio seuraa vuosittain, onko rajoitus ja/tai lykkäys tarpeen pitää voimassa.

    8 artikla

    Euroopan komission tietosuojavastaavan suorittama arviointi

    Euroopan komission tietosuojavastaavalle ilmoitetaan ilman aiheetonta viivytystä aina, kun rekisteröidyn oikeuksia rajoitetaan tämän päätöksen mukaisesti. Tietosuojavastaavalle annetaan pyynnöstä pääsy kirjattuihin tietoihin sekä kaikkiin asiakirjoihin, jotka sisältävät perusteena olevia tosiseikkoja tai oikeudellisia seikkoja.

    Tietosuojavastaava voi pyytää rajoitusten uudelleentarkastelua. Tietosuojavastaavalle ilmoitetaan pyydetyn uudelleentarkastelun tuloksista kirjallisesti.

    9 artikla

    Voimaantulo

    Tämä päätös tulee voimaan päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.

    Sitä sovelletaan 11 päivästä joulukuuta 2018.

    Tehty Brysselissä 11 päivänä joulukuuta 2018.

    Komission puolesta

    Puheenjohtaja

    Jean-Claude JUNCKER


    (1)  Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2018/1046, annettu 18 päivänä heinäkuuta 2018, unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta (EUVL L 193, 30.7.2018, s. 1).

    (2)  C(2017) 4435 lopullinen.

    (3)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).

    (4)  Perustettu lokakuussa 2000, SEC(2000) 1808/3.

    (5)  Tietojen säilyttämisestä komissiossa määrätään yhteisessä säilytysluettelossa. Se on säilytysaikataulun muotoinen sääntelyasiakirja (viimeisin versio on SEC(2012)713), jossa on määritelty komission eri asiakirjatyyppien säilytysajat.

    (6)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001, annettu 18 päivänä joulukuuta 2000, yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 8, 12.1.2001, s. 1).

    (7)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/794, annettu 11 päivänä toukokuuta 2016, Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta (EUVL L 135, 24.5.2016, s. 53).

    (8)  Neuvoston asetus (EU) 2017/1939, annettu 12 päivänä lokakuuta 2017, tiiviimmän yhteistyön toteuttamisesta Euroopan syyttäjänviraston (EPPO) perustamisessa (EUVL L 283, 31.10.2017, s. 1).

    (9)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

    (10)  Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).


    Top