1.   Tässä päätöksessä vahvistetaan säännöt edellytyksille, joiden nojalla virasto voi 2 kohdassa esitettyjen käsittelytoimiensa yhteydessä rajoittaa asetuksen (EU) 2018/1725 4, 14–21, 35 ja 36 artiklassa vahvistettujen oikeuksien soveltamista saman asetuksen 25 artiklan nojalla.

2.   Viraston hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan viraston henkilötietojen käsittelyyn seuraavia tarkoituksia varten: hallinnolliset tutkimukset, kurinpitomenettelyt, väärinkäytösten paljastamismenettelyt, (viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt, valitusten käsittely, potilastietojen ja/tai ‐asiakirjojen käsittely, sisäiset tarkastukset, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsitellyt tietoturvatutkimukset.

Päätöstä sovelletaan viraston aloittamiin ja toteuttamiin käsittelytoimiin ennen edellä mainittujen menettelyjen aloittamista, menettelyjen aikana sekä menettelyjen tuloksista johtuvien jatkotoimien seurannan aikana. Sitä sovelletaan myös viraston Euroopan petostentorjuntavirastolle, jäsenvaltioiden kansallisille toimivaltaisille viranomaisille ja/tai muille toimivaltaisille viranomaisille hallinnollisen toimintansa ulkopuolella tarjoamaan tukeen ja niiden kanssa tehtävään yhteistyöhön.

3.   Kyseessä olevat tietoryhmät ovat ”kovia” tietoja (objektiivisia tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja tietojen liikennettä koskevia tietoja) ja/tai ”pehmeitä” tietoja (tapaukseen liittyviä subjektiivisia tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja käytöstä koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

4.   Kun virasto suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on tarkasteltava, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.

5.   Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä edellytyksistä ei muuta johdu: tietojen antaminen rekisteröidyille, oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot tai rajoittaa käsittelyä, oikeus henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteröidyille tai oikeus sähköisen viestinnän luottamuksellisuuteen.

1.   Viraston on otettava käyttöön seuraavat suojatoimet, joilla estetään väärinkäyttö tai lainvastainen pääsy tai siirtäminen:

2.   Käsittelytoimissa rekisterinpitäjänä on virasto, jota edustaa sen pääjohtaja, ja tämä voi delegoida rekisterinpitäjän tehtävän eteenpäin. Rekisteröidyille ilmoitetaan rekisterinpitäjän tehtävän siirtämisestä tietosuojaselosteissa tai tiedoilla, jotka julkaistaan viraston verkkosivustolla ja/tai intranetissä.

3.   Edellä 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin tietoturvaselosteissa, tietosuojaselosteissa tai 3 artiklan 1 kohdassa tarkoitetuissa tiedoissa määritetään. Säilytysajan päätyttyä tapaukseen liittyvät tiedot, kuten henkilötiedot, poistetaan, anonymisoidaan tai siirretään historiallisiin arkistoihin.

4.   Jos virasto aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevaa riskiä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevan riskin sekä käsittelytoiminnan tarkoituksen estämistä koskevan riskin perusteella. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät ensisijaisesti muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.

1.   Viraston on julkaistava verkkosivustollaan ja/tai intranetissä tietoturvaselosteet, tietosuojaselosteet ja/tai asetuksen (EU) 2018/1725 31 artiklassa tarkoitetut tiedot, joilla ilmoitetaan kaikille rekisteröidyille heidän henkilötietojensa käsittelyä koskevista viraston toimista ja heidän oikeuksistaan kyseisen menettelyn yhteydessä, mukaan luettuina tiedot oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, sekä ilmoitettava rajoituksen syyt ja mahdollinen kesto.

2.   Ellei 3 kohdassa toisin säädetä, viraston on tarvittaessa varmistettava, että rekisteröidyille ilmoitetaan erikseen asianmukaisella tavalla. Virasto voi myös ilmoittaa rekisteröidyille erikseen heidän nykyisiä tai tulevia rajoituksia koskevista oikeuksistaan.

3.   Viraston käyttöön ottamia rajoituksia sovelletaan ainoastaan seuraavien asetuksen (EU) 2018/1725 25 artiklan 1 kohdassa lueteltujen tarkoitusten turvaamiseksi:

4.   Kun viraston rajoitukset tehdään

5.   Kaikkien rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on erityisesti otettava huomioon rekisteröityjen oikeuksia ja vapauksia koskevat riskit ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.

Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten. Testi on tehtävä myös rajoituksen soveltamisen uudelleentarkastelun yhteydessä.

Rajoitukset on poistettava heti, kun niihin oikeuttavat olosuhteet eivät enää ole voimassa. Tämä pätee etenkin, jos katsotaan, että rajoitetun oikeuden käyttö ei enää poistaisi säädetyn rajoituksen vaikutusta tai että se vaikuttaisi epäedullisesti muiden rekisteröityjen oikeuksiin tai velvollisuuksiin.

6.   Lisäksi virastoa voidaan pyytää vaihtamaan rekisteröityjen henkilötietoja komission yksiköiden tai muiden unionin toimielinten, elinten ja laitosten, jäsenvaltioiden toimivaltaisten viranomaisten tai kolmansien maiden toimivaltaisten viranomaisten tai kansainvälisten järjestöjen kanssa muun muassa silloin,

Kun toinen viranomainen käynnistää henkilötietojen vaihdon, virasto ei sovella rajoituksia ja viraston on poistettava tai anonymisoitava tapaukseen liittyvät tiedot, mukaan lukien henkilötiedot, toimitettuaan ne kyseiselle viranomaiselle.

7.   Rajoituksia koskevat tiedot ja tarvittaessa niiden perustana olevat tosiseikat ja oikeudelliset seikat sisältävät asiakirjat on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

1.   Viraston on ilmoitettava tietosuojavastaavalleen ilman aiheetonta viivytystä aina, kun rekisterinpitäjä rajoittaa rekisteröityjen oikeuksien soveltamista, poistaa rajoituksen tai tarkistaa rajoituksen kestoa tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle on ilmoitettu kirjatuista tiedoista.

2.   Tietosuojavastaava voi kirjallisesti pyytää rekisterinpitäjää tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on kirjallisesti ilmoitettava tietosuojavastaavalle pyydetyn uudelleentarkastelun tuloksista.

3.   Tietosuojavastaavan osallistuminen rajoitusmenettelyyn sekä tietojenvaihto on dokumentoitava asianmukaisella tavalla.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa tietojen antamista tämän päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista. Tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi käsittelytoimen vaikutuksen.

2.   Kun virasto kokonaan tai osittain rajoittaa 1 kohdassa tarkoitettua tietojen antamista, sen on dokumentoitava sisäiseen arviointimuistioon rajoituksen syyt, myös rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi sekä sen kesto.

3.   Edellä 1 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.

Kun rajoituksen syyt eivät ole enää voimassa, viraston on annettava rekisteröidylle tietoa rajoitusten pääasiallisista syistä. Viraston on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

4.   Viraston on tarkasteltava rajoituksen soveltamista uudelleen vähintään kerran vuodessa sekä asiaankuuluvan menettelyn päättämisen yhteydessä. Tämän jälkeen rekisterinpitäjän on seurattava vuosittain, onko rajoitus tarpeen pitää voimassa.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta saada pääsy tietoihin, oikaista tietoja, poistaa tietoja ja rajoittaa käsittelyä tämän päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista. Päätöksen 6 artiklaan sisältyviä säännöksiä ei sovelleta oikeuteen saada pääsy potilastietoihin ja/tai -asiakirjoihin, joiden osalta annetaan nimenomaisesti erityisiä säännöksiä jäljempänä 7 artiklassa.

2.   Jos rekisteröidyt pyytävät saada käyttää käsiteltäviin henkilötietoihin pääsyä, niiden oikaisemista, niiden poistamista ja niiden käsittelyn rajoittamista koskevaa oikeuttaan yhden tai useamman erityistapauksen tai tietyn käsittelytoimen yhteydessä, virasto rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

3.   Kun virasto kokonaan tai osittain rajoittaa henkilötietoihin pääsyä, niiden oikaisemista, niiden poistamista ja niiden käsittelyn rajoittamista koskevaa oikeutta, sen on toteutettava seuraavat toimenpiteet:

Asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti a luetelmakohdassa tarkoitettua tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi rajoituksen vaikutuksen.

4.   Viraston on tarkasteltava rekisteröityjen oikeuksia koskevan rajoituksen soveltamista uudelleen vähintään kerran vuodessa sekä asiaankuuluvan menettelyn päättämisen yhteydessä. Sen jälkeen rekisterinpitäjän on arvioitava uudelleen tarvetta pitää rajoitus voimassa rekisteröityjen pyynnöstä.

1.   Rekisteröityjen omiin potilastietoihin ja/tai -asiakirjoihin pääsyä koskevan oikeuden rajoittaminen edellyttää erityissäännöksiä, joista säädetään tässä artiklassa.

2.   Ellei tämän artiklan jäljempää olevissa kohdissa toisin säädetä, virasto voi rajoittaa rekisteröidyn oikeutta päästä suoraan häntä koskeviin viraston käsittelemiin henkilökohtaisiin potilastietoihin ja/tai -asiakirjoihin, jotka ovat luonteeltaan psykologisia tai psykiatrisia, jos pääsy tällaisiin tietoihin todennäköisesti aiheuttaa riskin rekisteröidyn terveydelle. Tämän rajoituksen on oltava oikeassa suhteessa siihen, mikä on ehdottoman välttämätöntä rekisteröidyn suojelemiseksi.

3.   Pääsy 2 kohdassa tarkoitettuihin tietoihin annetaan rekisteröidyn valitsemalle lääkärille.

4.   Tällaisissa tapauksissa työterveyshuolto korvaa rekisteröidylle pyynnöstä sen osan potilastietoihin ja/tai -asiakirjoihin pääsyn saaneen lääkärin vastaanotolla käynnistä aiheutuneista kustannuksista, jota ei ole korvattu yhteisestä sairausvakuutusjärjestelmästä. Korvaus ei saa ylittää sairauskulujen korvaamista koskevissa yleisissä täytäntöönpanosäännöissä (5) määritetyn ylärajan ja yhteisestä sairausvakuutusjärjestelmästä rekisteröidylle korvatun summan erotusta kyseisten sääntöjen mukaisesti.

5.   Työterveyshuollon myöntämän korvauksen edellytyksenä on, että pääsyä samoihin tietoihin ja/tai asiakirjoihin ei ole jo aiemmin myönnetty.

6.   Ellei tämän artiklan jäljempänä olevissa kohdissa toisin säädetä, virasto voi tapauskohtaisesti rajoittaa rekisteröidyn oikeutta saada pääsy viraston hallussa oleviin henkilökohtaisiin potilastietoihin ja/tai -asiakirjoihin erityisesti silloin, kun oikeuden käyttö vaikuttaisi epäedullisesti kyseisen rekisteröidyn tai muiden rekisteröityjen oikeuksiin tai vapauksiin.

7.   Jos rekisteröidyt pyytävät saada käyttää käsiteltäviin henkilötietoihin pääsyä koskevaa oikeuttaan yhden tai useamman erityistapauksen tai tietyn käsittelytoimen yhteydessä, virasto rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

8.   Kun virasto kokonaan tai osittain rajoittaa henkilökohtaisiin potilastietoihin ja/tai ‐asiakirjoihin pääsyä koskevaa oikeutta, sen on toteutettava seuraavat toimenpiteet:

Asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti a luetelmakohdassa tarkoitettua tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä, jos se poistaisi rajoituksen vaikutuksen.

9.   Edellä 2 ja 6 kohdassa tarkoitettuja rajoituksia sovelletaan niin kauan kuin niiden perusteet ovat voimassa. Kun rajoituksen syyt eivät ole enää voimassa, rekisterinpitäjän on rekisteröityjen pyynnöstä arvioitava uudelleen tarvetta pitää rajoitus voimassa.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta henkilötietojen tietoturvaloukkauksista ilmoittamiseen päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista. Oikeutta ei kuitenkaan saa rajoittaa häirintätapauksia koskevien menettelyjen yhteydessä.

2.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta sähköisen viestinnän luottamuksellisuuteen päätöksen 1 artiklan 2 kohdan mukaisten käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista.

3.   Päätöksen 5 artiklan 2, 3 ja 4 kohtaa sovelletaan, jos virasto rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidyille tai 36 artiklassa tarkoitettua sähköisen viestinnän luottamuksellisuutta.