17.3.2015

FI

Euroopan unionin virallinen lehti

L 72/41

---

KOMISSION PÄÄTÖS (EU, Euratom) 2015/443,

annettu 13 päivänä maaliskuuta 2015,

turvallisuudesta komissiossa

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 249 artiklan,

ottaa huomioon Euroopan atomienergiayhteisön perustamissopimuksen,

ottaa huomioon perussopimuksiin liitetyn pöytäkirjan N:o 7 Euroopan unionin erioikeuksista ja vapauksista ja erityisesti sen 18 artiklan,

sekä katsoo seuraavaa:

(1)

Komission turvallisuustoiminnan tavoitteena on saavuttaa tilanne, jossa komissio voi toimia turvallisessa ja vakaassa ympäristössä, kehittämällä johdonmukainen ja yhdennetty komission turvallisuutta koskeva lähestymistapa, tarjoamalla asianmukainen ja tiedossa oleviin riskeihin suhteutettu henkilöiden, omaisuuden ja tiedon suojaamisen taso ja varmistamalla tehokkaiden ja oikea-aikaisten turvatoimien toteuttaminen.

(2)	Komissioon kohdistuu muiden kansainvälisten elinten tavoin turvallisuusalalla suuria uhkia ja haasteita, jotka liittyvät erityisesti terrorismiin, verkkohyökkäyksiin sekä poliittiseen ja kaupalliseen vakoiluun.

(3)	Komissio on tehnyt päätoimipaikkojensa turvallisuusasioita koskevat sopimukset Belgian, Luxemburgin ja Italian hallitusten kanssa (1). Sopimuksissa vahvistetaan, että komissio on vastuussa omasta turvallisuudestaan.

(4)

Jotta komissio voisi varmistaa henkilöiden, omaisuuden ja tiedon turvallisuuden, se saattaa joutua toteuttamaan toimenpiteitä aloilla, jotka on suojattu Euroopan unionin perusoikeuskirjassa ja Euroopan ihmisoikeussopimuksessa vahvistetuilla ja Euroopan unionin tuomioistuimen tunnustamilla perusoikeuksilla.

(5)	Tämän vuoksi toimenpiteiden on oltava oikeutettuja niillä saavutettavan edun merkityksen perusteella, niiden on oltava oikeasuhteisia ja niillä on taattava perusoikeuksien, erityisesti oikeuden yksityisyyteen ja tietosuojaan, noudattaminen.

(6)

Komission on pyrittävä turvaamaan osana tätä oikeusvaltion periaatteeseen ja perusoikeuksien noudattamiseen perustuvaa järjestelmää henkilöstölleen, omaisuudelle ja tiedoille asianmukainen turvallisuustaso, ja samalla varmistamaan toiminnan toteuttaminen siten, ettei perusoikeuksia rajoiteta enempää kuin on ehdottomasti tarpeen.

(7)	Turvallisuuden komissiossa on perustuttava laillisuuden, avoimuuden, suhteellisuuden ja vastuuvelvollisuuden periaatteisiin.

(8)

Henkilöstön jäsenille, joilla on valtuudet toteuttaa turvatoimia, ei saa aiheutua toiminnastaan haittaa lukuun ottamatta tilanteita, joissa he ylittävät valtuutensa tai toimivat laittomasti, ja tämän vuoksi tämän päätöksen noudattaminen katsotaan henkilöstösäännöissä tarkoitetuiksi hallinnollisiksi ohjeiksi.

(9)

Komission olisi toteutettava asianmukaiset aloitteet turvallisuuskulttuurinsa edistämiseksi ja lujittamiseksi, turvallisuustoiminnan tehokkaammaksi toteuttamiseksi, turvallisuusasioiden hallintotavan parantamiseksi, verkostojen ja yhteistyön vahvistamiseksi edelleen alan viranomaisten kanssa kansainvälisellä, eurooppalaisella ja kansallisella tasolla sekä turvatoimien seurannan ja valvonnan parantamiseksi.

(10)

Toiminnallisesti itsenäiseksi unionin elimen, Euroopan ulkosuhdehallinnon, jäljempänä ’EUH’, perustamisella on ollut merkittävä vaikutus komission turvallisuusnäkökohtiin, ja näin ollen EUH:n ja komission on asetettava vaarattomuuteen ja turvallisuuteen liittyvälle yhteistyölle yhteiset säännöt ja menettelyt erityisesti siltä osin kuin on kyse komission huolehtimisvelvollisuudesta, joka koskee unionin edustustoissa työskentelevää komission henkilöstöä.

(11)

Komission turvallisuuspolitiikkaa olisi toteutettava tavalla, joka on johdonmukainen muiden, mahdollisesti turvallisuuskysymyksiä sisältävien sisäisten prosessien ja menettelyjen kanssa. Näitä ovat erityisesti toiminnan jatkuvuuden hallinta, jolla pyritään säilyttämään komission kriittisen tärkeät toiminnot toimintakatkosten tilanteessa, ja monialaisen kriisikoordinoinnin ARGUS-järjestelmä.

(12)

Tämän päätöksen hyväksymisajankohtana jo toteutettavina olevista ja Euroopan tietosuojavaltuutetulle (2) ilmoitetuista toimenpiteistä riippumatta tämän päätöksen mukaisiin toimenpiteisiin, jotka edellyttävät henkilötietojen käsittelyä, sovelletaan soveltamissääntöjä rekisteröityihin liittyviä asianmukaisia suojatoimia koskevan 21 artiklan mukaisesti.

(13)	Komission on näin ollen tarpeen tarkistaa, ajantasaistaa ja vahvistaa voimassa olevaa säädösperustaa, joka koskee turvallisuutta komissiossa.

(14)	Tämän vuoksi olisi kumottava komission päätös K(94) 2129 (3),

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 LUKU

YLEISET SÄÄNNÖKSET

1 artikla

Määritelmät

Tässä päätöksessä tarkoitetaan

1)	’omaisuudella’ kaikkea komission irtainta ja kiinteää omaisuutta;

2)	’komission yksiköllä’ komission pääosastoa, yksikköä tai komission jäsenen kabinettia;

3)	’viestintä- ja tietojärjestelmällä’ järjestelmää, jolla tietoa käsitellään sähköisessä muodossa, mukaan lukien kaikki järjestelmän toiminnan kannalta tarpeelliset resurssit, myös infrastruktuuri, organisaatio, henkilöstö ja tietoresurssit;

4)	’riskienvalvonnalla’ turvatoimia, joiden avulla voidaan kohtuudella olettaa hallittavan turvallisuuteen kohdistuvaa riskiä estämällä, lieventämällä, välttämällä tai siirtämällä se;

5)	’kriisitilanteella’ olosuhdetta, tilannetta, tapahtumaa tai hätätilannetta (tai näiden seurausta tai yhdistelmää), joka aiheuttaa suuren tai välittömän uhan turvallisuudelle komissiossa sen alkuperästä riippumatta;

6)	’tiedoilla’ tietoja muodossa, jossa niitä voidaan välittää eteenpäin, tallentaa tai käsitellä;

7)	’turvallisuusasioista vastaavalla komission jäsenellä’ komission jäsentä, jonka alaisuuteen henkilöstöhallinnon ja turvallisuustoiminnan pääosasto kuuluu;

8)	’henkilötiedoilla’ Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 (4) 2 artiklan a alakohdassa määriteltyjä henkilötietoja;

9)	’tiloilla’ kaikkea komission kiinteää ja kiinteään verrattavissa olevaa omaisuutta;

10)	’riskien estämisellä’ turvatoimia, joiden voidaan kohtuudella olettaa estävän tai pysäyttävän turvallisuuteen kohdistuvan riskin tai viivästyttävän sitä,

11)	’turvallisuuteen kohdistuvalla riskillä’ uhkatason, haavoittuvuuden tason ja tapahtuman mahdollisen vaikutuksen yhdistelmää,

12)

’turvallisuudella komissiossa’ henkilöiden, omaisuuden ja tiedon turvallisuutta komissiossa ja erityisesti henkilöiden ja omaisuuden fyysistä koskemattomuutta, tiedon ja viestintä- ja tietojärjestelmien koskemattomuutta, luottamuksellisuutta ja saatavuutta sekä komission toiminnan esteetöntä toimivuutta;

13)	’turvatoimella’ tämän päätöksen mukaisesti toteutettua toimenpidettä turvallisuuteen kohdistuvien riskien hallitsemiseksi;

14)	’henkilöstösäännöillä’ Euroopan unionin virkamiehiin sovellettavia henkilöstösääntöjä sellaisina kuin ne on vahvistettu neuvoston asetuksessa (ETY, Euratom, EHTY) N:o 259/68 (5) ja sen muutossäädöksissä;

15)	’turvallisuuteen kohdistuvalla uhalla’ tapahtumaa tai tekijää, jonka voidaan kohtuudella olettaa vaikuttavan turvallisuuteen haitallisesti, jos siihen ei reagoida ja jos sitä ei hallita;

16)	’välittömällä turvallisuuteen kohdistuvalla uhalla’ sellaista uhkaa turvallisuudelle, jolla ei ole lainkaan ennakkovaroitusta tai ennakkovaroitus on erittäin lyhyt,

17)

’suurella turvallisuuteen kohdistuvalla uhalla’ sellaista uhkaa turvallisuudelle, jonka voidaan kohtuudella olettaa johtavan kuolouhreihin, vakaviin loukkaantumisiin tai haittoihin, merkittävään vahinkoon omaisuudelle, arkaluonteisten tietojen vaarantumiseen tai komission tietoteknisten järjestelmien tai keskeisten toimintavalmiuksien häiriintymiseen, ja

18)	’haavoittuvuudella’ minkä tahansa luonteista heikkoutta, jonka voidaan kohtuudella olettaa vaikuttavan haitallisesti turvallisuuteen komissiossa yhden tai useamman uhan tilanteessa.

2 artikla

Kohde

1.   Tässä päätöksessä vahvistetaan tavoitteet, perusperiaatteet, järjestelyt ja velvollisuudet, jotka koskevat turvallisuutta komissiossa.

2.   Tätä päätöstä sovelletaan kaikkiin komission yksiköihin kaikissa komission tiloissa. Unionin edustustoissa työskentelevään komission henkilöstöön sovelletaan Euroopan ulkosuhdehallinnon turvallisuussääntöjä (6).

3.   Riippumatta tiettyjä henkilöstöryhmiä koskevista erityismaininnoista tätä päätöstä sovelletaan komission jäseniin, Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen ja unionin muuta henkilöstöä koskevien palvelussuhteen ehtojen alaiseen komission henkilöstöön, komission palvelukseen tilapäisesti siirrettyihin kansallisiin asiantuntijoihin, palveluntarjoajiin ja näiden henkilöstöön, harjoittelijoihin ja kaikkiin henkilöihin, joilla on pääsy komission rakennuksiin tai muuhun omaisuuteen tai komission käsittelemiin tietoihin.

4.   Tämän päätöksen säännökset eivät rajoita komission päätöksen 2002/47/EY, EHTY, Euratom (7), komission päätöksen 2004/563/EY, Euratom (8), komission päätöksen K(2006) 1623 (9) ja komission päätöksen K(2006) 3602 (10) soveltamista.

2 LUKU

PERIAATTEET

3 artikla

Periaatteet, jotka koskevat turvallisuutta komissiossa

1.   Komissio noudattaa tämän päätöksen täytäntöönpanon yhteydessä perussopimuksia ja erityisesti Euroopan unionin perusoikeuskirjaa ja pöytäkirjaa N:o 7 Euroopan unionin erioikeuksista ja vapauksista, johdanto-osan 2 kappaleessa tarkoitettuja välineitä yhdessä kansallisen lainsäädännön sovellettavien sääntöjen kanssa sekä tässä päätöksessä asetettuja ehtoja. Tarvittaessa laaditaan 21 artiklan 2 kohdassa tarkoitettu turvallisuusohje, jossa annetaan ohjausta.

2.   Turvallisuus komissiossa perustuu laillisuuden, avoimuuden, suhteellisuuden ja vastuuvelvollisuuden periaatteisiin.

3.   Laillisuusperiaate merkitsee, että tämän päätöksen täytäntöönpanon yhteydessä on noudatettava tarkasti oikeudellista kehystä ja mukauduttava oikeudellisiin vaatimuksiin.

4.   Turvatoimet toteutetaan avoimesti, paitsi tilanteissa, joissa tämän voidaan kohtuudella olettaa haittaavan turvatoimen vaikutusta. Kohteelle, jolle turvatoimi on osoitettu, ilmoitetaan ennalta toimen syistä ja vaikutuksista paitsi tilanteissa, joissa tiedon antamisen voidaan kohtuudella olettaa haittaavan turvatoimen vaikutusta. Tällöin kohteelle, jolle turvatoimi on osoitettu, ilmoitetaan asiasta jälkikäteen, kun turvatoimen vaikutuksen haittaamiseen kohdistuva riski on päättynyt.

5.   Komission yksiköt varmistavat, että turvallisuuskysymykset otetaan huomioon niiden vastuulla olevien komission politiikkojen, päätösten, ohjelmien, hankkeiden ja toimien kehittämisen ja toteuttamisen alusta alkaen. Ne ottavat tätä varten yleisesti henkilöstöhallinnon ja turvallisuustoiminnan pääosaston ja tietoteknisten järjestelmien osalta komission tietoturvavastaavan mukaan valmisteluun jo alkuvaiheessa.

6.   Komissio pyrkii tarvittaessa mahdollisuuksien mukaan yhteistyöhön isäntävaltion, muiden jäsenvaltioiden ja Euroopan unionin muiden toimielinten, virastojen ja elinten toimivaltaisten viranomaisten kanssa siten, että kyseisten viranomaisten toteuttamat tai suunnittelemat toimenpiteet asianomaisen turvallisuusriskin hoitamiseksi otetaan huomioon.

4 artikla

Noudattamisvelvollisuus

1.   Tämän päätöksen ja sen soveltamissääntöjen sekä turvatoimien ja valtuutettujen henkilöstön jäsenten antamien ohjeiden noudattaminen on pakollista.

2.   Turvallisuutta koskevien sääntöjen noudattamatta jättäminen saattaa antaa aiheen kurinpitotoimiin perussopimusten ja henkilöstösääntöjen mukaisesti sekä sopimusseuraamuksiin ja/tai oikeustoimiin kansallisten lakien ja säännösten mukaisesti.

3 LUKU

TURVATOIMIEN TOTEUTTAMINEN

5 artikla

Valtuutettu henkilöstö

1.   Ainoastaan henkilöstöllä, jolle henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtaja on antanut henkilökohtaisen valtuutuksen henkilöstön senhetkisten tehtävien perusteella, voi olla oikeus yhteen tai useampaan seuraavista:

1)	käsiaseen kantaminen;

2)	13 artiklassa tarkoitettujen turvallisuusselvityksien toteuttaminen;

3)	12 artiklassa tarkoitettujen turvatoimien toteuttaminen valtuutuksen mukaisesti.

2.   Edellä 1 kohdassa tarkoitetut valtuudet annetaan enintään ajaksi, jonka asianomainen henkilö on siinä virassa tai tehtävässä, jonka hoitamiseksi valtuudet on annettu. Ne annetaan 3 artiklan 1 kohdan sovellettavien säännösten mukaisesti.

3.   Tämä päätös muodostaa valtuutetun henkilöstön osalta henkilöstösääntöjen 21 artiklassa tarkoitetun hallinnollisen ohjeen.

6 artikla

Turvatoimia koskevat yleiset säännökset

1.   Siinä määrin kuin on kohtuudella mahdollista, komissio varmistaa turvatoimia toteuttaessaan erityisesti, että

a)	se pyytää tukea tai apua ainoastaan asianomaiselta valtiolta edellyttäen, että kyseinen valtio on Euroopan unionin jäsenvaltio tai osapuolena Euroopan ihmisoikeussopimuksessa tai että se takaa oikeudet, jotka vähintään vastaavat kyseisessä ihmisoikeussopimuksessa taattuja oikeuksia;

b)	se siirtää henkilöä koskevia tietoja asetuksen (EY) N:o 45/2001 9 artiklan mukaisesti ainoastaan sellaisille yhteisön toimielinten ja elinten ulkopuolisille vastaanottajille, joihin ei sovelleta Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (11) mukaisesti annettua kansallista lakia;

c)

jos henkilö aiheuttaa uhan turvallisuudelle, häntä vastaan kohdistetaan turvatoimia ja hän saattaa joutua vastaamaan aiheutuvista kustannuksista. Turvatoimia voidaan kohdistaa muita henkilöitä vastaan ainoastaan, jos on hallittava välitöntä tai suurta turvallisuuteen kohdistuvaa uhkaa ja seuraavat edellytykset täyttyvät: a) aiottuja toimia sitä henkilöä vastaan, joka aiheuttaa turvallisuuteen kohdistuvan uhan, ei voida toteuttaa tai ne todennäköisesti eivät ole tehokkaita; b) komissio ei pysty hallitsemaan turvallisuuteen kohdistuvaa uhkaa omilla toimillaan tai oikea-aikaisesti; c) toimi ei aiheuta suhteetonta vaaraa muulle henkilölle tai tämän oikeuksille.

2.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosasto laatii katsauksen turvatoimiin, jotka saattavat edellyttää tuomarin määräystä niiden jäsenvaltioiden lakien ja säännösten nojalla, joissa komission tilat sijaitsevat.

3.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosasto voi kääntyä alihankkijan puoleen toteuttaakseen turvallisuuteen liittyviä tehtäviä turvallisuusosaston johdolla ja valvonnassa.

7 artikla

Henkilöitä koskevat turvatoimet

1.   Henkilöille tarjotaan asianmukainen suojataso komission tiloissa vaarattomuuteen ja turvallisuuteen liittyvien vaatimusten mukaisesti.

2.   Jos kyseessä on suuri turvallisuuteen kohdistuva riski, henkilöstöhallinnon ja turvallisuustoiminnan pääosasto tarjoaa komission jäsenille ja muulle henkilöstölle henkilösuojausta, jos uhka-arviosta on käynyt ilmi, että tällaista suojausta tarvitaan vaarattomuuden ja turvallisuuden varmistamiseksi.

3.   Jos kyseessä on suuri turvallisuuteen kohdistuva riski, komissio saattaa määrätä tilansa evakuoitaviksi.

4.   Komission tiloissa onnettomuuden tai hyökkäyksen uhriksi joutuneille on annettava apua.

5.   Valtuutettu henkilöstö saattaa turvallisuuteen kohdistuvia riskejä estääkseen ja hallitakseen tehdä tämän päätöksen soveltamisalaan kuuluvista henkilöistä taustatarkistuksia määrittääkseen, aiheuttaako tällaisten henkilöiden pääsy komission tiloihin tai tietoihin turvallisuuteen kohdistuvan uhan. Tätä varten valtuutettu henkilöstö voi asetuksen (EY) N:o 45/2001 ja 3 artiklan 1 kohdassa tarkoitettujen säännösten mukaisesti

a)	käyttää mitä tahansa komission käytettävissä olevaa tiedonlähdettä tiedonlähteen luotettavuuden huomioiden;

b)	tarkastella komission hallussa olevaa sen palveluksessa olevan henkilön tai henkilön, jonka se aikoo ottaa palvelukseensa, henkilökansiota tai alihankkijan henkilöstöä perustelluissa tapauksissa.

8 artikla

Fyysistä turvallisuutta ja omaisuutta koskevat turvatoimet

1.   Omaisuuden turvallisuus varmistetaan soveltamalla asianmukaisia fyysisiä ja teknisiä suojatoimenpiteitä ja vastaavia menettelyjä, jäljempänä ’fyysinen turvallisuus’, jotka muodostavat monitasoisen järjestelmän.

2.   Tämän artiklan nojalla voidaan toteuttaa toimenpiteitä, jotta voitaisiin suojella henkilöitä ja tietoja komissiossa sekä suojella omaisuutta.

3.   Fyysisen turvallisuuden tavoitteet ovat seuraavat:

—	komission jäseniin tai tämän päätöksen soveltamisalaan kuuluviin henkilöihin kohdistuvien väkivallantekojen estäminen;

—	arkaluonteisia tai turvallisuusluokiteltuja tietoja koskevan vakoilun tai salakuuntelun estäminen;

—	sellaisten varkauksien, ilkivallan, sabotaasin tai muiden väkivaltaisten toimien estäminen, joiden tarkoituksena on vahingoittaa tai tuhota komission rakennuksia ja omaisuutta;

—	turvallisuuden vaarantumistapauksia koskevan tutkinnan ja selvitysten edistäminen esimerkiksi tarkastelemalla 22 artiklan 2 kohdassa tarkoitettuja saapumisten ja poistumisten valvontaa koskevia lokitiedostoja, kameravalvontatietoja, puhelunauhoituksia ja vastaavia tietoja sekä muita tietolähteitä.

4.   Fyysiseen turvallisuuteen sisältyy

—	pääsynvalvontapolitiikka, jota sovelletaan kaikkiin komission tiloihin, myös parkkipaikoille, pyrkiviin henkilöihin tai ajoneuvoihin;

—	pääsynvalvontajärjestelmä, joka käsittää vartijat, tekniset laitteet ja toimenpiteet, tietojärjestelmät tai kaikkien näiden yhdistelmän.

5.   Fyysisen turvallisuuden varmistamiseksi voidaan toteuttaa seuraavat toimet:

—	henkilöiden, ajoneuvojen, tavaran ja laitteiden saapumista komission tiloihin tai poistumista niistä voidaan tallentaa;

—	komission tiloissa voidaan tehdä henkilöllisyystarkastuksia;

—	ajoneuvoille, tavaroille ja laitteille voidaan tehdä visuaalisia tai teknisiä tarkastuksia;

—	asiattomilta henkilöiltä, ajoneuvoilta tai tavaroilta voidaan estää pääsy komission tiloihin.

9 artikla

Tietoa koskevat turvatoimet

1.   Tiedon turvallisuus kattaa kaiken komission käsittelemän tiedon.

2.   Tiedon turvallisuuden suhteen tasapainotetaan tiedon muodosta riippumatta toisaalta avoimuus, suhteellisuus, vastuuvelvollisuus ja tehokkuus ja toisaalta tarve suojata tieto luvattomalta pääsyltä, käytöltä, paljastamiselta, muuttamiselta tai tuhoamiselta.

3.   Tiedon turvaamisen tarkoituksena on luottamuksellisuuden, eheyden ja saatavuuden suojaaminen.

4.   Tämän vuoksi tietovarantojen luokitteluun ja oikeasuhteisten turvatoimien, -menettelyjen ja -standardien, myös lieventävien toimenpiteiden, laatimiseen käytetään riskinhallintaprosesseja.

5.   Näitä tiedon turvallisuuden yleisiä periaatteita sovelletaan erityisesti seuraaviin:

a)	”EU:n turvallisuusluokitellut tiedot”, joilla tarkoitetaan mitä tahansa tietoja tai aineistoja, joille on määritelty EU:n turvallisuusluokka ja joiden luvaton ilmitulo saattaisi vaihtelevassa määrin vahingoittaa Euroopan unionin tai sen yhden tai useamman jäsenvaltion etuja;

b)

”arkaluonteiset turvallisuusluokittelemattomat tiedot”, joilla tarkoitetaan tietoa tai aineistoa, jota komission on suojeltava perussopimuksissa tai perussopimusten täytäntöönpanemiseksi hyväksytyissä säädöksissä vahvistettujen oikeudellisten velvoitteiden vuoksi ja/tai sen arkaluonteisuuden vuoksi. Arkaluonteisiin turvallisuusluokittelemattomiin tietoihin sisältyvät muun muassa, muttei yksinomaan, SEUT-sopimuksen 339 artiklassa tarkoitetun salassapitovelvollisuuden piiriin kuuluvat tiedot, Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1049/2001 (12) 4 artiklalla, tarkasteltuna yhdessä Euroopan unionin tuomioistuimen asiaa koskevan oikeuskäytännön kanssa, suojattujen etujen piiriin kuuluvat tiedot ja asetuksen (EY) N:o 45/2001 soveltamisalaan kuuluvat henkilötiedot.

6.   Arkaluonteisiin turvallisuusluokittelemattomiin tietoihin sovelletaan niiden käsittelyä ja tallentamista koskevia sääntöjä. Niitä paljastetaan ainoastaan henkilöille, joilla on tiedonsaantitarve. Niille annetaan turvallisuusmerkintä, kun tämän katsotaan olevan tarpeen luottamuksellisuuden tehokkaaksi suojaamiseksi, ja henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtaja hyväksyy tätä koskevat käsittelyohjeet. Kun tällaisia tietoja käsitellään tai tallennetaan viestintä- ja tietojärjestelmässä, niitä on suojattava myös päätöksen K(2006) 3602, sen soveltamissääntöjen ja vastaavien standardien mukaisesti.

7.   EU:n turvallisuusluokiteltujen tietojen tai arkaluonteisten turvallisuusluokittelemattomien tietojen, jotka on yksilöity sellaisiksi niiden käsittelyä ja tallentamista koskevissa säännöissä, vaarantumisesta tai häviämisestä vastuussa oleva henkilö voi joutua kurinpitotoimien kohteeksi henkilöstösääntöjen mukaisesti. Nämä kurinpitotoimet eivät rajoita jäsenvaltioiden kansallisten toimivaltaisten viranomaisten jäsenvaltioiden lakien ja asetusten mukaisia myöhempiä oikeustoimia, rikosoikeudellisia menettelyjä tai sopimusperusteisia oikaisukeinoja.

10 artikla

Viestintä- ja tietojärjestelmiä koskevat turvatoimet

1.   Kaikkien komission käyttämien viestintä- ja tietojärjestelmien on noudatettava päätöksessä K(2006) 3602, sen soveltamissäännöissä ja vastaavissa turvallisuusstandardeissa vahvistettua komission tietojärjestelmien turvallisuuspolitiikkaa.

2.   Viestintä- ja tietojärjestelmiä omistavat, hallinnoivat ja käyttävät komission yksiköt saavat sallia ainoastaan muiden unionin toimielinten, virastojen, elinten ja muiden organisaatioiden pääsyn kyseisiin järjestelmiin edellyttäen, että kyseiset toimielimet, virastot, elimet ja muut organisaatiot voivat tarjota kohtuulliset takeet siitä, että niiden tietotekniset järjestelmät on suojattu päätöksessä K(2006) 3602, sen soveltamissäännöissä ja vastaavissa turvallisuusstandardeissa vahvistettua komission tietojärjestelmien turvallisuuspolitiikkaa vastaavalla tasolla. Komissio valvoo noudattamista, ja sillä on oikeus estää pääsy järjestelmiin vakavissa tai jatkuvissa noudattamattajättämistapauksissa.

11 artikla

Tietoverkkoturvallisuutta koskeva rikostekninen analyysi

Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto vastaa yhteistyössä toimivaltaisten komission osastojen kanssa erityisesti 13 artiklassa tarkoitettujen turvallisuusselvitysten tueksi toteutetuista rikosteknisistä analyyseistä, jotka koskevat vastatiedustelua, tietovuotoja, verkkohyökkäyksiä ja tietojärjestelmien turvallisuutta.

12 artikla

Henkilöitä ja esineitä koskevat turvatoimet

1.   Jotta voidaan varmistaa turvallisuus komissiossa sekä estää ja hallita riskejä, 5 artiklan mukaisesti valtuutettu henkilöstö voi toteuttaa 3 artiklassa vahvistettujen periaatteiden mukaisesti muun muassa yhden tai useamman seuraavista turvatoimista:

a)

tapahtumapaikkojen ja todisteiden, esimerkiksi saapumisten ja poistumisten valvontaa koskevien lokitiedostojen ja kameravalvontakuvien, turvaaminen sellaisten tapahtumien tai käytöksen yhteydessä, jotka voivat johtaa hallinnollisiin, kurinpidollisiin tai yksityis- tai rikosoikeudellisiin menettelyihin;

b)

rajoitetut toimenpiteet, jotka koskevat turvallisuuteen kohdistuvan uhan aiheuttavia henkilöitä, esimerkiksi henkilöiden määrääminen poistumaan komission tiloista, henkilöiden saattaminen ulos komission tiloista ja henkilöiden komission tiloihin pääsyn epääminen tietyksi ajaksi, joka asetetaan täytäntöönpanoa koskevissa säännöissä määriteltyjen kriteerien mukaisesti;

c)	rajoitetut toimenpiteet, jotka koskevat turvallisuuteen kohdistuvan uhan aiheuttavia esineitä, esimerkiksi esineiden poistaminen, takavarikointi tai hävittäminen;

d)	komission tilojen, myös tiloissa sijaitsevien toimistojen, tarkastaminen;

e)	viestintä- ja tietojärjestelmien ja laitteiden, puhelin- ja viestiliikennetietojen, lokitiedostojen ja käyttäjätilien ym. tarkastaminen;

f)	muut erityiset turvatoimet, joilla on vastaava vaikutus, riskien estämiseksi ja hallitsemiseksi erityisesti kun otetaan huomioon sovellettavan kansallisen lainsäädännön mukaiset komission oikeudet vuokranantajana tai työnantajana.

2.   Poikkeuksellisissa olosuhteissa 5 artiklan mukaisesti valtuutetut henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosaston henkilöstön jäsenet voivat toteuttaa tarvittavia kiireellisiä toimenpiteitä 3 artiklassa vahvistettuja periaatteita tarkasti noudattaen. Kyseisten henkilöstön jäsenten on mahdollisimman pian näiden toimenpiteiden toteuttamisen jälkeen ilmoitettava niistä turvallisuusosaston johtajalle, joka hakee asianmukaista valtuutusta henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtajalta, vahvistaa toteutetut toimenpiteet, antaa luvan mahdollisiin lisätoimiin ja on tarvittaessa yhteydessä toimivaltaisiin kansallisiin viranomaisiin.

3.   Tämän artiklan mukaisista turvatoimista on esitettävä asiakirjat niiden toteuttamisajankohtana tai, jos kyseessä on välitön riski tai kriisitilanne, kohtuullisen ajan kuluttua niiden toteuttamisesta. Jälkimmäisessä tilanteessa asiakirjoihin on sisällyttävä myös ne tiedot, joiden perusteella arvio välittömän riskin tai kriisitilanteen olemassaolosta on tehty. Asiakirjat voivat olla lyhyitä, mutta ne olisi laadittava siten, että toimen kohteena oleva henkilö voi käyttää puolustautumiseen ja henkilötietojen suojaan liittyviä oikeuksiaan asetuksen (EY) N:o 45/2001 mukaisesti ja että toimen laillisuus on mahdollista tarkastaa. Henkilöstön jäsenen henkilökansioon ei liitetä tietoja häneen kohdistetuista erityisistä turvatoimista.

4.   Komissio takaa b alakohdan mukaisia turvatoimia toteuttaessaan lisäksi, että asianomaiselle henkilölle annetaan mahdollisuus ottaa yhteyttä lakimieheen tai uskottuun henkilöön ja että hänelle tiedotetaan oikeuksistaan vedota Euroopan tietosuojavaltuutettuun.

13 artikla

Selvitykset

1.   Sanotun rajoittamatta henkilöstösääntöjen 86 artiklan ja liitteen IX sekä minkään komission ja EUH:n välisen erityisjärjestelyn soveltamista, esimerkiksi unionin edustustoissa työskentelevään komission henkilöstöön liittyvän huolellisuusvelvoitteen, jota koskevasta erityisjärjestelystä Euroopan komission henkilöstöhallinnon ja turvallisuustoiminnan pääosasto ja Euroopan ulkosuhdehallinto sopivat 28 päivänä toukokuuta 2014, soveltamista, turvallisuusselvitys voidaan tehdä

a)	kun on kyse komission turvallisuuteen vaikuttavista tapahtumista, myös epäillyistä rikoksista;

b)	kun on kyse arkaluonteisten turvallisuusluokittelemattomien tietojen, EU:n turvallisuusluokiteltujen tietojen tai Euratomin turvallisuusluokiteltujen tietojen mahdollisesta vuotamisesta, väärinkäytöstä tai vaarantumisesta;

c)	vastatiedustelun tai terrorismin torjunnan yhteydessä;

d)	kun on kyse vakavista verkkoturvapoikkeamista.

2.   Päätöksen turvallisuusselvityksen tekemisestä tekee henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtaja, jolle myös toimitetaan selvitysraportti.

3.   Turvallisuusselvityksiä tekee ainoastaan tähän erikoistunut, 5 artiklan mukaisesti valtuutettu henkilöstöhallinnon ja turvallisuustoiminnan pääosaston henkilöstö.

4.   Valtuutettu henkilöstö käyttää oikeuksiaan tehdä turvallisuusselvitys itsenäisesti valtuutuksensa mukaisesti ja sillä on 12 artiklassa luetellut oikeudet.

5.   Valtuutettu henkilöstö, jolla on toimivalta tehdä turvallisuusselvityksiä, voi koota kaikista käytettävissä olevista lähteistä tietoja, jotka liittyvät komission tiloissa tehtyihin rikoksiin tai hallinnollisiin rikkomuksiin tai 2 artiklan 3 kohdassa tarkoitettuihin henkilöihin, jotka ovat näiden tekojen uhreja tai tekijöitä.

6.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto ilmoittaa asiasta isäntäjäsenvaltion tai tarvittaessa muun asiaan liittyvän jäsenvaltion toimivaltaisille viranomaisille erityisesti, jos selvityksen perusteella on aihetta epäillä rikosta. Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto antaa tässä yhteydessä tarvittaessa tai pyydettäessä tukea isäntäjäsenvaltion tai muun asiaan liittyvän jäsenvaltion toimivaltaisille viranomaisille.

7.   Kun kyse on vakavasta verkkoturvapoikkeamasta, tietotekniikan pääosasto antaa tiiviissä yhteystyössä henkilöstöhallinnon ja turvallisuustoiminnan pääosaston kanssa tukea kaikissa teknisissä kysymyksissä. Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto päättää tietotekniikan pääosastoa kuultuaan, milloin on syytä tiedottaa isäntäjäsenvaltion tai muun asiaan liittyvän jäsenvaltion toimivaltaisille viranomaisille. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän (CERT-EU) tietoturvapoikkeamien koordinointipalvelut toimivat tukena muille EU:n toimielimille ja virastoille, joihin tilanteella saattaa olla vaikutusta.

8.   Turvallisuusselvityksistä on esitettävä asiakirjat.

14 artikla

Turvallisuusselvityksiin ja muuhun tutkintaan liittyvän toimivallan erottaminen

1.   Kun henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosasto tekee 13 artiklassa tarkoitettuja turvallisuusselvityksiä ja nämä selvitykset kuuluvat Euroopan petostentorjuntaviraston, jäljempänä ’OLAF’, tai komission tutkinta- ja kurinpitotoimiston, jäljempänä ’IDOC’, toimivaltaan, se ottaa välittömästi yhteyttä kyseisiin elimiin erityisesti siksi, etteivät myöhemmät OLAFin tai IDOCin toteuttamat toimet vaarantuisi. Henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosasto pyytää tarvittaessa OLAFia tai IDOCia osallistumaan tutkintaan.

2.   Edellä 13 artiklassa tarkoitetut turvallisuusselvitykset eivät rajoita OLAFin ja IDOCin oikeuksia, jotka on vahvistettu kyseisiä elimiä koskevissa säännöissä. Henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosastoa voidaan pyytää tarjoamaan teknistä apua OLAFin tai IDOCin aloittamaan tutkintaan.

3.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosastoa voidaan pyytää avustamaan OLAFin työntekijöitä näiden tehtävien helpottamiseksi, kun nämä saapuvat komission tiloihin Euroopan parlamentin ja neuvoston asetuksen (EU, Euratom) N:o 883/2013 (13) 3 artiklan 5 kohdan ja 4 artiklan 4 kohdan mukaisesti. Turvallisuusosasto ilmoittaa tällaisista avunpyynnöistä pääsihteerille ja henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtajalle tai, jos tutkinta tehdään komission jäsenten tai pääsihteerin käyttämissä komission tiloissa, komission puheenjohtajalle ja henkilöstöhallinnosta vastaavalle komissaarille.

4.   Jos tapaus kuuluu sekä henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosaston että IDOCin toimivaltaan, turvallisuusosasto ilmoittaa mahdollisimman aikaisessa vaiheessa raportoidessaan asiasta henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtajalle 13 artiklan mukaisesti, onko perusteluja sille, että IDOC käsittelee asiaa, sanotun kuitenkaan rajoittamatta henkilöstösääntöjen 22 a artiklan soveltamista. Tämä vaihe katsotaan saavutetun erityisesti, kun turvallisuuteen kohdistuva välitön uhka on päättynyt. Asiasta päättää henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtaja.

5.   Kun tapaus kuuluu sekä henkilöstöhallinnon ja turvallisuustoiminnan pääosaston turvallisuusosaston että OLAFin toimivaltaan, turvallisuusosasto raportoi välittömästi henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtajalle ja ilmoittaa asiasta mahdollisimman aikaisessa vaiheessa OLAFin pääjohtajalle. Tämä vaihe katsotaan saavutetun erityisesti, kun turvallisuuteen kohdistuva välitön uhka on päättynyt.

15 artikla

Turvallisuustarkastukset

1.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto tekee turvallisuustarkastuksia varmistaakseen, että komission yksiköt ja henkilöt noudattavat tätä päätöstä ja sen soveltamissääntöjä sekä, jos se katsoo tämän tarpeelliseksi, esittääkseen suosituksia.

2.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto suorittaa tarvittaessa turvallisuustarkastuksia, turvallisuuden seurantaa tai arviointikäyntejä varmistaakseen, onko unionin muiden toimielinten, virastojen tai elinten, EU:n ulkopuolisten valtioiden tai kansainvälisten organisaatioiden vastuulla olevan komission henkilöstön, omaisuuden ja tiedon turvallisuus suojattu asianmukaisesti sellaisten turvallisuutta koskevien sääntöjen, säännösten ja standardien mukaisesti, jotka vähintään vastaavat komission sääntöjä, säännöksiä ja standardeja. Kyseisiin turvallisuustarkastuksiin sisältyy tarvittaessa myös tarkastuksia, jotka liittyvät turvallisuusluokitellun tiedon vaihtoon unionin muiden toimielinten, elinten ja virastojen, jäsenvaltioiden, EU:n ulkopuolisten valtioiden tai kansainvälisten organisaatioiden kanssa, kun tämä on hallintoelinten hyvän yhteistyön hengen mukaista.

3.   Tätä artiklaa sovelletaan soveltuvin osin unionin edustustoissa työskentelevään komission henkilöstöön sanotun rajoittamatta minkään komission ja EUH:n välisen erityisjärjestelyn soveltamista, esimerkiksi unionin edustustoissa työskentelevään komission henkilöstöön liittyvän huolellisuusvelvoitteen, jota koskevasta erityisjärjestelystä Euroopan komission henkilöstöhallinnon ja turvallisuustoiminnan pääosasto ja Euroopan ulkosuhdehallinto sopivat 28 päivänä toukokuuta 2014, soveltamista.

16 artikla

Valmiustilat ja kriisitilanteiden hallinta

1.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto on vastuussa asianmukaisten valmiustilaa koskevien toimenpiteiden toteuttamisesta ennakoitaessa komission turvallisuuteen kohdistuvia uhkia ja tapahtumia tai vastattaessa niihin sekä kriisitilanteiden hallitsemisen edellyttämistä toimenpiteistä.

2.   Edellä 1 kohdassa tarkoitetut valmiustilaa koskevat toimenpiteet on suhteutettava turvallisuuteen kohdistuvan uhan tasoon. Valmiustilan taso määritellään tiiviissä yhteistyössä unionin muiden toimielinten, virastojen ja elinten toimivaltaisten yksiköiden sekä komission tilojen isäntäjäsenvaltion tai -valtioiden kanssa.

3.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto toimii valmiustilaa ja kriisitilanteiden hallintaa koskevana yhteyspisteenä.

4 LUKU

JÄRJESTELYT

17 artikla

Komission yksiköiden yleiset velvollisuudet

1.   Tässä päätöksessä tarkoitettuja komission velvollisuuksia hoitaa henkilöstöhallinnon ja turvallisuustoiminnan pääosasto turvallisuusasioista vastaavan komission jäsenen valvonnassa ja vastuulla.

2.   Tietoverkkoturvallisuutta koskevat erityiset järjestelyt määritellään päätöksessä K(2006) 3602.

3.   Tämän päätöksen ja sen soveltamissääntöjen täytäntöönpanoa ja päivittäistä noudattamista koskevat velvollisuudet voidaan delegoida muille komission yksiköille, kun turvallisuustoiminnan toteuttamisen hajauttaminen tarjoaa merkittäviä tehokkuus-, resurssi- tai aikasäästöjä esimerkiksi asianomaisten yksiköiden maantieteellisen sijainnin vuoksi.

4.   Sovellettaessa 3 kohtaa henkilöstöhallinnon ja turvallisuustoiminnan pääosasto ja tarvittaessa tietotekniikan pääosasto sopivat yksittäisten komission yksiköiden kanssa järjestelyistä, joissa turvallisuuspolitiikkojen toteuttamiselle ja valvonnalle asetetaan selkeät roolit ja velvollisuudet.

18 artikla

Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto

1.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto vastaa erityisesti

1)	komission turvallisuuspolitiikan, soveltamissääntöjen ja turvallisuusohjeiden laatimisesta;

2)	tietojen kokoamisesta turvallisuuteen kohdistuvien uhkien ja riskien arvioimiseksi sekä sellaisten tietojen kokoamisesta, jotka voivat vaikuttaa turvallisuuteen komissiossa;

3)	sähköisen seurannan ja suojan tarjoamisesta kaikissa komission toimipaikoissa ottaen huomioon uhka-arviot ja todisteet komission edun vastaisesta luvattomasta toiminnasta;

4)	hätäpalvelujen tarjoamisesta komission yksiköille ja henkilöstölle kaikissa vaarattomuuteen ja turvallisuuteen liittyvissä kysymyksissä 24 tuntia vuorokaudessa seitsemänä päivänä viikossa;

5)

sellaisten turvatoimien toteuttamisesta, joilla on tarkoitus lieventää turvallisuuteen kohdistuvia riskejä ja kehittää ja pitää yllä asianmukaisia viestintä- ja tietojärjestelmiä pääosaston toimintatarpeiden kattamiseksi erityisesti fyysisen pääsynvalvonnan, luotettavuusvaltuutusten hallinnan sekä arkaluonteisten ja EU:n turvallisuusluokiteltujen tietojen käsittelyn aloilla;

6)

tiedottamisesta, turva- ja pelastusharjoitusten järjestämisestä sekä koulutuksen ja neuvonnan tarjoamisesta kaikissa komission turvallisuuteen liittyvissä kysymyksissä turvallisuuskulttuurin edistämiseksi ja turvallisuusasioissa asianmukaisen koulutuksen saaneiden henkilöstön jäsenten reservin luomiseksi.

2.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto vastaa, sanotun kuitenkaan rajoittamatta muiden komission yksiköiden toimivaltaa ja velvollisuuksia, ulkoisista yhteyksistä

1)	unionin muiden toimielinten, virastojen ja elinten turvallisuusosastojen kanssa kysymyksissä, jotka liittyvät henkilöiden, omaisuuden ja tiedon turvallisuuteen komissiossa;

2)	jäsenvaltioiden, EU:n ulkopuolisten maiden ja kansainvälisten organisaatioiden turvallisuudesta, tiedustelusta ja uhka-arvioista vastaavien palvelujen, myös kansallisten turvallisuusviranomaisten, kanssa kysymyksissä, jotka liittyvät henkilöiden, omaisuuden ja tiedon turvallisuuteen komissiossa;

3)	poliisin ja muiden hälytyspalveluiden kanssa kaikissa kysymyksissä, jotka liittyvät komission turvallisuuteen vaikuttaviin rutiini- ja hätätilannekysymyksiin;

4)	sellaisten verkkohyökkäyksien torjunnasta vastuussa olevien unionin toimielinten, virastojen ja elinten, jäsenvaltioiden ja EU:n ulkopuolisten maiden turvallisuusviranomaisten kanssa, jotka saattavat vaikuttaa turvallisuuteen komissiossa;

5)	sellaiseen terrorismiin ja vakoilutoimintaan, jolla saattaa olla vaikutusta turvallisuuteen komissiossa, liittyviä uhkia koskevien tiedustelutietojen vastaanottamisen, arvioinnin ja jakamisen osalta;

6)	komission päätöksessä (EU, Euratom) 2015/444 (14) määriteltyä turvallisuusluokiteltua tietoa koskevien kysymysten osalta.

3.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto vastaa tiedon, myös henkilötietojen, suojatusta lähettämisestä tämän artiklan mukaisesti.

19 artikla

Komission turvallisuusasiantuntijaryhmä

Perustetaan komission turvallisuusasiantuntijaryhmä, jonka tehtävänä on antaa komissiolle neuvontaa sen sisäiseen turvallisuuspolitiikkaan ja erityisesti EU:n turvallisuusluokitellun tiedon suojeluun liittyvissä kysymyksissä.

20 artikla

Paikalliset turvavastaavat

1.   Kukin komission yksikkö tai kabinetti nimeää paikallisen turvavastaavan, joka toimii oman yksikkönsä ja henkilöstöhallinnon ja turvallisuustoiminnan pääosaston välisenä pääasiallisena yhteystahona kaikissa komission turvallisuutta koskevissa kysymyksissä. Tarvittaessa voidaan nimetä yksi tai useampi varavastaava. Paikallisen turvavastaavan on oltava virkamies tai väliaikainen toimihenkilö.

2.   Paikallinen turvavastaava raportoi oman komission yksikkönsä pääasiallisena yhteystahona säännöllisin väliajoin henkilöstöhallinnon ja turvallisuustoiminnan pääosastolle ja omille esimiehilleen turvallisuuskysymyksistä, jotka liittyvät asianomaiseen komission yksikköön, ja välittömästi kaikista turvallisuustapahtumista, myös sellaisista, joissa EU:n turvallisuusluokitellut tiedot tai arkaluonteiset turvallisuusluokittelemattomat tiedot ovat saattaneet vaarantua.

3.   Viestintä- ja tietojärjestelmien turvallisuuteen liittyvissä kysymyksissä paikallinen turvavastaava on yhteydessä oman komission yksikkönsä paikallistietojärjestelmien tietoturvavastaavaan, jonka rooli ja velvollisuudet määritellään komission päätöksessä K(2006) 3602.

4.   Paikallinen turvavastaava antaa panoksensa turvallisuuskoulutukseen ja -tiedottamiseen, jolla vastataan henkilöstön, alihankkijan ja muiden turvavastaavan yksikön valvonnassa työskentelevien henkilöiden erityistarpeisiin.

5.   Paikalliselle turvavastaavalle voidaan osoittaa erityistehtäviä suurten tai välittömien turvallisuuteen kohdistuvien riskien tai hätätapausten yhteydessä henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pyynnöstä. Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto tiedottaa paikallisen turvavastaavan oman pääosaston pääjohtajalle tai henkilöstöjohtajalle kyseisistä erityistehtävistä.

6.   Paikallisen turvavastaavan velvollisuudet eivät rajoita paikallistietojärjestelmien tietoturvavastaaville, työsuojelupäälliköille, rekisterin valvontavastaaville tai muille vaarattomuuteen tai turvallisuuteen liittyviä vastuualueita hoitaville toimille osoitettua roolia ja velvollisuuksia. Paikallinen turvavastaava on yhteydessä edellä mainittuihin tahoihin varmistaakseen yhtenäisen ja yhdenmukaisen lähestymistavan turvallisuuskysymyksiin ja tehokkaan tiedonkulun komission turvallisuuteen liittyvissä kysymyksissä.

7.   Tiedottaessaan lähimmille esimiehilleen paikallisella turvavastaavalla on oltava mahdollisuus olla suoraan yhteydessä pääjohtajaansa tai toimialajohtajaansa. Hänellä on oltava turvallisuusvaltuutus EU:n turvallisuusluokiteltuihin tietoihin pääsemiseksi vähintään tasoon SECRET UE/EU SECRET asti.

8.   Henkilöstöhallinnon ja turvallisuustoiminnan pääosasto järjestää tiedonvaihdon ja parhaiden käytänteiden jakamisen edistämiseksi paikallisten turvavastaavien kokouksen vähintään kaksi kertaa vuodessa. Paikallisten turvavastaavien osallistuminen näihin kokouksiin on pakollista.

LUKU 5

SOVELTAMINEN

21 artikla

Soveltamissäännöt ja turvallisuusohjeet

1.   Tämän päätöksen soveltamissäännöt annetaan tarpeen mukaan erillisessä komission valtuutuspäätöksessä, joka annetaan turvallisuusasioista vastaavan komission jäsenen hyväksi sisäisten menettelysääntöjen mukaisesti.

2.   Saatuaan valtuutuksen edellä mainitun komission päätöksen perusteella turvallisuusasioista vastaava komission jäsen voi laatia turvallisuusohjeita, joissa vahvistetaan tämän päätöksen ja sen soveltamissääntöjen soveltamisalaan kuuluvia turvallisuutta koskevia suuntaviivoja ja parhaita käytänteitä.

3.   Komissio voi siirtää tämän artiklan ensimmäisessä ja toisessa kohdassa mainittuja tehtäviä henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtajalle erillisellä päätöksellä sisäisten menettelysääntöjen mukaisesti.

6 LUKU

MUUT SÄÄNNÖKSET JA LOPPUSÄÄNNÖKSET

22 artikla

Henkilötietojen käsittely

1.   Komissio käsittelee tämän päätöksen soveltamiseen tarvittavia henkilötietoja asetuksen (EY) N:o 45/2001 mukaisesti.

2.   Tämän päätöksen hyväksymisajankohtana jo toteutettavina olevista ja Euroopan tietosuojavaltuutetulle (15) ilmoitetuista toimenpiteistä riippumatta tämän päätöksen mukaisiin toimenpiteisiin, jotka edellyttävät henkilötietojen käsittelyä, esimerkiksi saapumisten ja poistumisten valvontaa koskevia lokitiedostoja, kameravalvontatietoja, valvomoihin tai lähettämöihin soitettujen puhelujen nauhoituksia tai vastaavia tietoja, joita tarvitaan turvallisuus- tai kriisitilanteeseen vastaamiseksi, sovelletaan soveltamissääntöjä rekisteröityihin liittyviä asianmukaisia suojatoimia koskevan 21 artiklan mukaisesti.

3.   Tämän päätöksen soveltamisen yhteydessä toteutetun henkilötietojen käsittelyn turvaamisesta on vastuussa henkilöstöhallinnon ja turvallisuustoiminnan pääosaston pääjohtaja.

4.   Soveltamissäännöt ja -menettelyt hyväksytään sen jälkeen, kun tietosuojavastaavaa ja Euroopan tietosuojavaltuutettua on kuultu asetuksen (EY) N:o 45/2001 mukaisesti.

23 artikla

Avoimuus

Tämä päätös ja sen soveltamissäännöt on saatettava komission henkilöstön ja kaikkien niiden henkilöiden tietoon, joihin sitä sovelletaan.

24 artikla

Aiempien päätösten kumoaminen

Kumotaan päätös K(94) 2129.

25 artikla

Voimaantulo

Tämä päätös tulee voimaan seuraavana päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

---

(1)  Arrangement entre le Gouvernement belge et le Parlement européen, le Conseil, la Commission, le Comité économique et social européen, le Comité des régions, la Banque européenne d'investissement en matière de sécurité, tehty 31 päivänä joulukuuta 2004; Accord de sécurité signé entre la Commission et le Gouvernement luxembourgeois, tehty 20 päivänä tammikuuta 2007, ja Accordo tra il Governo italiano e la Commissione europea dell'energia atomica (Euratom) per l'istituzione di un Centro comune di ricerche nucleari di competenza generale, tehty 22 päivänä heinäkuuta 1959.

(2)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

(3)  Komission päätös K(94) 2129, tehty 8 päivänä syyskuuta 1994, turvallisuustoimiston tehtävistä.

(4)  Yksilöiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 18 päivänä joulukuuta 2000 annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/2001 (EYVL L 8, 12.1.2001, s. 1).

(5)  Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta ja komission virkamiehiin väliaikaisesti sovellettavista erityistoimenpiteistä (EYVL L 56, 4.3.1968, s. 1).

(6)  Unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan päätös 2013/C 190/01, annettu 19 päivänä huhtikuuta 2013, Euroopan ulkosuhdehallinnon turvallisuussäännöistä (EUVL C 190, 29.6.2013, s. 1).

(7)  Komission päätös 2002/47/EY, EHTY, Euratom, tehty 23 päivänä tammikuuta 2002, työjärjestyksensä muuttamisesta (EYVL L 21, 24.1.2002, s. 23), jonka liitteenä on säännökset asiakirjahallinnosta.

(8)  Komission päätös 2004/563/EY, Euratom, tehty 7 päivänä heinäkuuta 2004, komission työjärjestyksen muuttamisesta (EUVL L 251, 27.7.2004, s. 9), jonka liitteenä on sähköisiä ja digitoituja asiakirjoja koskevat säännökset.

(9)  K(2006) 1623, tehty 21 päivänä huhtikuuta 2006, koko Euroopan komission henkilöstöä koskevasta yhdenmukaisesta työterveys- ja työturvallisuuspolitiikasta.

(10)  K(2006) 3602, tehty 16 päivänä elokuuta 2006, komission käyttämien tietojärjestelmien turvallisuudesta.

(11)  Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (EYVL L 281, 23.11.1995, s. 31).

(12)  Euroopan parlamentin ja neuvoston asetus (EY) N:o 1049/2001, annettu 30 päivänä toukokuuta 2001, Euroopan parlamentin, neuvoston ja komission asiakirjojen saamisesta yleisön tutustuttavaksi (EYVL L 145, 31.5.2001, s. 43).

(13)  Euroopan parlamentin ja neuvoston asetus (EU, Euratom) N:o 883/2013, annettu 11 päivänä syyskuuta 2013, Euroopan petostentorjuntaviraston (OLAF) tutkimuksista sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1073/1999 ja neuvoston asetuksen (Euratom) N:o 1074/1999 kumoamisesta (EUVL L 248, 18.9.2013, s. 1).

(14)  Komission päätös (EU, Euratom) 2015/444, annettu 13 päivänä maaliskuuta 2015, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä (ks. tämän virallisen lehden sivu 53).

(15)  DPO-914.2, DPO-93.7, DPO-153.3, DPO-870.3, DPO-2831.2, DPO-1162.4, DPO-151.3, DPO-3302.1, DPO-508.6, DPO-2638.3, DPO-544.2, DPO-498.2, DPO-2692.2, DPO-2823.2.

---