Päätöksillä vahvistetaan sisäiset säännöt, joiden perusteella Euroopan komissio voi rajoittaa yksilöiden oikeuksia, joita he käyttävät asetuksen (EU) 2018/1725 nojalla. Sisäisiä sääntöjä sovelletaan henkilötietojen käsittelyyn erityisaloilla ja erityisiin tarkoituksiin.

TÄRKEIMMÄT KOHDAT

Henkilötiedot ovat kaikki tunnistettavaan tai tunnistettavissa olevaan henkilöön liittyvät tiedot (”rekisteröidyt”). Henkilö on tunnistettavissa, jos hänet voidaan tunnistaa suoraan tai epäsuoraan, erityisesti tunnisteen, kuten nimen, henkilönumeron, sijaintitiedon, internet-tunnisteen, taikka yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurisen tai sosiaalisen tekijän perusteella.

Uudet henkilötietojen suojaa ja tietojen vapaata liikkuvuutta koskevat puitteet koostuvat erityisesti seuraavista:

Yleinen tietosuoja-asetus (GDPR), jossa vahvistetaan henkilötietoihin liittyvät yksilöiden oikeudet, suojellaan heitä heidän henkilötietojensa käsittelyssä EU-maissa ja varmistetaan näiden tietojen vapaa liikkuvuus
Asetus (EU) 2018/1725, jossa vahvistetaan henkilötietoihin, suojellaan heitä unionin toimielinten, elinten, toimistojen ja virastojen suorittamassa henkilötietojen käsittelyssä ja varmistetaan näiden tietojen vapaa liikkuvuus.

Näiden asetusten katsotaan vastaavan toisiaan, ja niitä on tulkittava samanlaisina.

Asetuksen (EU) 2018/1725 25 artiklassa säädetään mahdollisuudesta, että tietyissä tapauksissa EU:n toimielimet ja elimet voivat rajoittaa yksilöiden oikeuksia, edellyttäen että näistä rajoituksista on säädetty EU:n lainsäädännössä. Tämän mukaisesti komissio on hyväksynyt 7 komission päätöstä, joissa säädetään perusteista mahdollisille rajoituksille, jotta voidaan turvata EU:n yleisen edun mukaiset tärkeät tavoitteet.

Näiden päätösten perusteella ja rajoitusten tarpeellisuutta ja oikeasuhtaisuutta koskevan tapauskohtaisen arvioinnin jälkeen Euroopan komissio päättää, onko yksilön oikeuksia rajoitettava yksittäisessä tapauksessa.

Seuraavia yksilöiden oikeuksia voidaan rajoittaa:

heidän oikeutensa saada tietoa
- henkilötietojensa käsittelystä; ja
- henkilötietoihinsa tietoturvaloukkauksista, jotka voivat aiheuttaa oikeuksien ja vapauksien kannalta korkean riskin;
heidän oikeutensa saada itseään koskevia henkilötietoja, saada henkilötietonsa poistetuksi tai saada käsittely rajoitetuksi.

Komission seitsemän päätöstä noudattavat kaikki samaa muotoa, ja jokainen sisältää joitakin seuraavista elementeistä tai ne kaikki:

Kohde ja soveltamisala
- Vaatimus rekisteröidyn kunkin pyynnön tapauskohtaisesta arvioinnista.
Sovellettavat poikkeukset ja/tai rajoitukset
- Ennen rajoituksen soveltamista komission on ensin harkittava, sovelletaanko jotakin asetuksessa (EU) 2018/1725 säädetyistä rekisteröityjen oikeuksia koskevista poikkeuksista.
Tiedon antaminen rekisteröidyille
- Komission on julkaistava verkkosivustollaan tietosuojaselosteet, joilla tiedotetaan kaikille rekisteröidyille sen toimista, joihin liittyy rekisteröityjen tietojen käsittelyä kyseisellä alalla.
- Komission on erikseen ilmoitettava jokaiselle kyseisillä aloilla suoritetun tutkimuksen tai toimen kohteena olevalle henkilölle.
Rekisteröidyn oikeus saada pääsy tietoihin, oikeus saada tiedot poistetuksi ja oikeus saada käsittely rajoitetuksi
- Jos komissio rajoittaa oikeutta saada pääsy henkilötietoihin, oikeutta saada tiedot poistetuksi tai oikeutta rajoittaa tietojen käsittelyä, sen on ilmoitettava rekisteröidylle sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
Rajoitusten kirjaaminen ja rekisteröinti
- Komission on kirjattava kaikkien sovellettavien rajoitusten syyt sekä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta.
Rajoitusten kesto
- Rajoituksia sovelletaan niin kauan kuin niiden perusteet ovat voimassa.
Euroopan komission tietosuojavastaavan toteuttama tarkastelu
- Tietosuojavastaavalle on ilman aiheetonta viivytystä ilmoitettava aina, kun rekisteröidyn oikeuksia rajoitetaan.
- Tietosuojavastaavalle on pyynnöstä annettava pääsy kirjattuihin tietoihin sekä kaikkiin asiakirjoihin, jotka sisältävät perusteena olevia tosiseikkoja tai oikeudellisia seikkoja.
- Tietosuojavastaava voi pyytää rajoituksen uudelleentarkastelua, ja sille on kirjallisesti ilmoitettava pyydetyn uudelleentarkastelun tuloksista.

Komission seitsemän päätöstä kattavat rekisteröityjä koskevat rajoitukset seuraavilla aloilla:

Euroopan unionin toimielinten sisäinen turvallisuus
- Sovelletaan henkilötietojen käsittelyyn henkilöiden, omaisuuden ja tietojen suojelemiseksi komissiossa.
- Komission on erikseen ilmoitettava turvallisuusselvitysten kohteena oleville todistajille ja henkilöille siitä, että heidän tietoja käsitellään.
- Lisäksi komission on erikseen ilmoitettava asiasta rekisteröidyille, joiden tietoja käsitellään päätöksen (EU, Euratom) 2015/443 7 artiklan 5 kohdan mukaisia taustatarkistuksia varten.
- Lisäksi sen on erikseen ilmoitettava asiasta henkilöille, joiden tietoja käsitellään komission tilojen, viestintä- ja tietojärjestelmien sekä laitteiden tarkastamisen yhteydessä.
hallinnolliset tutkimukset, kurinpitomenettelyä edeltävät menettelyt, kurinpitomenettelyt ja virantoimituksesta pidättämistä koskevat menettelyt
- Asetuksen (EU) 2018/1725 mukaisia oikeuksia ja velvollisuuksia voidaan rajoittaa, jos ne vaarantaisivat hallinnolliset tutkimukset, kurinpitomenettelyä edeltävät menettelyt, kurinpitomenettelyt ja virantoimituksesta pidättämistä koskevat menettelyt, tai vaikuttaisivat haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.
Henkilökohtaiset potilastiedot
- Komissio voi tapauskohtaisesti rajoittaa rekisteröityjen oikeutta saada suoraan pääsy itseään koskeviin, luonteeltaan psykologisiin tai psykiatrisiin henkilökohtaisiin potilastietoihin, jos pääsy tällaisiin tietoihin on omiaan aiheuttamaan riskin rekisteröidyn terveydelle.
- Tämän rajoituksen on oltava oikeassa suhteessa siihen, mikä on ehdottoman välttämätöntä rekisteröidyn suojelemiseksi.
Kaupan suojaamisen ja kauppapolitiikan alalla toteuttavat tutkimukset
- Asetuksen (EU) 2018/1725 mukaisia oikeuksia ja velvollisuuksia voidaan rajoittaa, jos ne vaarantaisivat komission kauppapolitiikan ja kaupan suojatoimiin liittyvän toiminnan, tai vaikuttaisivat haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.
Euroopan petostentorjuntavirasto (OLAF)
- Sovelletaan OLAFin suorittamaan henkilötietojen käsittelyyn (suorittamaan henkilötietojen käsittelyyn sekä komission yksiköiden ja toimeenpanovirastojen suorittamaan OLAFille toimitettavien henkilötietojen käsittelyyn), jotta se voi hoitaa tehtävänsä
- OLAFin tutkimukset ovat täysin komissiosta riippumattomia
- OLAF päättää, sovelletaanko rekisteröityjen oikeuksiin minkäänlaisia rajoituksia.
- Tietosuojaselosteet, joilla tiedotetaan rekisteröidyille toimista, joihin liittyy rekisteröityjen tietojen käsittelyä kyseisellä alalla, julkaistaan OLAFin verkkosivustolla.
- OLAFin tietosuojavastaava tarkastelee uudelleen rekisteröityneiden oikeuksien kaikkia rajoituksia.
Sisäinen tarkastustoiminta
- Asetuksen (EU) 2018/1725 mukaisia oikeuksia ja velvollisuuksia voidaan rajoittaa osana komission suorittamia tietojenkäsittelytoimia sen suorittaman sisäisen tarkastustoiminnan yhteydessä, jos rekisteröityjen oikeuksien käyttö vaarantaisi sisäisen tarkastustoiminnan suorittamisen, myös tarkastusvälineiden ja -menetelmien paljastumisen vuoksi, tai ne vaikuttaisivat haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.
- Lisäksi komission saattaa olla tarpeen rajoittaa rekisteröityjen oikeuksien soveltamista suojatakseen komission yksiköiden ja unionin muiden toimielinten, elinten, toimistojen ja virastojen tai jäsenvaltioiden viranomaisten ja kansainvälisten organisaatioiden sekä tarkastuksen seurantakomitean suorittamia tietojenkäsittelytoimia.
- Komissio tiedottaa verkkosivustollaan julkaistavilla tietosuojailmoituksilla yksityishenkilöille näiden henkilötietojen käsittelyä koskevasta sisäisen tarkastuksen toiminnastaan ja heidän oikeuksistaan. Komissio varmistaa tarvittaessa, että rekisteröidyille ilmoitetaan asiasta erikseen ja asianmukaisessa muodossa.
Kilpailu
- Asetuksen (EU) 2018/1725 mukaisia oikeuksia ja velvollisuuksia voidaan rajoittaa, jos ne vaarantaisivat komission tutkimusten tai täytäntöönpanotoimien suorittamisen, myös tutkimusvälineiden ja -menetelmien paljastumisen vuoksi, tai vaikuttaisivat haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.

MISTÄ ALKAEN PÄÄTÖKSIÄ SOVELLETAAN?

Päätöksiä (EU) 2018/1927, (EU) 2018/1961, (EU) 2018/1962, (EU) 2018/1996 ja (EU) 2019/154 on sovellettu 11. joulukuuta 2018 alkaen.
Päätöstä (EU) 2019/165 on sovellettu 7. helmikuuta 2019 alkaen.
Päätöstä (EU) 2019/236 on sovellettu 11. helmikuuta 2019 alkaen.

TAUSTAA

Lisätietoja:

vuoden 2018 tietosuojasääntöjen uudistus (Euroopan komissio).

ASIAKIRJAT

Komission päätös (EU) 2018/1927, annettu 5 päivänä joulukuuta 2018, Euroopan komission kilpailun alalla suorittamaan henkilötietojen käsittelyyn liittyvää tietojen antamista rekisteröidyille ja tiettyjen oikeuksien rajoittamista koskevista yksityiskohtaisista säännöistä (EUVL L 313, 10.12.2018, s. 39–44)

Komission päätös (EU) 2018/1961, annettu 11 päivänä joulukuuta 2018, sisäistä tarkastustoimintaa varten suoritettua henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta (EUVL L 315, 12.12.2018, s. 35–40)

Komission päätös (EU) 2018/1962, annettu 11 päivänä joulukuuta 2018, Euroopan petostentorjuntaviraston (OLAF) suorittamaa henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 25 artiklan mukaisesti (EUVL L 315, 12.12.2018, s. 41–46)

Komission päätös (EU) 2018/1996, annettu 14 päivänä joulukuuta 2018, rekisteröidyille annettavia tietoja ja heidän oikeuksiensa rajoittamista henkilötietojen käsittelyn osalta kaupan suojaamisen ja kauppapolitiikan alalla toteuttavien tutkimusten yhteydessä koskevista sisäisistä säännöistä (EUVL L 320, 17.12.2018, s. 40–44)

Komission päätös (EU) 2019/154, annettu 30 päivänä tammikuuta 2019 sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse rekisteröityjen potilastietoihinsa pääsyä koskevan oikeuden rajoittamisesta (EUVL L 27, 31.1.2019, s. 33–35)

Komission päätös (EU) 2019/165, annettu 1 päivänä helmikuuta 2019 hallinnollisten tutkimusten, kurinpitomenettelyä edeltävien menettelyjen, kurinpitomenettelyjen ja virantoimituksesta pidättämistä koskevien menettelyjen yhteydessä noudatettavien, tietojen antamista rekisteröidyille ja komission suorittamaa rekisteröityjen tiettyjen tietosuojaoikeuksien rajoittamista koskevien sisäisten sääntöjen vahvistamisesta (EUVL L 32, 4.2.2019, s. 9–13)

Komission päätös (EU) 2019/236, annettu 7 päivänä helmikuuta 2019, Euroopan komission unionin toimielinten sisäisen turvallisuuden vuoksi suorittamaa henkilötietojen käsittelyä koskevien sisäisten sääntöjen vahvistamisesta siltä osin kuin on kyse tietojen antamisesta rekisteröidyille ja rekisteröityjen tiettyjen oikeuksien rajoittamisesta (EUVL L 37, 8.2.2019, s. 144–149)

MUUT ASIAAN LIITTYVÄT ASIAKIRJAT

Sovelletaan Euroopan komissioon:

Euroopan parlamentin ja neuvoston asetus (EU) N:o 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39–98)

Komission päätös (EU, Euratom) 2017/46, annettu 10 päivänä tammikuuta 2017, viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa (EUVL L 6, 11.1.2017, s. 40–51)

Päätökseen (EU, Euratom) 2017/46 tehdyt peräkkäiset muutokset ja korjaukset on sisällytetty alkuperäiseen säädökseen. Konsolidoitu toisinto on tarkoitettu ainoastaan dokumentointitarkoituksiin.

Komission päätös (EU, Euratom) 2015/443, annettu 13 päivänä maaliskuuta 2015, turvallisuudesta komissiossa (EUVL L 72, 17.3.2015, s. 41–52)

Sovelletaan EU-maissa

Euroopan parlamentin ja neuvoston asetus (EU) N:o 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1–88)

Ks. konsolidoitu toisinto.

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89–131)

Ks. konsolidoitu toisinto.

Viimeisin päivitys: 03.04.2019

Top

All