EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32019Q0410(01)
European Data Protection Supervisor Decision of 2 April 2019 on internal rules concerning restrictions of certain rights of data subjects in relation to the processing of personal data in the framework of activities carried out by the European Data Protection Supervisor
Euroopan tietosuojavaltuutetun päätös, annettu 2 päivänä huhtikuuta 2019, sisäisistä säännöistä Euroopan tietosuojavaltuutetun toteuttaman toiminnan puitteissa tapahtuvaan henkilötietojen käsittelyyn liittyville rekisteröityjen tiettyjen oikeuksien rajoituksille
Euroopan tietosuojavaltuutetun päätös, annettu 2 päivänä huhtikuuta 2019, sisäisistä säännöistä Euroopan tietosuojavaltuutetun toteuttaman toiminnan puitteissa tapahtuvaan henkilötietojen käsittelyyn liittyville rekisteröityjen tiettyjen oikeuksien rajoituksille
EUVL L 99I, 10.4.2019, p. 1–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
10.4.2019 |
FI |
Euroopan unionin virallinen lehti |
LI 99/1 |
EUROOPAN TIETOSUOJAVALTUUTETUN PÄÄTÖS,
annettu 2 päivänä huhtikuuta 2019,
sisäisistä säännöistä Euroopan tietosuojavaltuutetun toteuttaman toiminnan puitteissa tapahtuvaan henkilötietojen käsittelyyn liittyville rekisteröityjen tiettyjen oikeuksien rajoituksille
EUROOPAN TIETOSUOJAVALTUUTETTU, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23 päivänä lokakuuta 2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (1), jäljempänä ’asetus’, ja erityisesti sen 25 artiklan ja VI luvun,
on kuullut Euroopan tietosuojavaltuutetun sihteeristöä tästä päätöksestä asetuksen 41 artiklan 2 kohdan mukaisesti,
sekä katsoo seuraavaa:
|
(1) |
Euroopan tietosuojavaltuutettu voi toteuttaa toimintansa puitteissa hallinnollisia tutkimuksia, kurinpitomenettelyä edeltäviä menettelyjä, kurinpitomenettelyjä ja virantoimituksesta pidättämistä koskevia menettelyjä Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen (2) 86 artiklan ja niiden liitteen IX sekä hallinnollisten tutkimusten ja kurinpitomenettelyiden suorittamista koskevien täytäntöönpanosäännösten hyväksymisestä 23 päivänä huhtikuuta 2015 tehdyn Euroopan tietosuojavaltuutetun päätöksen sekä Euroopan komission henkilöstöhallinnon ja turvallisuustoiminnan pääosaston (PO HR) ja Euroopan tietosuojavaltuutetun välisen 29 päivänä tammikuuta 2016 allekirjoitetun yksikön tason sopimuksen perusteella, ja se voi ilmoittaa tapauksista tutkinta- ja kurinpitotoimistolle (IDOC) tai Euroopan petostentorjuntavirastolle (OLAF), jolloin kyseessä on henkilötietoja sisältävien tietojen käsittely. |
|
(2) |
Euroopan tietosuojavaltuutetun henkilöstön jäsenillä on velvollisuus ilmoittaa mahdollisista unionin etuja vahingoittavista laittomista toimista, kuten petoksista tai lahjonnasta, tai sellaisista virkatoimiin liittyvistä vakavista teoista, jotka voivat merkitä, että unionin virkamiehille kuuluvia velvollisuuksia ei ole noudatettu. Tästä määrätään väärinkäytösten paljastamista koskevista sisäisistä säännöistä 14 päivänä kesäkuuta 2016 tehdyssä Euroopan tietosuojavaltuutetun päätöksessä. |
|
(3) |
Euroopan tietosuojavaltuutettu on laatinut toimintaperiaatteet, joilla ehkäistään ja käsitellään tehokkaasti ja tuloksellisesti tosiasialliset tai mahdolliset tapaukset, jotka koskevat työpaikkakiusaamista tai seksuaalista häirintää työpaikalla, häirinnänvastaisesta menettelystä annettua henkilöstösääntöjen 12a ja 24 artiklaa koskevien täytäntöönpanotoimenpiteiden hyväksymisestä 10 päivänä joulukuuta 2014 tehdyn Euroopan tietosuojavaltuutetun päätöksen mukaisesti. Päätöksessä vahvistetaan epävirallinen menettely, jonka avulla häirinnän oletettu kohde voi ottaa yhteyttä Euroopan tietosuojavaltuutetun uskottuihin neuvonantajiin. |
|
(4) |
Euroopan tietosuojavaltuutettu käsittelee asetuksen 57 artiklan 1 kohdan e alakohdan nojalla kanteluja, jotka koskevat unionin toimielinten, elinten ja laitosten suorittamia käsittelytoimia. Euroopan tietosuojavaltuutettu voi tässä yhteydessä toteuttaa kantelun kohdetta koskevia tutkimuksia. |
|
(5) |
Euroopan tietosuojavaltuutettu suorittaa asetuksen 57 artiklan 1 kohdan f alakohdan nojalla asetuksen soveltamista koskevia tutkimuksia tarkistaakseen, että EU:n toimielimet, elimet ja laitokset noudattavat asetusta. |
|
(6) |
Euroopan tietosuojavaltuutettu voi suorittaa EU:n turvallisuusluokiteltujen tietojen mahdollisia turvallisuusrikkomuksia koskevia tutkimuksia EU:n turvallisuusluokiteltujen tietojen turvaamista koskevien tietosuojavaltuutetun sääntöjen muuttamisesta 18 päivänä helmikuuta 2014 tehdyn Euroopan tietosuojavaltuutetun päätöksen perusteella. |
|
(7) |
Euroopan tietosuojavaltuutettu voi suorittaa oman toimintansa tarkastuksia. Tätä tehtävää hoitaa nykyään Euroopan komission sisäisen tarkastuksen toimiala jäljempänä ’IAS’1 päivänä kesäkuuta 2012 allekirjoitetun yksikön tason sopimuksen, sellaisena kuin se on uusittuna, perusteella. Sitä voi hoitaa täysimääräisesti myös sisäisen valvonnan koordinaattori. |
|
(8) |
Euroopan tietosuojavaltuutettu voi johdanto-osan 1–7 kappaleessa kuvattujen tehtävien yhteydessä antaa unionin muille toimielimille, elimille, laitoksille ja virastoille apua ja tarjota yhteistyötä sekä ottaa niiltä vastaan apua ja yhteistyötä asiaan liittyvien yksikön tason sopimusten, yhteisymmärryspöytäkirjojen ja yhteistyösopimusten mukaisesti. |
|
(9) |
Euroopan tietosuojavaltuutettu voi antaa kolmansien maiden kansallisille viranomaisille ja kansainvälisille järjestöille apua ja tarjota yhteistyötä näiden pyynnöstä tai omasta aloitteestaan sekä ottaa niiltä vastaan apua ja yhteistyötä asetuksen 51 artiklassa säädetyllä tavalla. |
|
(10) |
Euroopan tietosuojavaltuutettu voi antaa EU:n jäsenvaltioiden viranomaisille apua ja tarjota yhteistyötä näiden pyynnöstä tai omasta aloitteestaan sekä ottaa niiltä vastaan apua ja yhteistyötä. |
|
(11) |
Euroopan tietosuojavaltuutettu voi asetuksen 58 artiklan 4 kohdan nojalla olla osallisena Euroopan unionin tuomioistuimessa käsiteltävissä asioissa, joissa se voi saattaa asian unionin tuomioistuimen käsiteltäväksi tai puolustaa riitautettuja päätöksiään tai olla väliintulijana tehtäviinsä liittyvissä asioissa. |
|
(12) |
Edellä mainitun toiminnan yhteydessä Euroopan tietosuojavaltuutettu kerää ja käsittelee asiaan liittyviä tietoja ja useita henkilötietoryhmiä, kuten luonnollisen henkilön tunnistetietoja, yhteystietoja, ammatillisia rooleja ja tehtäviä, yksityistä ja ammatillista toimintaa koskevia tietoja sekä taloudellisia tietoja. Euroopan tietosuojavaltuutettu toimii rekisterinpitäjänä. |
|
(13) |
Käytössä on asianmukaisia suojatoimia, joilla suojataan henkilötiedot ja estetään tahaton tai lainvastainen pääsy niihin tai niiden siirtäminen, kun niitä säilytetään fyysisessä tai sähköisessä ympäristössä. Käsittelyn jälkeen tiedot säilytetään Euroopan tietosuojavaltuutetun voimassa olevien tietojen säilyttämistä koskevien sääntöjen mukaisesti asetuksen 31 artiklaan perustuvissa tietosuojaselosteissa määritellyllä tavalla. Säilytysajan päätyttyä tapaukseen liittyvät tiedot, kuten henkilötiedot, poistetaan, anonymisoidaan tai siirretään historiallisiin arkistoihin. |
|
(14) |
Tässä yhteydessä Euroopan tietosuojavaltuutettu on sitoutunut täyttämään velvollisuutensa antaa rekisteröidyille tietoja edellä mainituista käsittelytoimista ja kunnioittaa aseuksessa vahvistettuja rekisteröityjen oikeuksia. |
|
(15) |
Saattaa olla tarpeen sovittaa asetuksen mukaiset rekisteröityjen oikeudet yhteen edellä mainitun toiminnan tarpeiden kanssa kunnioittaen samalla täysimääräisesti muiden rekisteröityjen perusoikeuksia ja -vapauksia. Tämän vuoksi asetuksen 25 artiklassa säädetään tiukoin edellytyksin mahdollisuudesta rajoittaa 14–20, 35 ja 36 artiklan soveltamista sekä 4 artiklan soveltamista siltä osin kuin sen säännökset vastaavat 14–20 artiklassa säädettyjä oikeuksia ja velvollisuuksia. Tässä tapauksessa on tarpeen antaa sisäisiä sääntöjä, joiden nojalla Euroopan tietosuojavaltuutettu voi rajoittaa näitä oikeuksia asetuksen kyseisen artiklan mukaisesti. |
|
(16) |
Tällainen tilanne voi olla kyseessä erityisesti silloin, kun rekisteröidylle annetaan henkilötietojen käsittelyä koskevia tietoja hallinnollisen tutkimuksen alustavassa arviointivaiheessa tai itse tutkinnan aikana tai ennen asian mahdollista tutkimatta jättämistä koskevaa päätöstä tai kurinpitomenettelyä edeltävässä vaiheessa. Tietyissä olosuhteissa tällaisten tietojen antaminen voisi vaikuttaa huomattavasti Euroopan tietosuojavaltuutetun mahdollisuuteen suorittaa tutkimus tehokkaasti esimerkiksi siksi, että asianomainen henkilö voisi tuhota todisteita tai pyrkiä vaikuttamaan mahdollisiin todistajiin ennen kuin heitä on kuultu. Lisäksi Euroopan tietosuojavaltuutettu voi joutua suojelemaan rekisteröityjen oikeuksia ja vapauksia sekä muiden asianosaisten henkilöiden oikeuksia ja vapauksia. |
|
(17) |
Voi olla tarpeen pitää sellaista todistajaa tai väärinkäytöksen paljastajaa koskevat tiedot luottamuksellisina, joka on pyytänyt, että hänen henkilöllisyytensä salataan. Tällaisessa tapauksessa Euroopan tietosuojavaltuutettu voi kyseisen väärinkäytösten paljastajan tai muiden asiaan liittyvien henkilöiden oikeuksien ja vapauksien suojaamiseksi päättää rajoittaa oikeutta tutustua kyseisten henkilöiden henkilöllisyyteen, lausuntoihin tai muihin henkilötietoihin. |
|
(18) |
Voi olla tarpeen pitää sellaista henkilöstön jäsentä koskevat tiedot luottamuksellisina, joka on ottanut yhteyttä Euroopan tietosuojavaltuutetun uskottuihin neuvonantajiin häirintämenettelyn yhteydessä. Tällaisessa tapauksessa Euroopan tietosuojavaltuutettu voi oletetun häirinnän kohteen, oletetun häirintään syyllistyneen ja muiden asianosaisten henkilöiden oikeuksien ja vapauksien suojaamiseksi päättää rajoittaa oikeutta tutustua kyseisten henkilöiden henkilöllisyyteen, lausuntoihin tai muihin henkilötietoihin. |
|
(19) |
Kun Euroopan tietosuojavaltuutettu käsittelee Euroopan unionin toimielinten, elinten ja laitosten toteuttamia käsittelytoimia koskevia kanteluja, sen voi tietyissä olosuhteissa olla tarpeen säilyttää tutkimustensa tehokkuus ja suojella tarvittaessa asianosaisia henkilöitä sekä heidän oikeuksiaan ja vapauksiaan. |
|
(20) |
Kun Euroopan tietosuojavaltuutettu toteuttaa asetuksen soveltamista koskevia tutkimuksia tarkistaakseen, että EU:n toimielimet, elimet ja laitokset noudattavat asetusta, sen voi tietyissä olosuhteissa olla tarpeen säilyttää tutkimustensa tehokkuus ja suojella tarvittaessa asianosaisia henkilöitä sekä heidän oikeuksiaan ja vapauksiaan. |
|
(21) |
Kun Euroopan tietosuojavaltuutettu toteuttaa EU:n turvallisuusluokiteltujen tietojen mahdollisia turvallisuusrikkomuksia koskevia tutkimuksia, sen voi tietyissä olosuhteissa olla tarpeen säilyttää tutkimustensa tehokkuus ja suojella tarvittaessa unionin toimielinten, elinten ja laitosten sisäistä turvallisuutta, mukaan lukien niiden sähköiset viestintäverkot, sekä asianosaisten rekisteröityjen oikeuksia ja vapauksia. |
|
(22) |
Kun Euroopan tietosuojavaltuutettu antaa apua ja tarjoaa yhteistyötä unionin muille toimielimille, elimille, laitoksille ja virastoille, EU:n jäsenvaltioiden viranomaisille, kolmansien maiden kansallisille viranomaisille ja kansainvälisille järjestöille tai ottaa niiltä vastaan apua ja yhteistyötä edellä mainittujen toimien yhteydessä, sen voi tietyissä olosuhteissa olla tarpeen säilyttää tutkimustensa tehokkuus tai sen kanssa yhteistyötä tekevän yhteisön suorittamien tutkimusten tehokkuus ja suojella tarvittaessa asianosaisia henkilöitä ja heidän oikeuksiaan ja vapauksiaan. |
|
(23) |
Kun Euroopan tietosuojavaltuutettu saattaa asioita Euroopan unionin tuomioistuimen käsiteltäviksi tai on väliintulijana Euroopan unionin tuomioistuimessa, sen voi olla tarpeen säilyttää osapuolten tai väliintulijoiden käsiteltävän asian yhteydessä hankkimissa asiakirjoissa olevien henkilötietojen luottamuksellisuus. |
|
(24) |
Euroopan tietosuojavaltuutetun olisi sovellettava rajoituksia vain, jos ne ovat keskeisiltä osin perusoikeuksien ja -vapauksien mukaisia ja ovat demokraattisessa yhteiskunnassa ehdottoman välttämättömiä ja oikeasuhteisia toimenpiteitä. Euroopan tietosuojavaltuutetun olisi esitettävä perusteet kyseisille rajoituksille. |
|
(25) |
Euroopan tietosuojavaltuutetun olisi vastuuvelvollisuuden periaatteen mukaisesti pidettävä kirjaa rajoitusten soveltamisesta. |
|
(26) |
Kun Euroopan tietosuojavaltuutettu käsittelee tehtäviensä yhteydessä muiden organisaatioiden kanssa vaihdettuja henkilötietoja, sen olisi kuultava näitä organisaatioita ja näiden organisaatioiden olisi kuultava sitä rajoitusten asettamisen mahdollisista perusteista sekä rajoitusten tarpeellisuudesta ja oikeasuhteisuudesta, ellei tämä vaaranna Euroopan tietosuojavaltuutetun toimintaa. |
|
(27) |
Asetuksen (EU) 2018/1725 25 artiklan 6 kohdassa rekisterinpitäjä velvoitetaan ilmoittamaan rekisteröidyille pääasialliset syyt rajoituksen soveltamiseen sekä se, että heillä on oikeus tehdä kantelu Euroopan tietosuojavaltuutetulle. |
|
(28) |
Euroopan tietosuojavaltuutettu voi asetuksen 25 artiklan 8 kohdan nojalla lykätä ilmoittamista syistä, joiden vuoksi rajoitusta sovelletaan rekisteröityyn, tai jättää sen tekemättä tai evätä sen, jos se jollakin tavalla poistaisi rajoituksen vaikutuksen. Euroopan tietosuojavaltuutetun olisi arvioitava tapauskohtaisesti, poistaisiko rajoituksesta ilmoittaminen rajoituksen vaikutuksen. |
|
(29) |
Euroopan tietosuojavaltuutetun olisi poistettava rajoitus heti, kun sen edellytykset eivät enää täyty, ja arvioitava näitä edellytyksiä säännöllisesti. |
|
(30) |
Parhaan mahdollisen suojan takaamiseksi rekisteröityjen oikeuksille ja vapauksille ja asetuksen 44 artiklan 1 kohdan mukaisesti tietosuojavastaavalle olisi ilmoitettava hyvissä ajoin kaikista sovellettavista rajoituksista ja tietosuojavastaavan olisi tarkistettava, että tätä päätöstä on noudatettu. |
|
(31) |
Edellä mainittujen rajoitusten soveltaminen ei rajoita 16 artiklan 5 kohdan eikä 17 artiklan 4 kohdan säännösten mahdollista soveltamista; niistä ensimmäinen koskee tiedonsaantioikeutta, kun tietoja ei ole saatu rekisteröidyltä, ja jälkimmäinen rekisteröidyn oikeutta saada pääsy tietoihin, |
ON PÄÄTTÄNYT SEURAAVAA:
1 artikla
Kohde ja soveltamisala
Tässä päätöksessä vahvistetaan säännöt niille edellytyksille, joiden täyttyessä Euroopan tietosuojavaltuutettu voi rajoittaa asetuksen 14–20, 35 ja 36 artiklan sekä 4 artiklan soveltamista asetuksen 25 artiklan mukaisesti.
2 artikla
Rajoitukset
1. Asetuksen 25 artiklan 1 kohdan mukaisesti Euroopan tietosuojavaltuutettu voi tiukoin edellytyksin rajoittaa 14–20, 35 ja 36 artiklan soveltamista sekä 4 artiklan soveltamista siltä osin kuin sen säännökset vastaavat 14–20 artiklassa säädettyjä oikeuksia ja velvollisuuksia
|
a) |
toteuttaessaan hallinnollisia tutkimuksia, kurinpitomenettelyä edeltäviä menettelyjä, kurinpitomenettelyjä ja virantoimituksesta pidättämistä koskevia menettelyjä Euroopan unionin virkamiehiin sovellettavien henkilöstösääntöjen (3) 86 artiklan ja niiden liitteen IX sekä 23 päivänä huhtikuuta 2015 tehdyn Euroopan tietosuojavaltuutetun päätöksen mukaisesti ja voi ilmoittaa tapauksista IDOC:lle tai OLAFille. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, g ja h alakohtaan; |
|
b) |
varmistaessaan, että Euroopan tietosuojavaltuutetun henkilöstön jäsenet voivat ilmoittaa luottamuksellisesti tosiseikoista, jos he katsovat, että on olemassa vakavia sääntöjenvastaisuuksia, joista määrätään väärinkäytösten paljastamista koskevista sisäisistä säännöistä 14 päivänä kesäkuuta 2016 annetussa tietosuojavaltuutetun päätöksessä. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan h alakohtaan; |
|
c) |
varmistaessaan, että Euroopan tietosuojavaltuutetun henkilöstön jäsenet voivat luottamuksellisesti tehdä ilmoituksen uskotuille neuvonantajille häirintämenettelyn yhteydessä 10 päivänä joulukuuta 2014 annetussa Euroopan tietosuojavaltuutetun päätöksessä määritellyllä tavalla. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan h alakohtaan; |
|
d) |
toteuttaessaan asetuksen 57 artiklan 1 kohdan e alakohdan nojalla tutkimuksia, jotka koskevat unionin toimielinten, elinten ja laitosten suorittamista käsittelytoimista tehtyjen kantelujen kohdetta. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, g ja h alakohtaan; |
|
e) |
toteuttaessaan asetuksen 57 artiklan 1 kohdan f alakohdan nojalla asetuksen soveltamista koskevia tutkimuksia tarkistaakseen, että EU:n toimielimet, elimet ja laitokset noudattavat asetusta. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, g ja h alakohtaan; |
|
f) |
suorittaessaan EU:n turvallisuusluokiteltujen tietojen mahdollisia turvallisuusrikkomuksia koskevia tutkimuksia EU:n turvallisuusluokiteltujen tietojen turvaamista koskevien Euroopan tietosuojavaltuutetun sääntöjen muuttamisesta 18 päivänä helmikuuta 2014 tehdyn Euroopan tietosuojavaltuutetun päätöksen perusteella. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, d, g ja h alakohtaan; |
|
g) |
suorittaessaan Euroopan tietosuojavaltuutetun kaikkia toimintoja ja osastoja koskevia sisäisiä tarkastuksia. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, g ja h alakohtaan; |
|
h) |
antaessaan unionin muille toimielimille, elimille, laitoksille ja virastoille apua ja tarjotessaan niille yhteistyötä sekä ottaessaan niiltä vastaan apua ja yhteistyötä edellä mainittujen toimien yhteydessä asiaan liittyvien yksikön tason sopimusten, yhteisymmärryspöytäkirjojen ja yhteistyösopimusten mukaisesti. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, d, g ja h alakohtaan; |
|
i) |
antaessaan kolmansien maiden viranomaisille ja kansainvälisille järjestöille apua ja tarjotessaan niille yhteistyötä niiden pyynnöstä tai omasta aloitteestaan sekä ottaessaan niiltä vastaan apua ja yhteistyötä asetuksen 51 artiklassa säädetyllä tavalla. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, g ja h alakohtaan; |
|
j) |
antaessaan EU:n jäsenvaltioiden viranomaisille apua ja tarjotessaan niille yhteistyötä niiden pyynnöstä tai omasta aloitteestaan sekä ottaessaan niiltä vastaan apua ja yhteistyötä. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan c, g ja h alakohtaan; |
|
k) |
käsitellessään sellaisissa asiakirjoissa olevia henkilötietoja, joita osapuolet tai väliintulijat ovat hankkineet käsiteltävän asian yhteydessä, kun se saattaa asioita Euroopan unionin tuomioistuimen käsiteltäviksi tai on väliintulijana Euroopan unionin tuomioistuimessa asetuksen 58 artiklan 4 kohdan perusteella. Kyseiset rajoitukset voivat perustua asetuksen 25 artiklan 1 kohdan e alakohtaan; |
2. Tietoryhmiin kuuluu luonnollisen henkilön tunnistetietoja, yhteystietoja, ammatillisia rooleja ja tehtäviä, yksityistä ja ammatillista toimintaa koskevia tietoja sekä taloudellisia tietoja.
3. Rajoitusten on on keskeisiltä osin oltava perusoikeuksien ja -vapauksien mukaisia, ja niiden on oltava demokraattisessa yhteiskunnassa välttämättömiä ja oikeasuhteisia.
4. Tarpeellisuuden ja oikeasuhteisuuden arviointi on tehtävä tapauskohtaisesti ennen rajoitusten soveltamista. Rajoitukset on rajoitettava siihen, mikä on ehdottoman välttämätöntä asetettujen tavoitteiden saavuttamiseksi.
5. Euroopan tietosuojavaltuutettu toimittaa vastuullisuuden edistämiseksi selosteen, jossa esitetään sovellettujen rajoitusten perusteet, sovelletut 1 kohdan mukaiset perusteet sekä tarpeellisuutta ja oikeasuhteisuutta koskevan arvioinnin tulokset. Näiden selosteiden on määrä muodostaa osa väliaikaista rekisteriä, jonka on oltava pyynnöstä Euroopan tietosuojavaltuutetun saatavilla. Asetuksen 25 artiklan soveltamista koskeva kertomus annetaan määräajoin saataville.
6. Kun Euroopan tietosuojavaltuutettu käsittelee tehtäviensä yhteydessä muiden organisaatioiden kanssa vaihdettuja henkilötietoja, sen on kuultava näitä järjestöjä ja näiden järjestöjen on kuultava sitä mahdollisista asianmukaisista syistä rajoitusten asettamiseen sekä rajoitusten tarpeellisuudesta ja oikeasuhteisuudesta, ellei tämä vaarantaisi Euroopan tietosuojavaltuutetun toimintaa.
3 artikla
Rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit
Arvio sellaisten rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä, joiden henkilötietoihin voidaan soveltaa rajoituksia, sekä niiden säilytysaika esitetään selosteessa asianmukaisista käsittelytoimista asetuksen 31 artiklan mukaisesti ja tarvittaessa asetuksen 39 artiklan mukaisessa tietosuojaa koskevassa vaikutustenarvioinnissa.
4 artikla
Säilytysajat ja suojatoimet
Euroopan tietosuojavaltuutetun on toteutettava suojatoimia, joilla estetään sellaisten henkilötietojen väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden lainvastainen siirtäminen, joihin voidaan soveltaa rajoituksia. Näiden suojatoimien on käsitettävä tekniset ja organisatoriset toimenpiteet, ja ne on tarvittaessa esitettävä yksityiskohtaisesti Euroopan tietosuojavaltuutetun sisäisissä päätöksissä, menettelyissä ja täytäntöönpanosäännöissä. Suojatoimiin on sisällytettävä
|
a) |
roolien, vastuualueiden ja menettelyn eri vaiheiden asianmukainen määrittely |
|
b) |
tarvittaessa turvallinen sähköinen ympäristö, jolla estetään lainvastainen tai tahaton pääsy sähköisiin tietoihin tai niiden siirtäminen asiattomille |
|
c) |
tarvittaessa paperiasiakirjojen turvallinen säilytys ja käsittely |
|
d) |
rajoitusten asianmukainen seuranta ja vähintään kuuden kuukauden välein tehtävä uudelleentarkastelu. Uudelleentarkastelu on tehtävä myös silloin, kun käsiteltävänä olevan asian keskeiset osatekijät muuttuvat. Rajoitukset poistetaan heti, kun niiden perusteena olleet olosuhteet ovat muuttuneet. |
5 artikla
Tietosuojavastaavalle annettavat tiedot ja tietosuojavastaavan suorittama arviointi
1. Euroopan tietosuojavaltuutetun tietosuojavastaavalle ilmoitetaan ilman aiheetonta viivytystä aina, kun rekisteröidyn oikeuksia rajoitetaan tämän päätöksen mukaisesti, ja hänelle annetaan pääsy kirjattuihin tietoihin sekä kaikkiin asiakirjoihin, jotka sisältävät perusteena olevia tosiseikkoja tai oikeudellisia seikkoja.
2. Euroopan tietosuojavaltuutetun tietosuojavastaava voi pyytää rajoituksen soveltamisen uudelleentarkastelua. Euroopan tietosuojavaltuutettu ilmoittaa tietosuojavastaavalle kirjallisesti pyydetyn uudelleentarkastelun tuloksista.
3. Euroopan tietosuojavaltuutetun tietosuojavastaavan osallistuminen rajoitusmenettelyyn sekä tietojenvaihto on dokumentoitava asianmukaisella tavalla.
6 artikla
Tietojen antaminen rekisteröidyille heidän oikeuksiensa rajoittamisesta
1. Euroopan tietosuojavaltuutettu sisällyttää verkkosivuillaan julkaistaviin tietosuojaselosteisiin rekisteröidyille tarkoitettuja yleisiä tietoja, jotka koskevat kaikkien rekisteröidyille kuuluvien oikeuksien 2 artiklan 1 kohdassa kuvattuja mahdollisia rajoituksia. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, sekä rajoituksen syyt ja mahdollinen kesto.
2. Lisäksi Euroopan tietosuojavaltuutettu ilmoittaa rekisteröidyille henkilökohtaisesti näiden oikeuksien nykyisistä tai tulevista rajoituksista ilman aiheetonta viivytystä ja kirjallisessa muodossa 7, 8 ja 9 artiklassa täsmennetyllä tavalla.
7 artikla
Rekisteröityjen oikeus saada tietoja ja tietoturvaloukkauksista ilmoittaminen
1. Kun Euroopan tietosuojavaltuutettu tässä päätöksessä mainittujen toimien yhteydessä rajoittaa kokonaan tai osittain asetuksen 14–16 ja 35 artiklassa mainittuja oikeuksia, rekisteröidyille on ilmoitettava rajoituksen soveltamisen pääasiallisista syistä sekä oikeudesta tehdä kantelu Euroopan tietosuojavaltuutetulle ja käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
2. Euroopan tietosuojavaltuutettu voi lykätä 1 kohdassa tarkoitettua rajoituksen syitä koskevaa ilmoitusta, jättää sen tekemättä tai evätä sen, jos se poistaisi rajoituksen vaikutuksen. Arviointi tehdään tapauskohtaisesti.
8 artikla
Rekisteröityjen oikeus saada pääsy tietoihin, oikaista tietoja ja poistaa tietoja sekä rajoittaa käsittelyä
1. Kun Euroopan tietosuojavaltuutettu tässä päätöksessä mainittujen toimien yhteydessä rajoittaa kokonaan tai osittain asetuksen 17–20 artiklassa tarkoitettua oikeutta saada pääsy henkilötietoihin, oikeutta tietojen oikaisemiseen tai poistamiseen tai oikeutta rajoittaa tietojen käsittelyä, se ilmoittaa asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa sovelletun rajoituksen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
2. Kun oikeutta saada pääsy tietoihin rajoitetaan kokonaan tai osittain, Euroopan tietosuojavaltuutettu ilmoittaa asetuksen 25 artiklan 7 kohdan mukaisesti rekisteröidylle kantelua tutkiessaan ainoastaan, onko tiedot käsitelty asianmukaisesti ja, jos näin ei ole, onko tarpeelliset oikaisut tehty.
3. Euroopan tietosuojavaltuutettu voi lykätä 1 ja 2 kohdassa tarkoitettua rajoituksen syitä koskevaa ilmoitusta, jättää sen tekemättä tai evätä sen, jos se poistaisi rajoituksen vaikutuksen. Arviointi tehdään tapauskohtaisesti.
9 artikla
Sähköisen viestinnän luottamuksellisuus
1. Euroopan tietosuojavaltuutettu voi poikkeustilanteissa ja direktiivin 2002/58/EY säännösten ja tarkoituksen mukaisesti rajoittaa asetuksen 36 artiklassa tarkoitettua sähköisen viestinnän luottamuksellisuutta. Tässä tapauksessa Euroopan tietosuojavaltuutettu antaa erityisissä sisäisissä säännöissä yksityiskohtaiset tiedot olosuhteista, perusteista, asiaan liittyvistä riskeistä ja niiden vastaisista suojatoimista.
2. Kun Euroopan tietosuojavaltuutettu rajoittaa sähköisen viestinnän luottamuksellisuutta, se ilmoittaa asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa sovelletun rajoituksen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.
3. Euroopan tietosuojavaltuutettu voi lykätä 1 ja 2 kohdassa tarkoitettua rajoituksen syitä koskevaa ilmoitusta, jättää sen tekemättä tai evätä sen, jos se poistaisi rajoituksen vaikutuksen. Arviointi tehdään tapauskohtaisesti.
10 artikla
Voimaantulo
Tämä päätös tulee voimaan päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 2 päivänä huhtikuuta 2019
Euroopan tietosuojavaltuutetun puolesta
Giovanni BUTTARELLI
(1) EUVL L 295, 21.11.2018, s. 39.
(2) Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta sekä yhteisöjen virkamiehiin tilapäisesti sovellettavien erityisten toimenpiteiden laatimisesta (EYVL L 56, 4.3.1968, s. 1).
(3) Neuvoston asetus (ETY, Euratom, EHTY) N:o 259/68, annettu 29 päivänä helmikuuta 1968, Euroopan yhteisöjen virkamiehiin sovellettavien henkilöstösääntöjen ja näiden yhteisöjen muuta henkilöstöä koskevien palvelussuhteen ehtojen vahvistamisesta sekä yhteisöjen virkamiehiin tilapäisesti sovellettavien erityisten toimenpiteiden laatimisesta (EYVL L 56, 4.3.1968, s. 1).