1.   Tässä päätöksessä vahvistetaan säännöt ja menettelyt, joiden mukaisesti neuvosto ja neuvoston pääsihteeristö, jäljempänä ’pääsihteeristö’, soveltavat asetusta (EU) 2018/1725, sekä neuvoston tietosuojavastaavaa koskevat tarkemmat soveltamissäännöt.

2.   Tässä päätöksessä vahvistetaan säännöt, joita neuvoston ja pääsihteeristön on määrä noudattaa tietosuojavastaavan seuranta-, tutkinta-, tarkastus- tai neuvonantotehtävien osalta ilmoittaessaan asetuksen (EU) 2018/1725 14, 15 ja 16 artiklan mukaisesti rekisteröidyille heidän henkilötietojensa käsittelystä.

3.   Tässä päätöksessä vahvistetaan edellytykset, joiden täyttyessä neuvosto ja pääsihteeristö voivat tietosuojavastaavan seuranta-, tutkinta-, tarkastus- tai neuvonantotehtävien yhteydessä rajoittaa asetuksen (EU) 2018/1725 4, 14–17, 19, 20 ja 35 artiklan soveltamista mainitun asetuksen 25 artiklan 1 kohdan c, g ja h alakohdan mukaisesti.

4.   Tätä päätöstä sovelletaan henkilötietojen käsittelyyn, jota neuvosto ja pääsihteeristö suorittavat asetuksen (EU) 2018/1725 45 artiklassa tarkoitettuja tietosuojavastaavan tehtäviä varten tai niihin liittyen.

1.   Neuvoston pääsihteeri nimittää tietosuojavastaavan pääsihteeristön henkilöstöstä ja ilmoittaa hänen nimensä Euroopan tietosuojavaltuutetulle asetuksen (EU) 2018/1725 43 artiklan mukaisesti.

2.   Tietosuojavastaavan valinnassa otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa asetuksen (EU) 2018/1725 45 artiklassa tarkoitetut tehtävät. Tietosuojavastaavalla on myös oltava pääsihteeristön, sen rakenteen ja sen hallinnollisten sääntöjen ja menettelyjen perusteellinen tuntemus. Tehtäviensä hoitamiseksi tietosuojavastaava vapautetaan muista tehtävistään pääsihteeristössä.

3.   Tietosuojavastaava nimitetään viiden vuoden toimikaudeksi, ja sama henkilö voidaan nimittää uudeksi toimikaudeksi.

4.   Tietosuojavastaava ja hänen henkilöstönsä ovat suoraan neuvoston pääsihteerin alaisuudessa ja raportoivat suoraan hänelle.

5.   Tietosuojavastaava toimii tehtäviään suorittaessaan riippumattomasti eikä ota neuvoston pääsihteeriltä, valtuutetuilta rekisterinpitäjiltä tai operatiivisilta rekisterinpitäjiltä taikka miltään muulta taholta mitään ohjeistusta, joka koskee asetuksen (EU) 2018/1725 säännösten sisäistä soveltamista tai hänen yhteistyötään Euroopan tietosuojavaltuutetun kanssa.

6.   Neuvosto ja pääsihteeristö tukevat tietosuojavastaavaa tämän suorittaessa asetuksen (EU) 2018/1725 45 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien suorittamisessa, ja antavat pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.

7.   Tietosuojavastaavaa ei saa erottaa eikä häntä saa rangaista sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava voidaan erottaa ainoastaan asetuksen (EU) 2018/1725 44 artiklan 8 kohdan mukaisesti. Euroopan tietosuojavaltuutettua on kuultava kirjallisesti kyseisen artiklan mukaisen suostumuksen saamiseksi tällaiseen erottamiseen. Jäljennös kyseisestä suostumuksesta on lähetettävä tietosuojavastaavalle.

8.   Pääsihteeristö ja erityisesti valtuutetut rekisterinpitäjät ja operatiiviset rekisterinpitäjät varmistavat, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaan liittyvien asioiden käsittelyyn.

1.   Tietosuojavastaava hoitaa kaikkia asetuksen (EU) 2018/1725 45 artiklassa säädettyjä tehtäviä. Erityisesti tietosuojavastaava

Neuvoston pääsihteeri, asianomaiset rekisterinpitäjät, henkilöstökomitea ja kaikki luonnolliset henkilöt voivat kuulla tietosuojavastaavaa käyttämättä virkatietä kaikissa asetuksen (EU) 2018/1725 soveltamiseen tai täytäntöönpanoon liittyvissä asioissa.

2.   Tietosuojavastaava pitää rekisteriä käsittelytoimista laadituista selosteista ja asettaa sen julkisesti saataville 12 artiklan mukaisesti.

3.   Tietosuojavastaava pitää sisäistä rekisteriä asetuksen (EU) 2018/1725 3 artiklan 16 alakohdassa tarkoitetuista henkilötietojen tietoturvaloukkauksista.

4.   Tietosuojavastaava neuvoo valtuutettua rekisterinpitäjää pyydettäessä asetuksen (EU) 2018/1725 14–22, 35 ja 36 artiklan soveltamista koskevan rajoituksen sekä sen 4 artiklan soveltamista koskevan rajoituksen soveltamisessa.

5.   Tietosuojavastaava järjestää säännöllisesti tietosuojakoordinaattorien kokouksia ja toimii niiden puheenjohtajana.

6.   Tietosuojavastaava antaa vuosittaisen kertomuksen toimistaan neuvoston pääsihteerille ja asettaa sen pääsihteeristön henkilöstön saataville.

7.   Tietosuojavastaava tekee yhteistyötä muiden unionin toimielinten ja elinten nimittämien tietosuojavastaavien kanssa ja osallistuu säännöllisesti Euroopan tietosuojavaltuutetun tai unionin muiden toimielinten ja elinten tietosuojavastaavien koolle kutsumiin kokouksiin toimivan yhteistyön edistämiseksi erityisesti vaihtamalla kokemuksia ja hyviä käytäntöjä.

8.   Tietosuojavastaavan katsotaan olevan valtuutettu rekisterinpitäjä tehtäviensä hoitamisen yhteydessä suorittamiensa käsittelytoimien osalta.

1.   Rekisterinpitäjien on otettava tietosuojavastaava mukaan henkilötietojen käsittelyä edellyttävien toimien suunnitteluun ja niistä käytävään keskusteluun. Tietosuojavastaavalle on tiedotettava kaikista käsittelytoimista sekä olemassa olevien käsittelytoimien merkittävistä muutoksista.

2.   Tietosuojavastaavalle on tiedotettava pääsihteeristön sisäisiä ilmoituksia ja päätöksiä koskevista luonnoksista, jotka liittyvät suoraan asetuksen (EU) 2018/1725 sisäiseen soveltamiseen.

3.   Tietosuojavastaavalle on tiedotettava kaikista asetuksen (EU) 2018/1725 sisäiseen soveltamiseen liittyvistä yhteyksistä ulkopuolisiin osapuoliin sekä kaikesta yhteydenpidosta Euroopan tietosuojavaltuutetun kanssa, erityisesti kuultaessa Euroopan tietosuojavaltuutettua tai tiedotettaessa hänelle mainitun asetuksen 40 ja 41 artiklan mukaisesti.

4.   Tietosuojavastaavaa on kuultava yhteisrekisterinpitäjien välisiä järjestelyjä koskevista luonnoksista ja tietosuojaa koskevia sopimuslausekkeita tai muita oikeudellisia asiakirjoja koskevista luonnoksista, kun henkilötietojen käsittelijä käsittelee henkilötietoja.

1.   Valtuutettujen rekisterinpitäjien tehtävänä on varmistaa, että kaikissa heidän valvontaansa kuuluvissa käsittelytoimissa noudatetaan asetusta (EU) 2018/1725.

2.   Erityisesti valtuutettujen rekisterinpitäjien on:

3.   Valtuutettujen rekisterinpitäjien on varmistettava, että tietosuojavastaava otetaan riittävän ajoissa mukaan kaikkien henkilötietoihin liittyvien asioiden käsittelyyn ja otettava käyttöön asianmukaiset järjestelyt sen varmistamiseksi, että tietosuojakoordinaattori otetaan asianmukaisesti mukaan kaikkien tietosuojaan liittyvien asioiden käsittelyyn omassa pääsihteeristön pääosastossaan tai muussa yksikössään.

4.   Valtuutettujen rekisterinpitäjien on varmistettava, että käytössä on asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla osoitetaan, että käsittelytoimissa noudatetaan asetusta (EU) 2018/1725, ja annettava asianmukaiset ohjeet pääsihteeristön henkilöstölle sekä käsittelyn luottamuksellisuuden että käsittelyyn liittyviä riskejä vastaavan turvallisuustason varmistamiseksi. He voivat kuulla tietosuojavastaavaa kyseisten toimenpiteiden valinnassa.

5.   Valtuutettujen rekisterinpitäjien on raportoitava tietosuojavastaavalle rekisteröidyltä saatujen, rekisteröidyn oikeuksien käyttämistä koskevien pyyntöjen käsittelystä sekä avustettava tietosuojavastaavaa ja Euroopan tietosuojavaltuutettua näiden tehtävien suorittamisessa, erityisesti antamalla tietoja 30 vuorokauden kuluessa vastauksena näiden esittämiin pyyntöihin.

6.   Valtuutetut rekisterinpitäjät vastaavat asetuksen (EU) 2018/1725 14–22, 35 ja 36 artiklan soveltamista koskevan rajoituksen sekä mainitun asetuksen 4 artiklan soveltamista koskevan rajoituksen soveltamisesta asiaa koskevien sisäisten sääntöjen mukaisesti. Valtuutettujen rekisterinpitäjien on otettava tietosuojavastaava mukaan koko menettelyn ajaksi tällaista rajoitusta sovellettaessa.

7.   Valtuutettujen rekisterinpitäjien on varmistettava, että käytössä on sisäiset järjestelyt pääsihteeristön muiden pääosastojen tai yksiköiden kanssa, jos valtuutettu rekisterinpitäjä suorittaa käsittelytoimia yhdessä pääsihteeristön kyseisten pääosastojen tai yksiköiden kanssa tai jos kyseiset pääosastot tai yksiköt suorittavat osan valtuutetun rekisterinpitäjän käsittelytoimesta.

Ensimmäisessä alakohdassa tarkoitetuissa järjestelyissä on määritettävä valtuutettujen rekisterinpitäjien ja pääsihteeristön muiden pääosastojen tai yksiköiden vastuut tietosuojavelvoitteidensa noudattamisesta. Kyseisissä järjestelyissä on erityisesti yksilöitävä valtuutettu rekisterinpitäjä, joka määrittää käsittelytoimen keinot ja tarkoitukset, sekä käsittelytoimen operatiivinen rekisterinpitäjä ja tarvittaessa se, keiden henkilöiden tai minkä yksiköiden on määrä avustaa operatiivista rekisterinpitäjää muun muassa tietojen toimittamisessa tietoturvaloukkaustapauksissa tai rekisteröityjen oikeuksien kunnioittamiseen liittyvissä asioissa.

1.   Operatiiviset rekisterinpitäjät avustavat valtuutettua rekisterinpitäjää sen varmistamisessa, että hänen vastuullaan olevissa käsittelytoimissa noudatetaan asetusta (EU) 2018/1725, ja toimivat rekisteröityjen ensisijaisena yhteyspisteenä.

2.   Erityisesti operatiivisten rekisterinpitäjien tehtävänä on:

3.   Operatiivisten rekisterinpitäjien on ilman aiheetonta viivytystä ilmoitettava tietosuojavastaavalle henkilötietojen tietoturvaloukkauksista ja annettava hänelle kaikki tiedot, jotka ovat tarpeen sen varmistamiseksi, että neuvosto noudattaa asetuksen (EU) 2018/1725 34 ja 35 artiklassa säädettyjä henkilötietojen tietoturvaloukkauksia koskevia velvoitteita.

4.   Operatiivisten rekisterinpitäjien on koordinoidusti valtuutetun rekisterinpitäjän ja tietosuojavastaavan kanssa tarvittaessa ilmoitettava Euroopan tietosuojavaltuutetulle henkilötietojen tietoturvaloukkauksista. Heidän on tarvittaessa myös ilmoitettava asiasta rekisteröidyille.

5.   Operatiivisten rekisterinpitäjien on varmistettava, että tietosuojakoordinaattorille tiedotetaan kaikista tietosuojaan liittyvistä asioista.

6.   Operatiivisten rekisterinpitäjien on arvioitava heidän vastuullaan olevista käsittelytoimista aiheutuva riski rekisteröityjen oikeuksille ja vapauksille sekä tarvittaessa tehtävä tietosuojaa koskeva vaikutustenarviointi. Operatiivisten rekisterinpitäjien on pyydettävä neuvoja tietosuojavastaavalta kyseisiä vaikutusarviointeja tehdessään sekä ennakkokuulemisen tarpeesta asetuksen (EU) 2018/1725 39 ja 40 artiklan mukaisesti.

7.   Operatiiviset rekisterinpitäjät suorittavat muita tämän päätöksen soveltamisalaan kuuluvia tehtäviä valtuutetun rekisterinpitäjän pyynnöstä.

1.   Kukin pääsihteeristön pääosasto tai muu yksikkö nimittää tietosuojavastaavaa kuullen yhden tai useamman tietosuojakoordinaattorin avustamaan pääsihteeristön pääosastonsa tai muun yksikkönsä valtuutettua rekisterinpitäjää ja operatiivisia rekisterinpitäjiä kaikissa henkilötietojen suojaa koskevissa asioissa.

2.   Tietosuojakoordinaattorit valitaan pääsihteeristön asianomaisen pääosaston tai muun yksikön toimintaa koskevan tiedon ja kokemuksen, tehtävään soveltuvuuden, tietosuojaan liittyvän osaamisen, tietojärjestelmien periaatteiden ymmärtämisen ja viestintätaitojen perusteella. Vasta nimitettyjen tietosuojakoordinaattoreiden on kuuden kuukauden kuluessa nimittämisestään suoritettava koulutus, joka antaa heille tehtävässä tarvittavan osaamisen. Tietosuojakoordinaattori, joka on nimittämistään edeltäneiden kahden vuoden aikana toiminut pääsihteeristön jonkin toisen pääosaston tai muun yksikön yhteyshenkilönä, vapautetaan kyseisestä koulutusvaatimuksesta.

3.   Tietosuojakoordinaattorien tehtävä on osa kunkin yhteyshenkilöksi nimitetyn pääsihteeristön henkilöstön jäsenen toimenkuvausta. Vuotuisessa arviointiraportissa on mainittava heidän vastuualueensa ja saavutuksensa.

4.   Tietosuojakoordinaattorit otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien tietosuojaan liittyvien asioiden käsittelyyn omassa pääsihteeristön pääosastossaan tai muussa yksikössään, ja he hoitavat tehtävänsä tiiviissä yhteistyössä tietosuojavastaavan kanssa.

5.   Tietosuojakoordinaattoreilla on oikeus saada rekisterinpitäjiltä ja henkilöstöltä riittävät ja tarvittavat tiedot tehtäviensä suorittamiseksi omassa pääsihteeristön pääosastossaan tai muussa yksikössään. Tämä ei sisällä oikeutta tutustua valtuutetun rekisterinpitäjän vastuulla käsiteltäviin henkilötietoihin. Tietosuojakoordinaattorit saavat tutustua henkilötietoihin vain, jos se on tarpeen heidän tehtäviensä suorittamiseksi.

6.   Tietosuojakoordinaattorien on lisättävä tietoisuutta tietosuoja-asioista ja avustettava oman pääsihteeristön pääosastonsa tai muun yksikkönsä valtuutettuja rekisterinpitäjiä näiden velvoitteiden noudattamisessa, erityisesti seuraavien osalta:

7.   Tietosuojakoordinaattorien on avustettava oman pääsihteeristön pääosastonsa tai muun yksikkönsä operatiivisia rekisterinpitäjiä näiden velvoitteiden noudattamisessa, erityisesti seuraavien osalta:

1.   Tietosuojavastaava pitää käsittelytoimista rekisteriä ja varmistaa, että rekisteri on saatavilla tietosuojavastaavan verkkosivustolla pääsihteeristön intranet-sivustolla ja neuvoston verkkosivuston kautta.

2.   Operatiivinen rekisterinpitäjä tekee tietosuojavastaavalle ilmoituksen kaikista käsittelytoimista ja toimittaa käsittelytoimien selosteet ja niihin liittyvät tietosuojaselosteet pääsihteeristön intranet-sivustolla (tietosuojaa koskevassa osiossa) olevalla ilmoituslomakkeella. Ilmoitus toimitetaan tietosuojavastaavalle sähköisesti. Kuultuaan tietosuojavastaavaa valtuutettu rekisterinpitäjä vahvistaa selosteen ja siihen liittyvän tietosuojaselosteen, minkä jälkeen tietosuojavastaava julkaisee ne rekisterissä.

3.   Selosteen on sisällettävä kaikki asetuksen (EU) 2018/1725 31 artiklassa tarkoitetut tiedot. Tietosuojavastaavan rekisteriin merkitsemiä tietoja voidaan kuitenkin tarvittaessa poikkeuksellisesti rajoittaa siihen, mikä on tarpeen tietyn käsittelytoimen turvallisuuden varmistamiseksi. Operatiivisen rekisterinpitäjän on viipymättä ilmoitettava kaikista tällaisiin tietoihin vaikuttavista muutoksista tietosuojavastaavalle.

1.   Jos tapahtuu henkilötietojen tietoturvaloukkaus, valtuutetun rekisterinpitäjän tai operatiivisen rekisterinpitäjän on pyydettävä apua tietosuojakoordinaattorilta ja ilman aiheetonta viivytystä ilmoitettava tapauksesta tietosuojavastaavalle sekä annettava tälle kaikki tarvittavat tiedot, joiden avulla tämä voi varmistaa, että neuvosto noudattaa asetuksen (EU) 2018/1725 34 ja 35 artiklan mukaisia henkilötietojen tietoturvaloukkauksista ilmoittamista koskevia velvoitteita.

2.   Tietosuojavastaavan on perustettava henkilötietojen tietoturvaloukkauksia varten sisäinen rekisteri ja pidettävä sitä yllä. Valtuutettujen rekisterinpitäjien ja operatiivisten rekisterinpitäjien on annettava rekisteriin vietävät tarvittavat tiedot.

3.   Valtuutettujen rekisterinpitäjien ja operatiivisten rekisterinpitäjien on tietosuojavastaavaa kuullen laadittava ilmoitus Euroopan tietosuojavaltuutetulle, paitsi jos on epätodennäköistä, että henkilötietojen tietoturvaloukkaus aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

1.   Tietosuojavastaava voi omasta aloitteestaan tai valtuutetun rekisterinpitäjän, operatiivisen rekisterinpitäjän, henkilötietojen käsittelijän, henkilöstökomitean tai kenen tahansa luonnollisen henkilön pyynnöstä tutkia seikkoja ja tapauksia, jotka liittyvät hänen tehtäviinsä, sekä raportoida asiasta tutkimuksen pyytäjälle taikka valtuutetulle rekisterinpitäjälle, operatiiviselle rekisterinpitäjälle tai henkilötietojen käsittelijälle.

2.   Tutkimuspyynnöt tehdään kirjallisina ja ne osoitetaan tietosuojavastaavalle. Jos kyseessä on tutkimuksen pyytämistä koskevan oikeuden ilmeinen väärinkäyttö, esimerkiksi jos sama henkilö on hiljattain tehnyt samanlaisen pyynnön, tietosuojavastaavalla ei ole velvollisuutta antaa vastausta pyynnön esittäneelle henkilölle.

3.   Tietosuojavastaavan on lähetettävä 15 päivän kuluessa tutkimuspyynnön saamisesta vastaanottotodistus pyynnön tehneelle henkilölle ja tarkistettava, onko pyyntö käsiteltävä luottamuksellisena.

4.   Tietosuojavastaavan on pyydettävä tutkimuspyynnön kohteena olevasta tietojenkäsittelytoimesta vastaavaa valtuutettua rekisterinpitäjää toimittamaan raportti asiasta. Valtuutettu rekisterinpitäjä toimittaa vastauksensa tietosuojavastaavalle 15 päivän kuluessa. Tietosuojavastaava voi pyytää lisätietoja valtuutetulta rekisterinpitäjältä, operatiiviselta rekisterinpitäjältä, henkilötietojen käsittelijältä tai muilta asianomaisilta pääsihteeristön yksiköiltä. Hän voi myös tarvittaessa pyytää asiasta neuvoston oikeudellisen yksikön lausuntoa. Pyydetyt tiedot tai lausunto on toimitettava tietosuojavastaavalle 30 päivän kuluessa.

5.   Tietosuojavastaavan on raportoitava tutkimuspyynnön tehneelle henkilölle viimeistään kolmen kuukauden kuluttua pyynnön vastaanottamisesta. Tätä määräaikaa voidaan jatkaa siihen asti, kun tietosuojavastaava on saanut kaikki mahdollisesti pyytämänsä tarvittavat tiedot.

6.   Kenellekään ei saa aiheutua haittaa sen vuoksi, että tietosuojavastaavan tietoon on saatettu asia, jossa asetuksen (EU) 2018/1725 väitetään rikotun.

1.   Ainoastaan rekisteröity tai hänen asianmukaisesti valtuutettu edustajansa voivat käyttää asetuksen (EU) 2018/1725 14–24 vahvistettuja rekisteröityjen oikeuksia.

2.   Rekisteröidyn on esitettävä pyyntönsä kirjallisesti operatiiviselle rekisterinpitäjälle ja jäljennös tietosuojavastaavalle. Tietosuojavastaava avustaa tarvittaessa rekisteröityä asianomaisen operatiivisen rekisterinpitäjän yksilöimisessä. Pyyntö voidaan esittää sähköisesti, ja siinä on oltava:

3.   Operatiivinen rekisterinpitäjä lähettää rekisteröidylle vastaanottotodistuksen viiden työpäivän kuluessa pyynnön rekisteröinnistä. Operatiivinen rekisterinpitäjä pyytää tarvittavia lisäselvennyksiä, jos pyyntö on epäselvä tai epätäydellinen. Asetuksen (EU) 2018/1725 14 artiklan 3 ja 4 kohdan mukaiset sovellettavat määräajat alkavat kulua vasta sitten, kun kaikki tarvittavat lisäselvennykset on toimitettu.

4.   Operatiivinen rekisterinpitäjä todentaa rekisteröidyn henkilöllisyyden asetuksen (EU) 2018/1725 14 artiklan 6 kohdan mukaisesti. Kyseisen asetuksen 14 artiklan 3 ja 4 kohdan mukaiset sovellettavat määräajat eivät ala kulua henkilöllisyyden todentamisen aikana.

5.   Operatiivisen rekisterinpitäjän on joko vastattava pyyntöön myönteisesti tai ilmoitettava kirjallisesti perusteet pyynnön epäämiselle kokonaan tai osittain asetuksen (EU) 2018/1725 14 artiklan 3 ja 4 kohdassa säädetyissä määräajoissa.

6.   Operatiivisen rekisterinpitäjän on kuultava tietosuojavastaavaa siinä tapauksessa, että pyyntö on erittäin monimutkainen, rekisteröidyn oikeuksien käytössä havaitaan virheellisyyksiä tai ilmeinen väärinkäytös, pyynnön asianmukainen käsittely todennäköisesti aiheuttaa riskin muiden rekisteröityjen oikeuksille ja vapauksille tai rekisteröity väittää käsittelyä lainvastaiseksi.

1.   Kun neuvosto tai pääsihteeristö hoitaa asetuksen (EU) 2018/1725 mukaisiin rekisteröityjen oikeuksiin liittyviä tehtäviään, se harkitsee, sovelletaanko jotakin mainitussa asetuksessa säädetyistä poikkeuksista.

2.   Jollei tämän päätöksen 18–22 artiklasta muuta johdu, neuvosto tai pääsihteeristö voi asetuksen (EU) 2018/1725 25 artiklan 1 kohdan c, g ja h alakohdan mukaisesti rajoittaa kyseisen asetuksen 14–17, 19, 20 ja 35 artiklan soveltamista sekä kyseisen asetuksen 4 artiklan 1 kohdan a alakohdassa säädetyn läpinäkyvyysperiaatteen soveltamista, siltä osin kuin sen säännökset vastaavat kyseisen asetuksen 14–17, 19 ja 20 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisten oikeuksien käyttö ja velvollisuuksien noudattaminen vaarantaisi tietosuojavastaavan tehtävien hoitamisen, muun muassa tutkimus- ja tarkastusvälineiden ja -menetelmien paljastumisen vuoksi, tai vaikuttaisi haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.

3.   Jollei tämän päätöksen 18–22 artiklasta muuta johdu, neuvosto tai pääsihteeristö voi rajoittaa tämän artiklan 2 kohdassa tarkoitettuja oikeuksia ja velvollisuuksia, jotka koskevat tietosuojavastaavan pääsihteeristön pääosastoilta tai yksiköiltä taikka muilta unionin toimielimiltä tai elimiltä saamia henkilötietoja. Neuvosto tai pääsihteeristö voi tehdä näin, kun kyseiset pääsihteeristön pääosastot tai yksiköt taikka muut toimielimet tai elimet voisivat rajoittaa kyseisten oikeuksien käyttöä ja velvollisuuksien noudattamista muiden asetuksen (EU) 2018/1725 25 artiklassa säädettyjen säädösten nojalla tai kyseisen asetuksen IX luvun tai Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794 (10) tai neuvoston asetuksen (EU) 2017/1939 (11) mukaisesti.

Ennen kuin neuvosto tai pääsihteeristö soveltaa rajoituksia ensimmäisessä alakohdassa mainituissa tilanteissa, sen on kuultava asianomaista unionin toimielintä tai elintä, paitsi jos on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisessä alakohdassa tarkoitetuista säädöksistä.

4.   Kaikkien 2 kohdassa tarkoitettujen, oikeuksien ja velvollisuuksien rajoitusten on oltava tarpeellisia ja oikeasuhteisia ottaen huomioon rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit.

1.   Pääsihteeristö julkaisee neuvoston verkkosivustolla tietosuojailmoitukset, joilla tiedotetaan rekisteröidyille tietosuojavastaavan tehtävistä, joihin liittyy rekisteröityjen henkilötietojen käsittelyä.

2.   Pääsihteeristö antaa asianmukaisella tavalla erikseen tietoja kaikille luonnollisille henkilöille, joita se katsoo tietosuojavastaavan tehtävien koskevan.

3.   Jos pääsihteeristö kokonaan tai osittain rajoittaa tämän artiklan 2 kohdassa tarkoitettujen tietojen antamista rekisteröidyille, pääsihteeristö kirjaa ja rekisteröi rajoituksen syyt 21 artiklan mukaisesti.

1.   Kun neuvosto tai pääsihteeristö kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta saada pääsy henkilötietoihin, 19 artiklassa tarkoitettua oikeutta tietojen poistamiseen tai 20 artiklassa tarkoitettua oikeutta käsittelyn rajoittamiseen, se ilmoittaa tietoihin pääsyä, tietojen poistamista tai käsittelyn rajoittamista koskevaan asianomaisen rekisteröidyn pyyntöön antamassaan vastauksessa sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

2.   Edellä 1 kohdassa tarkoitetun rajoituksen syitä koskevien tietojen antamista voidaan lykätä, se voidaan jättää tekemättä tai se voidaan evätä niin kauan kuin se vaarantaisi rajoituksen tarkoituksen. Neuvosto antaa rekisteröidylle tiedot heti, kun tällaiset tiedot eivät vaaranna kyseistä tarkoitusta.

3.   Pääsihteeristö kirjaa ja rekisteröi rajoituksen syyt 21 artiklan mukaisesti.

1.   Pääsihteeristö kirjaa kaikkien tämän päätöksen nojalla sovellettavien rajoitusten syyt, mukaan lukien tapauskohtainen arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta, ottaen huomioon asetuksen (EU) 2018/1725 25 artiklan 2 kohdassa esitetyt asiaan liittyvät näkökohdat.

Kirjatuissa tiedoissa on tätä varten ilmoitettava, miten kyseisen asetuksen 14–17, 19, 20 ja 35 artiklassa tarkoitettujen oikeuksien tai sen 4 artiklan 1 kohdan a alakohdassa säädetyn läpinäkyvyysperiaatteen käyttäminen vaarantaisi tämän päätöksen mukaiset tietosuojavastaavan tehtävät, tai tämän päätöksen 17 artiklan 2 tai 3 kohdan nojalla sovelletut rajoitukset, tai vaikuttaisi haitallisesti muiden rekisteröityjen oikeuksiin ja vapauksiin.

2.   Kirjaus ja tarvittaessa asiakirjat, joista käyvät ilmi perusteena olevat tosiseikat ja oikeudelliset syyt, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

1.   Edellä 18, 19 ja 20 artiklassa tarkoitettujen rajoitusten soveltamista jatketaan niin kauan kuin niiden perusteena olevat syyt ovat voimassa.

2.   Kun 18 ja 20 artiklassa mainitut rajoituksen syyt eivät ole enää voimassa, pääsihteeristö poistaa rajoituksen ja ilmoittaa rajoituksen syyt rekisteröidylle. Pääsihteeristö ilmoittaa samalla rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

3.   Pääsihteeristö tarkastelee 18 ja 20 artiklassa tarkoitettujen rajoitusten soveltamista uudelleen kuuden kuukauden välein niiden käyttöön ottamisen jälkeen sekä joka tapauksessa tietosuojavastaavan asiaankuuluvan tehtävän päätökseen saattamisen yhteydessä. Päätökseen saattamisen jälkeen pääsihteeristö seuraa vuosittain, onko rajoitus tai lykkäys tarpeen pitää voimassa.

1.   Jos muut pääsihteeristön pääosastot tai yksiköt katsovat, että rekisteröidyn oikeuksia olisi rajoitettava tämän päätöksen nojalla, ne ilmoittavat asiasta tietosuojavastaavalle. Ne myös antavat tietosuojavastaavalle pääsyn kirjattuihin tietoihin ja kaikkiin asiakirjoihin, joista perusteena olevat tosiseikat ja oikeudelliset syyt käyvät ilmi. Tietosuojavastaavan osallistuminen rajoitusten soveltamiseen on dokumentoitava seikkaperäisesti.

2.   Tietosuojavastaava voi pyytää asianomaista valtuutettua rekisterinpitäjää tarkastelemaan rajoitusten soveltamista uudelleen. Asianomaisen valtuutetun rekisterinpitäjän on ilmoitettava kirjallisesti tietosuojavastaavalle pyydetyn uudelleentarkastelun tuloksista.